|
Arhitecturi Firewall
Firewall-urile software profesionale au propria stiva IP
Paravanele de protectie moderne au propria lor stiva IP, prin care intercepteaza traficul inaintea sistemului de operare astfel incat nici o intruziune nu poate sa permita accesul neautorizat la calculator. Mai exact filtreaza toate usile de intrare catre sistemul de operare. In diagrama de mai jos se observa ca stiva IP nu mai este strabatuta de trafic:
Firewall care filtreaza packet-ele (Layer 3)
Acestea lucreaza la nivelul retelei al stivei OSI, sau la stratul IP al TCP/IP. De obicei fac parte dintr-un router. Un router este un dispozitiv care primeste packet-e de la o retea si le trimite catre alta retea. In acest tip de firewall fiecare packet este comparat pe baza unei serii de criterii inainte de a fi trimis. In functie de packet si de criteriu, firewall-ul poate sa arunce packet-ul, sa-l trimita sau sa trimita un mesaj catre expeditorul lui. Regulile pot include adresa IP a sursei sau a destinatiei, numarul portului sursei sau destinatiei si protocolul folosit. Avantajele firewall-urilor care filtreaza packet-e este costul scazut si impactul mic asupra performantei retelei. Majoritatea router-elor suporta filtrarea packet-elor. Chiar si daca sunt folosite alte firewall-uri, implementarea filtrarii packet-elor la nivelul router-ului permite un grad initial de securitate la un nivel scazut al retelei. Acest tip de firewall functioneaza doar la nivel de retea si nu suporta modele sofisticate bazate pe reguli. Router-ele de tip Network Address Translation (NAT) ofera avantajele firewalluri-lor care filtreaza packet-e, dar pot de asemenea sa ascunda adresele IP ale calculatoarelor aflate sub firewall, si ofera un nivel de filtrare bazata pe circuit.
Firewall de tip Circuit Level Gateway (Layer 4)
Firewall-urile de tip Circuit level gateways lucreaza la session layer al modelului OSI, sau la stratul TCP of TCP/IP. Acestea monitorizeaza adunarea TCP a packet-elor pentru a determina daca o sesiune ceruta este legitima. Informatia care trece catre un calculator exterior printr-un firewall de tip circuit level gateway apare ca fiind trimis initial de la gateway. Este util pentru a ascundere informatii despre retele private. Circuit level gateways sunt relativ ieftine si au avantajul ascunderii informatiei despre reteaua privata pe care o protejeaza. Singurul dezavantaj al acestora este faptul ca nu filtreaza packete-le individuale.
Firewall de tip Application Level Gateway (Layer 5)
Firewall-urile de tip Application level gateways (sau proxy) sunt asemanatoare cu cele de tip circuit-level gateway cu diferenta ca sunt specifice aplicatiei. Ele pot sa filtreze packet-ele la nivelul aplicatiei al OSI. Packet-ele care intra sau ies nu pot acesa servicii pentru care nu exista nici un proxy. Cu alte cuvinte, un firewall application level gateway care este configurat pentru a fi web proxy nu va permite nici un trafic ftp, gopher, telnet sau alte traficuri. Deoarece studiaza packet-ele la nivelul aplicatiei, ele pot filtra comenzile specifice aplicatiei cum ar fi http:post and get, etc. Acest lucru nu poate fi realizat cu nici un firewall de tip packet filtering sau circuit level; nici unul din aceste nu stie nimic despre informatia aflata la nivelul aplicatiei. Firewall-urile Application level gateway pot fi folosite de asemenea pentru pentru a tine evidenta activitati userului si evidenta intrarilor in retea. Acestea ofera un grad de securitate sporit, dar au un impact semnificativ asupra performantei retelei. Acest fapt este datorat schimbarilor contextului care incetinesc dramatic accesul in retea. Acestea nu sunt transparente pentru utilizator si necesita configurarea manuala a fiecarui computer client.
Firewall de tip Stateful Multilayer Inspection (Layer 3,4,5)
Firewall-urile de tip Stateful multilayer inspection imbina aspectele celor trei tipuri de paravane de protectie mentionate mai sus. Acestea filtereaza packet-ele la nivelul retelei, determina daca packet-ele sesiunii sunt legitime si evaluaza continutul packet-elor la nivelul aplicatiei. Permit conectarea directa intre client si gazda, usurand problema cauzata de lipsa de transparenta a firewall-urilor de tip application level gateway. Acestea se bazeaza pe algoritmi pentru a recunoaste si a procesa datele de la nivelul aplicatiei in loc sa ruleze proxi-uri spcifice aplicatiei. Firewall-urile de tip Stateful multilayer inspection ofera un grad inalt de securitate, performanta buna si transparenta pentru utilizatorul final. Totusi sunt scumpe si datorita complexitatii mari sunt potential mai putin sigure decat tipurile simple de firewall daca nu sunt administrate de personal bine calificat.
|
BluePink 
