Application Proxy und Gateway-Firewalls

Firewall-Typen

Es gibt zwei grundlegende Arten von Firewalls: Application Proxy und-Gateway. Gateways sind in Paketfilter und Stateful Inspection firewalls.These unterteilt unterscheiden sich in Funktion und Design und sind in unterschiedlichen Verwendungen in Netzwerk-Architektur. Versuchen Sie niemals, eine Art von Firewall haben die Pflicht eines anderen Typs. Es ist besser, eine gut geführte und sicher konfigurierte Firewall tut ihr zugedachte Aufgabe, als etwas tun, eine Arbeit, für die sie nicht designed.This ist eine Einladung für Katastrophen haben. Schauen wir uns diese Firewalls und wie sie verwendet werden soll.

Application Proxy

Ein Antrag Proxy-Firewall nimmt neben jedes Paket, das in kommt, prüft sie, ob sie die Kriterien erfüllt, schreibt sie und sendet sie auf ihrer hydrologischen Grenzbedingungen.Dabei Proxy terminiert die Verbindung von der externen Quelle und startet eine neue Verbindung von der Proxy - die destination.This bietet hervorragenden Schutz für die Server, da es keine direkte Interaktion zwischen der Quelle und das Ziel. Darüber hinaus ist der Proxy stark gegen Angriffe gehärtet und hat eine sehr kleine Angriffsfläche. Es ist sehr schwierig für ein Hacker die Kontrolle über ein Application Proxy Firewall zu nehmen. Diese Firewalls sind sehr spezifisch und ein Proxy muss für jede unterstützte Aufbringung Vorteil dieser geschrieben werden soll, dass Sie die genauen Bedürfnisse Ihrer bestimmten Anwendung haben werden angesprochen; Sie sind jedoch in der Gewalt des Verkäufers sollte es ein Update für Ihre Anwendung, dass die Firewall nicht unterstützt. Verzögerungen bei der Verbesserung Ihrer Bewerbung bis zum Firewall-Anbieter auftreten aufholt. Anwendungsproxies sind in der Regel "unsichtbar" im Netzwerk. Oft haben sie keine IP-Adresse selbst, oder, wenn sie es tun, sie manchmal Maskerade als Ziel server.Thus, kann die Anwendung Proxies nicht Address Translation.

Gateway

Bei weitem ist die am häufigsten eingesetzten Firewall der gateway.This Firewall untersucht die Quell-und Ziel-Adressen und Ports, und bestimmt, ob das Paket die bezeichneten Vorschriften genügt, um durch die Firewall in das servers.There Pass verschiedenen Gateways sind. Einige sind stark vereinfacht und nur das Filtern von Paketen nach Hafen, können andere Filter durch IP-Adresse und Port, und wieder andere führen verschiedene Kontrollen über die Legitimität der einige oder alle IPs. Gateways gibt es in zwei Geschmacksrichtungen: Paketfilter und Stateful-Inspection-Gateways. Lassen Sie uns der Reihe nach. Paketfilter Dies sind grundlegende Firewalls mit sehr wenig Flexibilität und Funktionalität. Oft sind diese in Betriebssystemen wie Mac OS X integriert, um rudimentären Schutz für den Einzelnen workstation.Windows und Linux bieten die weiterführenden Themen Firewalls auf Windows integrierte Firewall hat einige Features der Stateful-Inspection, während Linux IPChains hat, der kann als Full-Firewall-Funktion verwendet werden (im folgenden Beitrag untersucht.) Paketfilter haben auch ihren Platz in der Netzwerk-Architektur. Netzwerk-Router funktioniert als Paketfilter.

Technische Beschreibung

In ihrer einfachsten Form, ein Paketfilter entscheidet darüber, ob ein Paket nur auf die Informationen auf der IP-oder TCP-basierte gefunden / UDP-Schichten vor (Verkehrs-und Netzwerk-Layern bzw. in der Open Systems Interconnection (OSI) Modell. In der Tat ist ein Paketfilter-Router mit einigen Intelligenz. jedoch ein Paketfilter Griffe nur einzelne Pakete, es nicht zu verfolgen von TCP-Sessions. So ist es schlecht ausgerüstet, um gefälschte Pakete, die in durch ein außerhalb interface.These speziell präparierte Pakete werden so tun, als Teil einer kommen, erkennen vorhandene Sitzung, indem Sie die ACK-Flag im TCP-Header. Paketfilter sind so konfiguriert, zulassen oder blockieren Verkehr nach Quell-und Ziel-IP-Adressen, Quell-und Ziel-Ports und Protokoll-Typ (TCP, UDP, (Internet Control Message Protocol [ICMP ], und so weiter). Während rudimentär, können Paketfilter ein wirksames Hindernis, das reduziert Ihre Angriffsfläche. Ein Angriff Oberfläche, im Netz zu sprechen, bezieht sich auf die Anzahl der Ports, die Sie zur Verfügung, dass jemand versucht, zu nutzen. Ein Web-Server, der nur seinen Dienst tut unverschlüsselten Seiten, benötigt nur Port 80 offen für das Internet. Mit einem Paketfilter, können Sie alle eingehenden Datenverkehr zu blockieren, außer, dass bestimmt für Port 80.

