La baisse des taux de transfert de données que un filtre de paquets

Réseau en standard

Un pare-feu stateful inspection est la norme de facto pour la protection du réseau en ce moment. Installation du moins n'est pas une sage décision sans motif valable (par exemple, une exigence de transfert de données le plus rapide possible, tout en maintenant une certaine protection pour le réseau interne).

Performance et protection

Le solde de performance par rapport protection entre un filtre de paquets et d'un proxy d'application est excellente. Depuis l'inspection avec état est la norme actuelle, la plupart des vendeurs en charge ce type de pare-feu et l'offrir en de nombreux niveaux de taux de transfert et le coût. Cons Les raisons en sont très rares à ne pas utiliser un firewall stateful inspection, mais il ya quelques considérations possibles .

La baisse des taux de transfert de données que un filtre de paquets

Comme indiqué plus haut, il ya une dégradation des performances sur une filter.Tables paquets sont maintenus et la logique est utilisé pour analyser les listes d'accès, d'un coût mémoire et de puissance processeur. Manque de contrôle des Beaux -Une régulation fine de proxy d'application est perdu en faveur d'une meilleure performance. Logiciel pare-feu Stateful inspection est écrit pour être génériques (soit utilisable dans presque n'importe quel environnement), alors que proxy d'application sont spécifiques et donc fournir un contrôle précis pour les applications spécifiques.

Décider d'un pare-feu Introduction

Choisir une solution pare-feu implique de nombreux facteurs, certains qui peuvent être contrôlés (par exemple, les caractéristiques et le coût) et d'autres qui ne peuvent pas être contrôlés (par exemple, la structure globale du réseau, l'histoire et la politique). Cet article présente les avantages et les inconvénients des différents firewalls . La décision finale de ce qui fonctionnera le mieux dans votre environnement repose sur vos épaules et sur celles qui contrôlent le budget.

Appliance Solution / Hardware

Considéré comme l'approche la plus sécurisée, un Network Appliance est un appareil hautement spécialisé qui est placé sur le réseau entre un environnement hostile et un environnement sécuritaire. Un "hostile" l'environnement pourrait se traduire par Internet avec un accès ouvert à tous, le réseau contenant la base utilisateur contre le réseau contenant les serveurs, ce qui devrait ont un accès limité; ou diviser le réseau en segments de différentes sécurité ou d'accès, où certaines zones ont moins accès en raison des données sensibles y sont stockées. Respect des lois différentes est particulièrement important pour les organismes gouvernementaux et privés au moment de choisir entre les types de pare-feu. Ces lois incluent la Federal Information Processing Standards (FIPS) (www.itl.nist.gov / fipspubs) et le Health Insurance Portability and Accountability Act (HIPAA) (www.hhs.gov / OCR / HIPAA) aux Etats-Unis, et le Canadian Security of Information Act (LPI) (www.tbssct. gc.ca/pubs-pol/gospubs/tbm-12a/sia-lpi1-e.asp # Effe). Ces lois exigent que certaines normes soient respectées, y compris les pare-feu matériel normes. Si vous tombez dans une de ces lois, vous mai ne pas avoir l'option d'un pare-feu logiciel.

Hardware

Avec une solution basée sur le matériel, vous disposez d'un équipement réseau dont le seul but est de fournir un pare-feu qui va passer les paquets et venir rapidement, tandis que leur inspection repose sur une définition du matériel de sécurité réseau policy.A appareil assure la fonction unique de paquets de filtration et / ou d'inspection. Dans sa forme la plus simple, un routeur réseau configuré comme un filtre de paquets est un pare-feu hardwarebased. Dans sa forme la plus complexe, il est un proxy d'application sur le matériel spécialisé protéger un dossier de demande spécifique.

Packet Filter Attention!

Faire pas dépendent de filtrage de paquets routeurs pour vos besoins de pare-feu; ces attaques peuvent aller tout droit à travers un filtre de paquets (par exemple, le Microsoft Structured Query Language (SQL), serveur a un exploit qui peut être compromise en utilisant le port bien connu SQL 1433). Blocage de toutes les autres ports pour le serveur SQL afin que les utilisateurs peuvent interroger la base de données diminue la surface d'attaque, et ne vous protégera pas contre une attaque à ce port. L'utilisation d'un proxy d'application vous permet d'analyser les paquets et de réduire la possibilité qu'un paquet malveillant va traverser le pare-feu et de compromettre votre serveur. Le système d'exploitation (OS) et un logiciel de contrôle sont parfois modifiés pour un matériel particulier. Il est rare que du matériel réseau pour être vendus sans système d'exploitation intégré, mais cet OS mai ne pas être unique au matériel. Linux, UNIX et Windows sont souvent le système d'exploitation de base. Même à cela, l'OS est généralement durcie contre les attaques réseau et / ou dépouillée de fournir un ensemble spécifique de fonctions. Il est difficile d'ajouter des produits tiers ou de modifier les fonctionnalités de base d'un matériel à base de pare-feu. Considérons les implications de sécurité de modifier la fonctionnalité d'un bien conçu et durci OS.Teams de personnes dévouées ont travaillé à la conception de matériel et de logiciels d'utiliser ensemble pour la plus grande fonctionnalité et security.You n'ont pas à s'inquiéter de la façon dont le système d'exploitation fonctions , il suffit de brancher, de définir les ensembles de règles, et la seule responsabilité go.Your concernant l'OS et des logiciels de filtrage est maintenant up-to-date patches.

un article présenté par Daniel I.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article "Lower Taux de transfert des données qu'un Packet Filter" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.