のTCP、IPパケットの検査検査工程 TCPの検査/ IPパケットは、マルチステップの手順です。どのような次の順序での手順の概要を、必ずしもされます: 1。パケットは、外部インターフェイスに到着します。それをチェックされて 許可 または 拒否ポートとIPアドレス。は、ステートフルインスペクションファイアウォールの両方のポートとIPアドレスを必要としてください。 IPアドレスを1つのマシンのIPアドレス、または"任意のグループは、"指定されたネットワーク上の任意の有効なIPアドレスを意味の形式で指定することができます。 2。ファイアウォールからのパケットの偽装を防ぐに送信され、そのソースは、ファイアウォールの着信インターフェイスまたはルーティングのサブネットと一致するアドレスのパケットのみを許可することでvalidity.This機能の送信元IPアドレスをチェックtable.Therefore場合は、パケットが一貫性のない情報を、その起源について、それが正当なものであると低いドロップされます。
3。ファイアウォール、およびいずれかのポートとは、ACLへのアドレスを比較し、さらに処理のためのパケットを消去するパケットが値下がりしました。 4。パケットの 〜から および 〜へ アドレスだけでなく、他の追跡情報は、表には参照するときの戻りパケットの送信元が記録されます。ステートフルインスペクションファイアウォール、非常に正しい使用して、動的ポートを保護するために重要である人whom.Thisに語りかけているのを追跡する。パケットの継続的な接続の一部をすれば、そこは、接続テーブル内のエントリとパケット情報は、一貫性のためのテーブルと比較しています。 5。場合は、パケットのSMTPなどのよく知られているプロトコル(インターネットメール)は、HTTP(Web)の、またはFTP(ファイル転送)の場合、パケットは、IANAの基準やベンダーcompliance.This民間の基準に照らしてチェックされることがあります保証は、パケットしかし、パケットデータのアプリケーションプロキシの検査に相当するを含む不正な形式のデータが削除されますどこharm.Thisを引き起こす可能性のあるサーバーに到達しない場合ではありません。アプリケーションプロキシは、特定のアプリケーションの要件に適合するようにしてパケットを書き換え、データパケットに含まれて検査します。ステートフルインスペクションファイアウォール、単に標準への準拠だけtranslation.They packet.Theyリライト卸売しないアドレスを探して、アプリケーション固有ではないされても、すべてのステートフルインスペクションファイアウォールのチェックは、このタイプを実行します。 6。最後に、ファイアウォールは、プライベートアドレスには、有効なインターネットアドレスからの送信先のIPアドレスを書き換えると、その方法で送信されます。 パケットは、内側から同様の手順で外部に送信される: 1。有効なIPアドレスをファイアウォールのチェックと許可IPアドレスを宛先デフォルトでは、ほとんどのファイアウォールでは、より高いセキュリティをインターフェイスは、ファイアウォールの外側の任意の場所へのアクセスを許可されると仮定します。しかし、これとベストプラクティスをオーバーライドすることができますこの(資料4参照)を行ってお勧めします。 2。比較すると、発信パケットのパラメータとの接続をtable.Theファイアウォール内のエントリの間に実行されているエントリと一致すると確認するには、パケットを適切な宛先に向かっている。 3。ただし、ほとんどのケースでは、ファイアウォールは、信頼できるネットワークの有効なプロトコルの使用を想定し、ファイアウォール、発信プロトコルを確認することがあります。 4。アドレスと翻訳されているパケットが宛先に向かって送信されます。 ステートフルインスペクションゲートウェイ機能の一部では、ステートフルインスペクションファイアウォールのように人気が出るの機能を見てみましょう。一方、ファイアウォールではないすべてのモデルはすべて、あるいは、これらの機能のほとんどは、いくつかされるほぼ全てのいずれかに含まれます: - 目的は、OS組み込み の弱点を最も一般的なOSで見つかりましたが不要である。ファイアウォールのOSのため、1つのインターフェイスが別にエキストラは、妥協のエントリポイントとして活用される可能性がないから1つの目的は、フィルタのTCP / IPトラフィックをしています。また、OSには、フィルタリングを完全に構成および保守のためのインターフェイスはグラフィカルユーザーインターフェイス(GUI)から分離できることを意味します。 - 接続表 ファイアウォールでは、唯一の合法的なトラフィックinterface.This横断を確保するため、各パケットを分析し、ステートフルパケットフィルタリングを提供するために使用する方法であることをモジュールに接続テーブルを保持し、検証する宛先および送信元アドレス。 - のUniversal Resource Locator(URL)をフィルタリング URLは、ポリシーは、ネットワーク管理者またはセキュリティpolicy.This機能によって定義されたユーザーのベースにアクセスを制限することはできますリバースプロキシと見なされることができます。