Network Administration: Firewall Protocollen

Al het netwerkverkeer van en naar het LAN moet passeren via een firewall, die ongeoorloofde toegang tot het netwerk voorkomt. Er zijn vier technieken firewalls gebruiken om ongewenste bezoekers uit uw netwerk te houden. Drie van deze technieken worden beschreven. De vierde, packet-filtering, valt niet onder de in dit artikel.

Stateful Packet Inspection (SPI)

Stateful packet inspection, ook wel bekend als SPI, is een stap omhoog in de intelligentie van eenvoudige packet filtering. Een firewall met Stateful Packet Inspection kijkt naar pakketten in groepen in plaats van individueel. Het houdt bij welke pakketten hebben doorgegeven via de firewall en kan patronen die ongeautoriseerde toegang geven detecteren.

In sommige gevallen kan de firewall vasthouden aan pakketten als ze aankomen, totdat de firewall verzamelt voldoende informatie om een ​​beslissing over de vraag of de pakketten moeten worden toegestaan ​​of afgewezen te maken.

Stateful packet inspection was found alleen op dure, enterprise-level routers. Nu echter, SPI firewalls zijn betaalbaar genoeg voor kleine of middelgrote netwerken te gebruiken.

Circuit-level gateway

Een circuit-level gateway beheert verbindingen tussen clients en servers op basis van TCP / IP-adressen en poortnummers. Nadat de verbinding is gemaakt, de toegangspoort does not € ™ t interfereren met pakketten die tussen de systemen.

Bijvoorbeeld, kon u een Telnet-circuit-level gateway gebruiken om Telnet-verbindingen (poort 23) naar een bepaalde server toestaan ​​en andere soorten verbindingen naar die server te verbieden. Nadat de verbinding is gemaakt, de circuit-level gateway maakt pakketten vrij over de verbinding stromen. Als gevolg hiervan, can not de circuit-level gateway € ™ t voorkomen dat een Telnet-gebruiker van het lopende specifieke programma's of met behulp van specifieke opdrachten.

Application Gateway

Een aanvraag gateway is een firewall systeem dat is intelligenter dan een pakje-filtering firewall, stateful packet inspection, of circuit-level gateway firewall. Packet filters behandelen alle TCP / IP-pakketten hetzelfde. In tegenstelling, de toepassing gateways weten de details over de toepassingen die de pakketten die langs de firewall te genereren.

Bijvoorbeeld, een webapplicatie gateway hoogte van de bijzonderheden van HTTP-pakketten. Hierdoor kan niet alleen de bron- en bestemmingsadressen en poorten te bepalen of de pakketten worden toegestaan ​​door de firewall passeren onderzoeken.

Daarnaast toepassing gateways werken als proxy servers. Simpel gezegd, een proxy-server is een server die zit tussen een client-computer en een echte server. De proxyserver onderschept pakketten die bestemd zijn voor de echte server en verwerkt ze.

De proxy server kan het pakket te onderzoeken en besluiten om door te geven aan de echte server, of het kan het pakket weigeren. Of, kan de proxy-server in staat om te reageren op het pakket zelf, zonder tussenkomst van de echte server op alle.

Bijvoorbeeld, web proxies vaak slaan kopieën van veelgebruikte webpagina's in een lokale cache. Wanneer een gebruiker een webpagina aanvraagt ​​van een externe webserver, de proxyserver slim de aanvraag en controleert of het heeft al een kopie van de pagina in de cache. Als dat zo is, de web proxy geeft de pagina direct naar de gebruiker. Indien niet, gaat de proxy het verzoek aan de werkelijke server.

Application gateways zijn zich bewust van de details van hoe verschillende soorten TCP / IP-servers verwerken sequenties van TCP / IP-pakketten te kunnen meer intelligente beslissingen te nemen over de vraag of een inkomende pakket legitiem is of deel uitmaakt van een aanval. Hierdoor applicatie gateways zijn veiliger dan eenvoudig packet filtering firewalls, die slechts met één pakket tegelijk.

De verbeterde beveiliging van toepassing gateways, echter, komt op een prijs. Application gateways zijn duurder dan packet filters, zowel in termen van hun aankoopprijs en de kosten van de configuratie en het handhaven ervan. Daarnaast toepassing gateways trage prestaties van het netwerk omdat ze meer gedetailleerde controle van de pakketten alvorens hen toe te passeren.