アプリケーションプロキシ、ゲートウェイファイアウォール

ファイアウォールの種類

ファイアウォールには2つの基本タイプ：アプリケーションプロキシ、ゲートウェイです。ゲートウェイは、パケットフィルタ、およびステートフルインスペクションfirewalls.Theseに分かれている機能とデザインが異なると、ネットワークアーキテクチャのさまざまな用途があります。決して、ファイアウォールの1つのタイプがしようとすると、別の種類の義務を果たす。これは、健康と安全に設定、ファイアウォール、その目的と仕事をして実行してするよりも、何かの用にdesigned.This災害に招待されていなかった仕事をしている方が良いです。これらのファイアウォールで見てみましょうとどのように使用される必要があります。

アプリケーションプロキシ

アプリケーションプロキシをファイアウォールの離れが来る各パケットのかかる場合は、基準の設定を満たしているが、それを書き換えてください。調べますと、そのway.Theプロキシ上では、送信する外部ソースからの接続を終了し、プロキシから新しい接続を開始するがあるので、ソースと宛先の間の直接的な相互作用があるdestination.Thisには、サーバーには、優れた保護を提供します。加えて、プロキシを大幅に攻撃を強化され、非常に小さな攻撃面をしています。のためのハッカーは、アプリケーションプロキシをファイアウォールの制御を取ることは非常に困難です。これらのファイアウォールは非常にプロキシこれにサポートされる各application.Theの利点のために書かれる必要があります固有のものは、お客様の特定のアプリケーションの正確なニーズがあるということです対処;ただし、ベンダーの慈悲ではないアプリケーションは、ファイアウォールをサポートしていないに更新する必要があります。遅延は、ファイアウォールのベンダまで、あなたのアプリケーションのアップグレードで発生する場合があります。アプリケーションプロキシをキャッチし、通常の"見えない"は、ネットワーク上にある。多くの場合、彼らはIPアドレスまたは、もし彼らがしないので、時には先server.Thusを装う、アプリケーションプロキシのアドレス変換をしないこと自体は、アドレスがあります。

ゲートウェイ

はるかは、最も一般的な配備のファイアウォールgateway.Thisファイアウォールとは、ソースと宛先アドレスとポートを調べている場合は、パケットがservers.Thereするようにファイアウォールを通過する、指定された規則を満たしているゲートウェイの様々なレベルを決定します。いくつかの非常にポートにのみパケットをフィルタリング、IPアドレスとポートで、他のフィルタ処理できますし、単純化している人もいればIPアドレスの一部またはすべての正当性を様々なチェックを実行します。ゲートウェイの2つのフレーバーがある：パケットフィルタ、およびステートフルインスペクション技術のゲートウェイ。の順番でこれらのほとんどの柔軟性や機能の基本的なファイアウォールです。パケットフィルタをそれぞれ調べてみましょう。一方のLinuxは、することができますipchainsはして多くの場合、これらのOSを、にはMac OS Xなど、個々のworkstation.WindowsおよびLinux用の基本的な保護を提供するために構築されて、より高度なファイアウォールWindowsファイアウォールが組み込まれて、ステートフルインスペクション技術のいくつかの機能があります。フル機能のファイアウォールとして使用します（次の記事で取り上げます。）パケットフィルタは、ネットワークアーキテクチャに自分の居場所があります。ネットワークルーターのパケットフィルタとして機能します。

技術的な説明

その最も基本的なフォームでは、 パケットフィルタ かどうか（開放型システム間相互接続のトランスポートおよびネットワーク層は、それぞれ、（OSI）モデルのパケット情報は、IPまたはTCPで発見のみに基づいて/ UDPのレイヤーを転送する方法について決定を下します。エフェクトでは、パケットフィルタのいくつかのルーターですインテリジェンスしかし、パケットフィルタは、個々のパケットを処理します;は、TCPセッションを追跡していません。従って、悪いことで外interface.These、特に一部のふりをするパケットに細工されたから入ってくる偽装されたパケットを検出するために装備されてソースと宛先のIPアドレス、送信元および宛先ポートによると、TCPヘッダーには、ACKフラグを設定することによって、セッション、既存の。パケットフィルタは、許可するように構成されるか、またはブロックのトラフィック、およびプロトコルのタイプ（TCP、UDPは、（インターネット制御メッセージプロトコル[ICMPの]、およびなど）は基本的に、パケットフィルタには、削減効果的なバリアを提供することができます 攻撃面。攻撃面は、ネットワークでは、話を誰かに悪用しようとする使用可能なポートの番号を指します。これだけを暗号化ページを提供しているWebサーバーでのみ必要なポート80は、インターネットに開きます。パケットフィルタを使用することを除いて、すべての着信トラフィックをブロックすることができますポート80に向かう。