ファイアウォールの内側にアクセスするユーザーが特定のWebサイトは、Webサイトのアドレスに基づいて阻止することができます。 - コンテンツフィルタリング ActiveXまたはJava applets.Thisをブロックすることはできますが、アプリケーションプロキシのいずれか特定のActiveXおよび/またはJavaアプレット、またはそれらのすべてのアプレットをブロックすることができますgateways.Theファイアウォールの境界線をあいまいになり始めている単純なアプリケーションのフィルタです。 - ネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)の のものを隠します内部のインターネットアドレスとプライベートアドレス空間をより効率的に使用することができます。上述のように、このゲートウェイ用の標準規格です。 NATのプライベートアドレスに有効なインターネットアドレスになります両方のセキュリティを測定し、制限的なインターネットアドレス空間を拡張するための方法として、。PATの(例えば、HTTPポート80)非標準のポート(ポート8080)が標準のポートをリダイレクトするために使用することができます。これは、セキュリティや他の内部マシンからマスクは、サービスに使用されます。 - カットプロキシを介して ユーザーの認証firewall.With単一の認証イベントを介してリソースへのアクセスは、ファイアウォールファイルとそれ以外の場合は、ファイアウォールの外にアクセスできなくなるサービスと印刷サービスへのアクセスをユーザーに許可します。 - VPNの 対応携帯電話ユーザーがアクセスし、サイトの処理ツーサイトVPNのデータ暗号化標準(DES)は、3DES、およびAdvanced Encryption Standard(AES)をmethods.Thus、モバイルユーザーは、ファイアウォールへの自分のコンピュータから暗号化された"トンネル"を作成活用し、 、ファイアウォールの場合と同様に、コンピュータは物理的に背後には、ファイアウォールの背後にあるリソースへのセキュアなアクセスを許可する。 - 侵入検知 ファイアウォールを有効に悪意のある攻撃の様々な形だけでなく、能力の攻撃を介して、"署名の攻撃を識別するために保護するために。"だが、そのステートフルインスペクションファイアウォールです別の機能をアプリケーションプロキシのようなビット表示されます。覚えて、特定のアプリケーション用に固有のもので、これらのプロトコルの一般的な検証をしています。アプリケーションプロキシをファイアウォールの特定のアプリケーション用に記述されてははるかに正確なチェックは、各データパケットに。 - DHCPを DHCPクライアントおよび/またはサーバーとして動作できます。それほど多くのセキュリティ機能は、その機会は自動的に2番目のdevice.Thereの必要性を排除は、ファイアウォールの内側のマシンにIPアドレスを割り当てることができますこの機能の使用に対していくつかの引数、なぜなら、もしあなたのプライベートに侵入者がアクセスしたネットワークと自動的に有効なIPアドレスを取得することができる、それをはるかに悪意のある作業を開始しやすくなります。 (もし、侵入者は、プライベートネットワークへのアクセスがある場合、はるかに大きな懸念がある。) - ルーティング機能 情報プロトコル(RIP)ルーティング、および静的ルートをサポートできるオープン最短パスファースト(OSPF)。厳密にはセキュリティ機能が、他のネットワーク機器の除去が維持される必要があります。 リモート認証ダイヤルインのサポートユーザーのサーバーの/サービス (RADIUS)の または ターミナルアクセスコントローラアクセスコントロールシステム プラス記号(のTACACS+) 、認証を許可し、ユーザは、ファイアウォール、またはそれらの管理に接続するための認証を有効に通過するための会計処理のインターフェイス。 RADIUSおよびTACACS +、クロス基本的なプラットフォーム間の認証サービスは、必要があるセキュリティ向上のユーザ名とパスワードの複数のセットを維持するために排除します。 - フェールオーバー failure.Aネットワークの場合は、弾力性、高可用性ソリューションを提供可能な場合にのみ有用です。フェールオーバーを提供するだけでなく、ハードウェアの障害に対して保護するだけでなく障害のDoS攻撃や他の非サービスの破壊的な中断のために反対長所ステートフルインスペクションファイアウォール、パケットフィルタのパフォーマンスと、アプリケーションプロキシのセキュリティの間の最適なバランスです。これらのファイアウォールの利用可能な幅広い選択が、彼らが少ないことがあれば、欠点。 記事は、マリアT.提出 免責事項:弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。 重要: この記事は、"TCPのIPパケットの検査"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。
|
|||||
| Online: 240 users browsing the articles directory |
|
|