Die Kontrolle der TCP / IP-Pakete

Die Inspection Process

Die Kontrolle der TCP / IP-Pakete ist ein mehrstufiges Verfahren. Es folgt eine Zusammenfassung der Schritte, die nicht unbedingt in dieser Reihenfolge:

1. Ein Paket kommt an der äußeren Oberfläche. Es wird geprüft, für zulässig oder verweigertPorts und IP-Adressen. Beachten Sie, dass Stateful Inspection-Firewalls auch einen Hafen und eine IP-Adresse benötigen. IP-Adressen können in Form von einer einzigen Maschine, eine Gruppe von IP-Adressen, oder "any", das heißt jede gültige IP-Adresse im angegebenen Netzwerk.

2. Die Firewall prüft die Quell-IP-Adresse für validity.This Funktion verhindert, daß Datenpakete gefälscht werden übertragen, indem sie nur Pakete, deren Quell-Adressen stimmen das Subnetz der eingehenden Schnittstelle der Firewall oder Routing table.Therefore, wenn das Paket widersprüchliche Informationen über seine Herkunft, es ist unwahrscheinlich, dass es legitim ist und gelöscht wird.

3. Die Firewall vergleicht die Ports und Adressen, um die ACL und entweder löscht das Paket zur weiteren Verarbeitung oder verwirft das Paket.

4. Das Paket ist von und zu Adressen, sowie andere Tracking-Informationen werden in einer Tabelle als Referenz aufgenommen, wenn eine Rückkehr Paket verschickt wird. Stateful Inspection-Firewalls im Auge behalten, wer mit whom.This ist äußerst wichtig für die korrekte Verwendung und den Schutz der dynamische Ports. Sollte das Paket als Teil eines fortlaufenden Zusammenhang gibt es einen Eintrag in der Verbindungstabelle und das Paket Informationen werden an die Tabelle für die Konsistenz verglichen.

5. Wenn das Paket ist ein bekanntes Protokoll wie SMTP (Internet Mail), HTTP (Web) oder FTP (File Transfer), kann das Paket gegen die IANA Standards oder einen privaten Anbieter für compliance.This überprüft werden versichert, dass die Pakete mit fehlerhaften Daten werden gelöscht und gelangen nicht in den Servern, auf denen sie harm.This Ursache ist jedoch nicht gleichbedeutend mit Kontrolle der Anwendung von Proxy-Paketdaten. Anwendungsproxies inspizieren Daten im Paket enthalten sind die Anforderungen einer bestimmten Anwendung in Einklang steht und das Paket neu zu schreiben. Stateful Inspection-Firewalls suchen einfach nur nach Standards und Compliance-Adresse nur translation.They nicht Groß-schreiben die packet.They sind nicht anwendungsspezifisch auch nicht alle Stateful Inspection-Firewalls führen diese Art von Kontrolle.

6. Schließlich schreibt die Firewall die Ziel-IP-Adresse aus dem gültige Internet-Adresse an die private Adresse und sendet sie auf dem Weg.

Gesendeten Pakete von innen nach außen folgen einem ähnlichen Prozess:

1. Die Firewall prüft, für eine gültige IP-Adresse und IP-Adresse erlaubt Reiseziele. Standardmäßig gehen die meisten Firewalls, die eine höhere Sicherheit Schnittstelle erlaubt ist, an eine beliebige Stelle außerhalb der Firewall liegt. Dies kann jedoch außer Kraft gesetzt werden und bewährte Praktiken empfehlen diese Weise (siehe Artikel 4).

2. Ein Vergleich zwischen dem ausgehenden Pakets Parameter und die Einträge in der Verbindung table.The Firewall getan bestätigt, dass die Eintragungen übereinstimmen, und dass das Paket wird an das entsprechende Ziel geleitet.

3. Die Firewall kann die ausgehende Protokolle zu bestätigen, obwohl in den meisten Fällen davon ausgehen, dass Firewalls vertrauenswürdigen Netzwerken gültigen Protokolle verwenden.

4. Adressen übersetzt und das Paket ist auf dem Weg zum Ziel geschickt.

Stateful Inspection Gateway Funktionen

Werfen wir einen Blick auf einige der Features, die Stateful Inspection Firewall so beliebt machen. Obwohl nicht jedes Modell von Firewall enthalten alle, oder sogar die meisten dieser Funktionen, einige werden in fast jedem ein:

-- Zweck gebauten OS Eliminiert die Schwächen in den meisten allgemeinen Betriebssystemen. Da die Firewall OS hat einen einzigen Zweck Filter TCP / IP-Verkehr von einer Schnittstelle zu einem anderen sie nicht über Extras, könnte als eine Anlaufstelle für Kompromiss genutzt werden. Es bedeutet auch, dass das Betriebssystem nicht, dass die Filterung kann komplett von einem Graphical User Interface (GUI)-Schnittstelle für Konfiguration und Wartung getrennt.

-- Anschluss Tabelle Die Methode verwendet, um die Firewall Stateful Packet Filtering, die jedes Paket analysiert, um sicherzustellen, dass nur berechtigte Verkehr der interface.This Traversen bieten ist das Modul, dass die Verbindung Tabelle aufrechterhält und validiert Ziel-und Quell-Adressen.

