5.3. Основные компоненты мэ
МЭ состоят, как правило, из нескольких компонент, основными из которых являются следующие компоненты:
Фильтрующие маршрутизаторы;
Шлюзы сетевого уровня;
Шлюзы прикладного уровня.
5.3.1. Фильтрующие маршрутизаторы
В этом случае фильтрация пакетов осуществляется на основе адресной информации, содержащейся в заголовках пакетов. В простейшем случае фильтрующий маршрутизатор (ФМ) фильтрует IP – пакеты по следующим параметрам:
По IP – адресу отправителя или по IP – адресу получателя;
По порту отправителя или получателя (порт означает привязку пересылки информации к конкретной прикладной задаче, т.е. если отправитель и получатель информации работают совместно по двум прикладным задачам, задачи могут быть привязаны к различным портам).
Пример работы фильтрующего маршрутизатора
Необходимо обеспечить фильтрацию протоколов для следующего фрагмента сети:
(А=
123.4.5.6)Управляющий Компьютер
TELNET
Фильтрующий
маршрутизатор
Сервер новостей (А=
123.4.5.9)
SMTP
NNTP
Почтовый клиент (А=
123.4.5.8)
Почтовый клиент (А=
123.4.5.7)
Примечание: (NNTP – Network News Transfer Protocol)
Сведем набор правил фильтрующего маршрутизатора для данного фрагмента сети в таблицу.
Тип протокола |
Адрес отправителя |
Адрес получателя |
Порт отправителя |
Порт получателя |
Действие |
TCP |
* |
123.4.5.6 |
1023 |
23 |
Разрешить |
TCP |
* |
123.4.5.7 |
1023 |
25 |
Разрешить |
TCP |
* |
123.4.5.8 |
1023 |
25 |
Разрешить |
TCP |
129.6.48.254 |
123.4.5.9 |
1023 |
119 |
Разрешить |
* |
* |
* |
* |
* |
Запретить |
Комментарии:
Первое правило позволяет пропускать пакеты типа TCP из сети Интернет от любого источника с номером порта, большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET и все клиенты TELNET должны иметь порты с номерами, не меньшими 1023.
Правила 2 … 4 – аналогичны первому правилу.
Пятое правило блокирует все остальные пакеты.
Недостатки фильтрующих маршрутизаторов:
Правила фильтрации пакетов формулируются сложно и обычно нет средств для тестирования их корректности, кроме ручного тестирования;
Внутренняя сеть видна из общедоступной сети;
Не помогают при атаках типа «подмена адреса», когда кракер использует адрес авторизованного клиента;
При нарушении работоспособности ФМ все компьютеры за ним становятся полностью незащищенными либо недоступными;
Отсутствует должным образом реализованная аутентификация пользователя.