ボンネットの下を見てfirewalling製品

Share

|

は、深遠な意味では、ファイアウォールのコンポーネントに存在するその人の心に建設してください。 ファイアウォールで、その発端は、製品のコンセプトというよりも;それはアイデアを取り巻くアクセス制御機構にトラフィックを誘導することを可能にして、ネットワークからとします。

は、もっと全般的な意味では、ファイアウォールのソフトウェアおよびハードウェアで構成されます。 ソフトウェアの独占することができ、シェアウェアやフリーウェアです。 ハードウェアには、任意のハードウェア、ソフトウェアをサポートします。

ファイアウォール技術の1つは、通常は3つのカテゴリに分類される：

スポンジパケットベースのフィルタ（通常はルータ、シスコイオス島など）

スポンジステートベースのパケットフィルタ（チェックポイントfwが- 1 、ピクセル、など）

スポンジベースのプロキシ（ガントレット型nai 、 axent猛禽など）

簡潔に検討しましょう各します。

パケットフィルタベースのファイアウォール

パケットフィルタリングファイアウォールでは、通常、ルーターのパケットフィルタリング機能します。 ルータの基本的なパケットフィルタリングを使用することができ、サイトのアクセスを許可または拒否するに基づいていくつかの変数を含む

送信元アドレススポンジ

スポンジ送信先アドレス

スポンジプロトコル

スポンジのポート番号

ルータベースのファイアウォールが人気を集めているので、簡単に実装します。 （プラグでは、単に1つは、アクセス制御リストを提供する、としたら。 ）また、ルーターを提供する統合されたソリューションです。 お使いのネットワークは、完全にインターネットに接続して、 youneedルータとにかくします。 それで、なぜ1つの石二鳥を殺すませんか？

その半面、いくつかのルータベースのファイアウォール欠乏します。 第一に、彼らは大抵準備をしていませんハンドルを特定の種類のサービス拒否攻撃します。 サービス拒否の戦術の多くは、インターネット上で使用され今日に基づいてパケット変換、洪水同時に、またはその他の強制tcp / ipベースの異常だ。 基本的なルータはありませんこれらのタイプの攻撃を処理するために設計されます。 第二に、ほとんどのルーターを整理しておくことはできませんセッション状態のデータです。 管理者は、すべてのポートを強制次に上記の1024オープンを維持するためにはハンドルのtcpセッションおよびセッションを適切に交渉します。 これは間違いありません巨大なセキュリティの懸念（任意聴いてはいけませんのでサービスを実行してこれらのポートとにかく）は、良い練習をすることはできませ通常のポートを使用していないままに外の世界に開いています。

最後に、使用するのacl （アクセス制御リスト）は、ハイエンドのルーターをサポートすることが非常に忙しいのネットワークに貢献することができ、より高いcpu負荷性能劣化します。 しかし、ほとんどの低速接続（のようなt1回路）をローエンドルータ（シスコ2500シリーズルータのような）は、通常のパケットフィルタリングされません税は、ルーターを任意の重要度です。

注意

で、長い間、パットだったと信じてアクセス制御リスト（ aclの）をご希望のルーターのパフォーマンスが大幅に低下した。 もののくっつく100規則上のaclシスコ7000をサポートするかもしれません接続ダースatmの最良のアイデアは、基本的に配置されルーターのaclをサポートする低速度（ 10 mbps以上または下位）接続のパフォーマンスが著しく低下し、通常はありませんします。 2人のメンバーは、地下鉄、 rfpとnightaxis 、日付このテーマに関するいくつかの基本的な所見でhttp://www.wiretrip.net/rfp/で見つけることができます。 それ以来、他のタイプも実行され（お客様の走行距離が異なる）します。 覚えても、ローエンドのシスコ2500シリーズルータに基づいたモトローラ68030と68040チップセット、および新しいタイプのものを使用しても、より高度なriscベースのチップです。 その後、多くの人は、ルーターより強力なクレジットを与えています。 -何かをテストして自分を見つけました。

ヒント

多くのネットワーク管理者が使用して周囲のaclルーターと連動して、より高度なファイアウォールの多層的なアプローチを作成することでネットワークへのアクセスを制御します。

パケットフィルタステートベースのファイアウォール

ステートパケットフィルタリングパケットフィルタリングの概念と構築され、いくつかの手順を実行することにいたします。 ファイアウォール構築され、このモデルを整理しておくとセッションの接続を内部状態テーブル、およびその反応を示すことができます。 このため、パケットのフィルタリングステートベースの製品は、より柔軟な対応よりも彼らの純粋なパケットフィルタリングします。 加えて、ほとんどのパケットフィルタリングステートベースに設計された製品は、特定の種類の攻撃から身を守る、および保護を追加するためのsmtpベースのメールやその他のセキュリティの詰め合わせに固有の機能を提供します。