-- Universal Resource Locator (URL) Filtering Kann URLs Basis des Benutzers auf einer Politik der Netzwerkadministrator oder ein Sicherheits-Feature definiert policy.This Zugriff einschränken können als ein Reverse-Proxy werden. Benutzer innerhalb der Firewall kann der Zugriff auf bestimmte Websites auf die Adresse der Web-Site basiert verhindert werden .

-- Content Filtering Kann ActiveX-oder Java applets.This Block ist eine simple Anwendung Filter, der zu Beginn auf die Trennungslinie zwischen Anwendungs-Proxys und gateways.The Firewall kann entweder spezifische ActiveX und / oder Java-Applets oder alle solche Applets blockieren Unschärfe ist.

-- Network Address Translation (NAT) und Port Address Translation(PAT) Verbirgt interne Lösung aus dem Internet und ermöglicht eine effizientere Nutzung der privaten Adressraum. Wie bereits erwähnt, ist dies der Standard für Gateways. Da beide eine Sicherheitsmaßnahme und eine Möglichkeit, einen eingeschränkten Internet-Adressraum zu erweitern, NAT gültige Internet-Adressen werden von privaten Adressen umwandelt. PAT können verwendet werden, um ein Standard-Port umzuleiten (zB HTTP-Port 80) an einen Standard-Port (Port 8080). Dies ist oft für die Sicherheit oder den Dienst von anderen internen Maschinen Maske verwendet.

-- Cut-through Proxy Authentifiziert Benutzer Zugriff auf Ressourcen durch die firewall.With einer einzigen Authentifizierung Fall erlaubt die Firewall-Benutzer die Datei-und Druckdienste, die sonst außerhalb der Firewall zugegriffen zugreifen.

-- VPN Fähig zur Behandlung der mobilen Nutzer-Zugang und Site-to-Site VPNs nutzen Data Encryption Standard (DES), 3DES, und Advanced Encryption Standard (AES) methods.Thus, eine mobile Benutzer erstellt eine verschlüsselte "Tunnel" von seinem Rechner auf die Firewall, ermöglicht den sicheren Zugriff auf die Ressourcen hinter der Firewall, als ob der Computer physisch hinter der Firewall.

-- Intrusion Detection Aktiviert die Firewall, um gegen verschiedene Formen von bösartigen Angriffen sowie die Fähigkeit, Angriffe über Angriffe zu identifizieren "Signaturen zu schützen." Ein weiteres Merkmal, das die Stateful Inspection Firewall erscheinen lässt ein bisschen wie ein Anwendungs-Proxy. Denken Sie daran, diese sind die allgemeinen Validierungen der Protokolle und sind nicht spezifisch für eine bestimmte Anwendung. Application Proxy-Firewalls sind für spezifische Anwendungen geschrieben und noch viel mehr tun genaue Kontrolle der jedes Datenpaket.

-- DHCP Kann als DHCP-Client und / oder Server. Zwar nicht so sehr ein Sicherheits-Feature bietet sie die Gelegenheit, automatisch IP-Adressen zuteilen Maschinen innerhalb der Firewall, die die Notwendigkeit für eine zweite device.There beseitigt sind einige Argumente gegen den Einsatz dieser Funktion, denn wenn ein Angreifer Zugriff auf Ihren privaten Netzwerk und ist in der Lage, automatisch eine gültige IP-Adresse zu erhalten, macht es viel einfacher, die schädliche Arbeit zu beginnen. (Wenn ein Angreifer Zugang zu Ihrem privaten Netzwerk haben Sie viel größere Bedenken.)

-- Routing-Funktionalität Kann statische Routen zu unterstützen, Routing Information Protocol (RIP) und Open Shortest Path First (OSPF). Nicht unbedingt ein Sicherheits-Feature, sondern eine Beseitigung der andere Netzwerk-Geräte, die aufrechterhalten werden muss.

Unterstützung für Remote Authentication Dial-in User Server / Service (RADIUS) oder Terminal Access Controller Access Control System Plus (TACACS+)

Authentifizierung, Ermächtigung und Buchhaltung für die Nutzer, die durch die Firewall oder die Authentifizierung für die Verbindung mit dem Management ermöglichen, Schnittstellen. RADIUS und TACACS + sind einfach, Cross-Plattform-Authentifizierung Dienstleistungen, die die Notwendigkeit, mehrere Sätze von Benutzernamen und Passwörtern behaupten, dass die Sicherheit erhöhen zu beseitigen.

-- Failover Bietet eine ausfallsichere, hochverfügbare Lösung im Falle von failure.A Netzwerk ist nur dann sinnvoll, wenn es verfügbar ist. Bereitstellung von Failover schützt nicht nur gegen Hardware-Ausfälle, sondern auch gegen ein Versagen auf Grund von DoS-Angriffen oder anderen, nicht-destruktive Unterbrechung des Dienstes. Pros Stateful Inspection-Firewalls sind das beste Gleichgewicht zwischen der Leistung eines Packet-Filter und die Sicherheit eines Anwendungs-Proxy. Es gibt eine große Auswahl dieser Firewalls zur Verfügung und sie haben so gut wie keine Nachteile.

Ein Artikel eingereicht von Maria T.

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "Die Kontrolle der TCP-IP-Pakete" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.