Sie haben gerade Ihre reduziert Angriffsfläche von 65535 Ports 1. Während jeder Hacker wert Salz Ihr einziger offener Port finden, müssen Sie stark reduziert ihre Toolset für den Einbruch in Ihre Maschine. Darüber hinaus, wenn es Schwachstellen, auch ein Zero-Day-Schwachstelle, auf einem der anderen Häfen, wird es unmöglich sein, zu erreichen von außen. Ein weiteres Beispiel für Paketfilter Nutzung mit Begrenzung der IP-Adressen erlaubt, einen Server zu kontaktieren. Nehmen wir an, Sie haben ein Unternehmen, dass ein bestimmtes Subnetz 192.168.50.x.Your finanziellen Application-Server sollte nur Dienstleistungsverkehr zu diesem Subnetz hat. Einfach sperren Sie alle anderen Verkehr. Nun ist der einzige Weg, jemand kann sich auf Ihre Bewerbung Server auf Ihre speziellen Subnetz befinden. Paketfilter haben in der Regel ihre eigene Adresse und Anschrift Übersetzung. Einige der spezifischen Techniken, die in den folgenden Artikeln behandelt werden können, um Paketfilter angewendet werden, so werden ihre Grenzen und möglichen Schwachstellen bewusst sein. Ultimative Beispiel für eine vereinfachte Schnittstelle nur Paketfilter ist die alte Microsoft Windows TCP / IP-Filter in fortgeschrittenen Netzwerk properties.This ist so simpel, es lohnt sich nur in wenigen Fällen zu verwenden. In diesem Fall wird der Router blockiert selektiv bestimmte Protokolle, die entschlossen sind, gefährlich sein, und alle anderen Datenverkehr ist zulässig. In diesem Fall, werden die gesperrten Protokolle unsicher, weil sie die Benutzernamen und Passwörter im Klartext, oder sie können von Hackern genutzt werden, die Kontrolle über Maschinen gewinnen zu übertragen. Simple Network Management Protocol (SNMP) können verschiedene Befehle zu übertragen, um Befehle reichen von der Informationsbeschaffung bis die tatsächliche Kontrolle der Geräte devices.These. IRC ist ein gemeinsames Protokoll von Hackern genutzt, um mit Zombies zu kommunizieren. Das Blockieren dieses an der Grenze, sowohl eingehende als auch ausgehende, entfernt ein Kontroll-Kanal für Hacker ist eine Maschine in Frage gestellt werden.

Telnet-und FTP-Protokolle sind, dass beide Daten und Anmeldeinformationen in klaren text.Telnet übertragen ist ein Remote-Befehlszeilen-und FTP-Protokoll wird verwendet, um Dateien zum und vom Server zu übertragen. Bessere Möglichkeiten sind Secure Shell (SSH) und Secure File Transfer Protocol (SFTP) die beide Verschlüsselung von Daten und Authentifizierung. Simple Message Block (SMB) File-Sharing, zwar nicht unsicher an und für sich, hat sich gezeigt, zahlreiche Sicherheitslücken in den haben Umsetzung in älteren Windows-und Linux system.These Schwachstellen können verwendet werden, um Maschinen beeinträchtigen und sollten daher an der Grenze Router blockiert werden. Beachten Sie auch die Peer-to-Peer (P2P) File-Sharing, die nicht in einem akademischen Umfeld ungewöhnlich und sollte berücksichtigt werden bei der Gestaltung Netzwerksicherheit. Pros Packet Filter sind sehr nützlich in bestimmten Situationen. Vor allem sollten sie den Umfang Ihrer Organisation bereitgestellt werden, in denen grobe Filterung ist die beste Option.

Speed

Packet Filter sind extrem schnell. Da sie nur den Ziel-Port und / oder die Quelle / Ziel-IP-Adresse zu prüfen, haben sie sehr wenig zu tun. Einfache Paketfilter sind eine ausgezeichnete Wahl, wenn Sie ein extrem hohem Traffic Ressource, die Pakete in die und aus sehr quickly.A High-Traffic-Website ist eine ideale Anwendung für ein Paket filter.You können auch werfen einen Paketfilter auf Ihrem Corporate Prozess muss Grenze. Vielleicht brauchen Sie nur Häfen wie SSH (22) oder Remote Desktop Protocol (RDP) (3365) offen für Remote-Verwaltung und VPN für Remote-Zugriff durch Benutzer. Perfect. Keiner der Nachteile unten gilt für diese Protokolle und Sie brauchen nichts Lust, den Job zu erledigen.

Rapid Implementation

Schnelle Implementierung ist auch ein großer Pluspunkt für Paketfilter. Solange Sie die erforderlichen Ports und / oder Subnetze, können Sie einen Paketfilter in nur wenigen Minuten eingerichtet haben. Es gibt keine komplizierten Regelsätze und ohne zusätzliche Protokolle zu behandeln. Welche Ports benötigen Sie öffnen und wo kann der Verkehr her? Diese beiden Fragen zu beantworten und Sie auf Ihrem Weg. Paketfilter Während die Vorteile der Schnelligkeit und Einfachheit haben, leiden sie unter Problemen der Sicherheit und andere Einschränkungen, die komplizierter Firewalls nicht.