あなたは65535ポートから1への攻撃面を縮小している。ながら、塩の価値はハッカーが1つ開いているポートを見つけるが、大幅にお使いのマシンに侵入するためのツールセットを縮小している。加えて、存在する場合の脆弱性も、ゼロデイ脆弱性は、1つの他のポートには、それに達することは不可能だ 外部からの。パケットフィルタを使用するもう1つの例では、IPアドレスを制限することを含むサーバーへの接続を許可アドレス。の場合は、特定のサブネットにのみ、このサブネットにサービスを提供する必要があります192.168.50.x.Your財務アプリケーションサーバーを持つ企業があると仮定しましょう。単に他のすべてのトラフィックをブロックします。さて、誰かがあなたのアプリケーションサーバーを得ることができる唯一の方法は、特定のサブネット上に存在することです。パケットフィルタは、通常、自分自身のアドレスとアドレス変換している。いくつかの具体的なテクニックは、次の記事で解決のパケットをフィルタリングし、ちょうどその限界と潜在的な脆弱性を認識して適用することができます。シンプルなポートの究極の例は、パケットフィルタは、古いMicrosoft WindowsのTCP / IPフィルタで使用できる高度なネットワークproperties.Thisので、それだけは価値があるいくつかの例で使用する単純化され、このケースでは、ルータを選択すると危険なことに決定され、特定のプロトコル、および他のすべてのトラフィックが許可されてブロックされます。なぜなら、ユーザー名とクリアテキストのパスワードや、彼らはハッカーによるマシンの制御を得るために使用することができます送信するこの例では、ブロックされたプロトコルは安全です。簡易ネットワーク管理プロトコル（SNMP）の情報収集から、デバイスの実際の制御するためのコマンドの範囲devices.Theseための各種コマンドを転送することができます。 IRCの共通のプロトコルがハッカーによってゾンビとの通信に使用されます。国境では、両方の着信および発信は、このブロックのハッカーのための制御チャネルを削除するマシンの中に損なわれる必要があります。

TelnetやFTPのプロトコルは、両方のデータをクリアtext.Telnetでの認証の資格情報を送信され、リモートからのコマンドラインプロトコルおよびFTPとサーバーからファイルを転送するために使用されます。より良い選択肢は、数多くの脆弱性が発見されているのSecure Shell（SSH）をし、セキュアなファイル転送プロトコル（SFTP）どちらのデータを暗号化および認証簡易メッセージブロック（SMB）ファイル共有の中に、それ自体が安全ではなく、アールWindowsおよび旧バージョンのLinux system.Theseの脆弱性の実装機妥協するために使用することができますので、境界ルータでブロックされることがあります。は、学問の設定では珍しいことではありませんまた、ノートでは、ピアツーピア（P2P）ファイル共有、および考慮して、ネットワークセキュリティを設計すべきである。長所パケットフィルタは、非常に特定の状況で便利です。主があなたの組織の境界に配備する必要がありますが粗いフィルタリングは、最高のオプションです。

速度

パケットフィルタのことは非常に高速です。以来、彼らだけの宛先ポートおよび/または送信元/宛先IPアドレスを調べ、それらは非常にわずかな作業している。場合は、非常に高いquickly.Aトラフィックの多いWebサイトは、パケットfilter.Youについても、企業でのパケットフィルタを投げることができる理想的なアプリケーションであるとアウトのパケットを処理しなければ非常に高いトラフィックのリソースを持って単純なパケットフィルタが最適です国境おそらく、あなたはSSH（22）またはリモートデスクトッププロトコル（RDP）（3365）などのポートを必要とリモート管理、およびVPNのユーザーがリモートアクセスを開きます。完璧なため、下記の賛否両論をなし、これらのプロトコルに適用されますし、仕事を得るには何も凝った必要はありません。

迅速な実施

迅速な展開も、パケットフィルタに大きなプラスになります。限り、必要なポートおよび/またはサブネットを知っている場合は、パケットフィルタは、文字通り数分でセットアップすることができます。ようこそに対処するための複雑なルールを設定し、余分なプロトコルです。ポートが何を必要とオープンでのトラフィックから来てくれる？これら2つの質問に答え、あなたの方法にあります。また、パケットフィルタ、速度と単純化のための利点が、それらのセキュリティと、より複雑なファイアウォールではありません他の制限の問題に苦しむ。