チェックポイントと呼ばれる技術の先駆者"ステート検査" （市）で、パケットをフィルタリングするステート切り込みました。 市の管理者を有効にファイアウォールのルールを構築し、実際のデータペイロードを調べる、というだけで、そのアドレスとポートします。

注意

ステートベースのため、パケットフィルタリングファイアウォールのセッション状態を追跡することができます上記の1024個のポートを維持すると、デフォルトのポートのみを開き、高さは必要に応じています。 これと同じくらい簡単に聞こえるかもしれない、これはほとんどの管理者はなぜ検討される最小ステートパケットフィルタリングを実施するために彼らは彼らのファイアウォール技術を提供します。

プロキシベースのファイアウォール

別のタイプのファイアウォールは、プロキシベースのファイアウォール（ゲートウェイとも呼ばれ、アプリケーションやアプリケーションのプロキシ）します。 ときにリモートユーザーの連絡先は、ネットワークベースのファイアウォールのプロキシを実行すると、ファイアウォール、プロキシ接続してください。 この手法ではありませんipパケットの内部ネットワークに直接転送します。 その代わりに、一種の翻訳が発生すると、ファイアウォールの演技として導管と通訳します。

これはどのような点で異なりステートと総称パケットフィルタリングパケットフィルタリング、あなた聞くのですか？ - 1つのいい質問をし、多くの人たちが要請します。 パケットフィルタおよびフィルタリングステートの両方のプロセスを調べる出入りするパケットは、ネットワークレベルでのセッションとします。 彼らのipソースと目的地の住所を調べるとともにポートおよびステータスフラグ、比較して彼らのルールセットやテーブルの情報を、そしてかどうかを判断しなければならないパケットを転送しました。 プロキシベースのファイアウォール、その半面、トラフィックの視察に加えて、アプリケーションレベルの下位にします。 パケットに入ってくるとは、ファイアウォールの利きアプリケーション特有のプロキシをオフにする、これ官の正当性のレベルでのリクエストパケットとアプリケーション自体します。 たとえば、ウェブのリクエスト（ http ）が入ってくると、プロキシベースのファイアウォール、データのペイロードを含むhttpリクエストされるのは、 httpプロキシのプロセスを手渡した。 で、 ftpのリクエストを渡しただろうとプロキシのプロセスで、 ftp 、 telnetのtelnetするには、プロキシの過程で、としています。

この概念は、プロトコルのプロトコルをより安全なアプローチはその後ステートと総称パケットフィルタリング理解しているため、ファイアウォールのアプリケーションプロトコル自体（ httpやftp 、 smtp 、ポップなど）にします。 それはより困難な場合は、侵入者をコソコソ過去のものを見てというだけのアドレスとポートします。 しかし、私に注意して使用した単語の"概念"を参考にすることがより安全です。 実際のところ、現実の世界では、アプリケーションでは、このアプローチしてきたのシェアを公正な問題があります。

プロキシベースのファイアウォールには、常に次にステートパケットフィルタリングされ遅くに基づいたものです。 現在、ほとんどのネットワーク（ 10 mbps以上または遅い）は、この違いは議論の余地があるします。 しかし、重いロードネットワーク（ t3sで45mbps 、複数のt3s近づいて100mbpに、といったように）は、この問題をはるかに大規模になった。 技術を向上させ、その格差を閉じるかもしれないが、現在のところ、純粋なプロキシをベースの技術を使用するにはまだ関心をハイボリュームのネットワークです。

に加えて、パフォーマンスの問題は、プロキシをベースのソリューションにも適応にはいくつかの問題があります。 仮定、例えば、新たなプロトコルを管理するには、コーヒーメーカー、自宅を発明しました。 のための例では、このプロトコルに電話でご連絡してパーコレーション制御システム、またはパソコンを短くします。 さて、パソコン使用してみようと仮定しても実行するとのtcpポート666です。 管理者ステートベースのファイアウォールパケットフィルタリングを構築するには、単に彼らの新しい規則をファイアウォールのtcpトラフィックを許可するにはポート666 、およびこれで解決します。 管理者は、プロキシベースのファイアウォール、しかし、新たな問題がある：彼らのプロキシを持っていない（まだ）パソコンをします。 それは新しいブランドのプロトコルです。 もののいくつかのプロキシベースのファイアウォール（ naiラボのようなガントレット）などの問題がある汎用プロキシを、今私たちは基本的に戻るパケットフィルタリング、これ敗の目的を持つプロキシを開始します。

しかし、この例をさらに一歩進めるには、まあ言ってみれば、プロキシベースのファイアウォールのベンダー結局パソコンとプロキシを書き込み、およびすべてが良好で、 coffeevilleます。 すぐ後に、いくつかのいたずらっ子のヘルプデスクのネットワークをコピーし、古い契約を復活さドゥーム、これを実行するにもポート666 、かれらを起動しようと、古い中毒乱用します。 低見よと、ネットワーク懲罰することはない、プロキシ経由でベースのファイアウォール、しかし、それは、 1つのステートベースのパケットフィルタリングします。