Weniger sicher

Da Paketfilter grundlegend sind und nicht einfach Packet Inspection, sind sie weniger sicher ist als eine Anwendung proxy.They durch nichts von der Ankunft einer zulässigen Subnetz mit einer zulässigen Port übergeben, stellte keine Fragen.

Port Einschränkungen

Paketfilter verfolgen jedoch nicht, wenn ein eingehendes Paket von oder zu versichern, dass die Rückkehr-Paket an den selben Ort geht kam (siehe "Stateful Inspection"). Dies bedeutet auch, dass das Gespräch nicht aus den unteren statischen Ports auf höhere dynamische Ports verschoben werden kann. Denken Sie daran, die hohe dynamische Ports wir bereits besprochen haben? Viele Anwendungen nutzen diese, nachdem Sie den ersten Händedruck und die beiden Maschinen einigen, wie die Anwendung communicate.The wird einen Umzug in höhere Ports Anfrage kostenlos den unteren statischen Ports für andere Ausgangsstoffe handshakes.With ein Paketfilter, erfordert diese Öffnung die meisten, wenn nicht alle, die dynamische Ports, die natürlich, macht die Firewall nutzlos. Das Windows Mail, Outlook, und den entsprechenden Server, Exchange, zeigen dies sehr gut. Die Kommunikation erfolgt anfangs auf TCP-Port 135 gestartet. Sobald die Verbindung hergestellt ist und authentifiziert, Exchange fordert, dass die Mitteilung verschoben werden bis zu den Häfen rund 5000. Standardmäßig kann dies eine beliebige Anzahl von Ports möglich, dass zu viele Löcher in den Paketfilter erfordern würde gehören. FTP, ein "Standard"-Protokoll, kann mit einer seltsam Paketfilter verhalten. Da die Kommunikation geschieht auf Port 21, aber die Datenübertragung auf Port 20 umgestellt, viele Paketfilter nicht richtig FTP-Pakete passieren, deshalb ist das File Transfer unterbrochen. Stateful Inspection Die Stateful Inspection Gateway ist die Standard-Firewall-Typ eingesetzt werden, um Server zu schützen und andere Netzwerk-resources.There viele Unternehmen, die diese Art von Firewall mit unterschiedlichem Features (in Artikel 4 untersucht). Jetzt lassen Sie uns anschauen, wie diese Firewalls im Allgemeinen.

Technische Beschreibung

Stateful Inspection ist wichtig, die Sicherheit, weil es eine tiefere Ebene der Filterung als Access Control Lists (ACL) gefunden in Routern, die Filter kann nur auf der Grundlage Header-Informationen zur Verfügung stellt. Firewalls, die die Ausführung Stateful Inspection analysieren die einzelnen Datenpakete, wie sie durchziehen die Firewall. Zusätzlich zu den Paket-Header, Stateful Inspection auch bewertet des Pakets Nutzlast und befasst sich mit der Anwendung Protokoll. Es können Filter auf der Grundlage der Quelle, Ziel, und der Dienst der packet.The Begriff "Stateful Inspection angeforderte" bezieht sich auf die Fähigkeit der Firewall zu Denken Sie daran, den Status einer Verbindung und bauen dadurch ein Rahmen für jeden Datenstrom in seiner speicherbare diese Informationen zur Verfügung, ist die Firewall in der Lage, mehr fundierte politische Entscheidungen zu treffen. Stateful Inspection ein paar Schritte unterhalb eines Anwendungs-Proxy und viel besser als ein Paket Filter. In diesem Fall hält die Firewall Länge des TCP-SYN / ACK-Pakete, und leiten das Gespräch zwischen zwei Rechnern in einem Verbindung Tisch. UDP-Protokolle sind in gleicher Weise überwacht werden, aber die Tabelle ist weit weniger umfassend, denn es gibt keine detaillierten Informationen. Stateful Inspection-Firewalls auch handhaben Protokolle wie Generic Route Encapsulation (GRE) und des Protokolls Nr. 47 in VPN-Kommunikation verwendet, und ICMP. Alle diese Arten von Firewalls haben das Konzept der "Inneren" versus "außen". Es kann unter mehreren Innenseiten, dass haben verschiedene Sicherheitsstufen (private Anwender, DMZ, und so weiter), gibt es nur eine externe und es ist absolut vertrauenswürdig. Standardmäßig ist nichts erlaubt, die Firewall von außen zu überqueren. Umgekehrt sind die Geräte auf eine höhere Sicherheit Schnittstelle, wie Benutzer, den Zugang zu einem niedrigeren security interface wie DMZ oder außerhalb. Alle diese Parameter können konfiguriert werden, aber bevor wir anfangen zu diskutieren die Konfiguration, lasst uns ein besseres Verständnis davon, wie eine Firewall entscheidet, was kann und was nicht passieren.

---

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "Application Proxy-und Gateway-Firewalls" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.

---