以下のセキュア

ため、パケットフィルタの基本的なものと単純なパケット検査を行うこと、それらは以下のアプリケーションよりも安全性がproxy.They何か許可のサブネットから許可されたポートへの到着を介して渡すと、何の質問も。

ポートの制限

パケットフィルタは、着信パケットから、またはその戻りパケットは、同じ場所に行く確実になった（""）ステートフルインスペクションを参照して追跡することはありません。また、これは会話の低い静的ポートを、より高いダイナミックポートに移動することはできません。先ほど説明した、高ダイナミックポートを覚えてる？多くのアプリケーションとの初期ハンドシェイクを行う2つのマシンでどのように高いポートに他の初期handshakes.Withパケットフィルタの下の静的ポートを解放するために移動を要求するアプリケーションcommunicate.Theすることに同意した後、これらを使用し、これは、ほとんどの開放が必要の場合すべてではないが、もちろん、ファイアウォールの利用価値がないの動的ポートのWindowsメールアプリケーション、Outlook、およびそれに対応するサーバーは、Exchangeは、この非常によく示している。最初の通信は、TCPポート135上で開始されます。いったん接続が確立され、認証された場合、Exchangeの要求は、通信ポートに5000の周りを移動させる。デフォルトでは、可能なポートのパケットフィルタでも多くの穴を必要とする任意の番号を含めることができます。は、FTP、"標準"のプロトコルは、不思議なパケットフィルタを持って行動することができます。以来、通信のデータ転送のポート20に切り替えると、ポート21が、上で発生すると、多くのパケットフィルタが正しくFTPパケットを渡すために失敗するため、ファイルを転送します。ステートフルインスペクションステートフルインスペクションゲートウェイが中断されたファイアウォールの標準タイプとサーバを保護するためにデプロイされて他のネットワークresources.Thereている多くの企業は、（資料4）の探索機能の程度の差で、ファイアウォールのこのタイプを提供します。今のところは、見てみましょうどのように一般的にこれらのファイアウォール機能します。

技術的な説明

これは、アクセス制御リスト（ACLの）ルータでは、ヘッダー情報に基づいてこれが唯一のフィルタが以上のフィルタリングをより深いレベルを提供するステートフルインスペクション安全保障に重要です。としては、ファイアウォールを通過するファイアウォールは、個々のデータパケットを分析し、ステートフルインスペクションを実行します。パケットのヘッダーに加えて、パケットのペイロードを査定し、アプリケーションプロトコルを見て、ステートフルインスペクション。ソース、宛先に基づいてこれをフィルタリングできます、およびサービスのpacket.The項"ステートフルインスペクション技術によって要求された"ファイアウォールの機能を指しますとの接続の状態を覚えてそれをmemory.Withこの情報を利用可能な各データストリームのコンテキストをビルドすると、ファイアウォール。ステートフルインスペクション、アプリケーションプロキシの下、いくつかの手順を実行し、多くのパケットよりも優れているより多くの情報政策決定をすることができますフィルタです。このケースでは、ファイアウォールのTCP SYNを追跡/ ACKパケットを開始すると2つのマシン間での会話を続ける接続 テーブル。 がないため、詳細な情報は、UDPプロトコルを同様の方法ではテーブルをはるかに完了すると、監視されます。ステートフルな検査も、一般的なルートのカプセル化（GRE）およびプロトコル47 VPN通信で使用されると、ICMPなどのプロトコルを処理するファイアウォールのすべてのファイアウォールでこれらの種類の対"外部の"内部"の概念をしている。"一方、いくつかの内部をされることがあります（ユーザーは、非武装地帯、およびなど）のプライベートセキュリティの様々なレベルが1つしかない外ですが、完全に信頼されています。デフォルトでは、何も外部からのファイアウォールを通過することは許可されます。逆に、ユーザなど、高いセキュリティをインターフェイス上のデバイスを、DMZまたは外部のような低いセキュリティインターフェイスへのアクセスを許可されます。すべてのこれらのパラメータの設定ですが、前に、我々の構成について議論を開始する、どのようファイアウォールの内容とを介して渡すことができないことが判断のより良い理解を得ることができます。

記事は、マリアT.提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"アプリケーションプロキシおよびゲートウェイのファイアウォール"を自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。