Прокси-сервер и межсетевой экран
Структура и функции прокси-сервера
Прокси-сервер (от англ. proxy - «представитель, уполномоченный») - служба (комплекс программ) в компьютерных сетях, разрещая клиентам выполнить косвенные запросы к другим сетевым службам. Сначала клиент соединяется с прокси-сервером и запрашивает любой ресурс (например, электронная почта), выделенный на другом сервере. Затем прокси-сервер или соединяется с указанным подающим и получает ресурс в этом, или возвращает ресурс из собственного кэша (в случаях, если у прокси есть кэш). В определенных случаях запрос клиента или ответа подающего может быть изменен прокси-сервер в кратных целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранить анонимность клиента. Чаще прокси-серверы применяются для следующих целей: Обеспечение доступа компьютеров локальной сети в Интернете. Кэширование данных: если часто происходят реверсирование с теми же самыми внешними ресурсами, возможно, содержать их копию на прокси-сервере и произвести по требованию, упарившись, таким образом, заряжающий канал во внешней сети и ускоряющий получение клиентом опрошенной информации. Сжатие данных: прокси-сервер загружает информацию из Интернета и передает информацию к конечному пользователю в сжатом виде. Такие прокси-серверы используются с целью сохранения внешнего трафика клиента или внутреннего - компании, в которых устанавливается прокси-сервер. Предохранение локальной сети против внешнего доступа: например, возможно скорректировать прокси-сервер так, чтобы локальные компьютеры адресовались к внешним ресурсам только через это, и внешние компьютеры не могут адресоваться к локальному обычно (они "видят" только прокси-сервер).
Ограничение доступа от локальной сети от внешнего доступа: например, возможно запретить доступ к определенным веб-сайтам, ограничить Использование Интернета любыми локальными потребителями, установить квоты на трафике или полосе пропускаемых частот, фильтровать распространение и вирусы. Анонимизация доступа к различным ресурсам. Прокси-сервер может скрыть сходимость на источнике запроса или потребителя. В этом случае целевой подающий видит только информацию о прокси-сервере, например, IP-адресе, но не имеет никакой возможности определить истинный источник запроса. Там также искажают прокси-серверы, которые помещают на целевую дезинформацию подающего об истинном потребителе. Обход ограничений доступа прокси-серверы популярны среди потребителей несвободных стран, где доступ к некоторым ресурсам ограничивается в законодательном порядке и фильтруется. Прокси-сервер, к которому может получить доступ любой пользователь сети Интернет, называют открытым. К главным видам переноса прокси-серверов относят: Прозрачный прокси - схема связи, в который трафик, или его часть, перенаправляется на прокси-сервере неявно (средства коммутатора - распределителя). Таким образом клиент может использовать все преимущества прокси-сервера без дополнительных корректировок, но с другой стороны, не имеет никакого выбора. Обратный прокси - прокси-сервер, который в отличие от прямого, запросы клиентов от внешней сети на одном или нескольких подающих логически выделяются во внутренней сети. Это часто используется для коррекции загрузки сети между несколькими веб-серверами, и увеличения их безопасности, играя таким образом роль объединенной сети экранируют прикладной уровень. Клиентский компьютер имеет настройки (определенная программа или операционная система), согласно которым все сетевые соединения на некотором протоколе делаются не на IP-адресе подающего (ресурс), выбранный из имени DNS ресурса, или прямо устанавливают, и на IP-адресе (и другой порт) прокси-сервер.
При необходимости реверсирование к любому ресурсу на этом протоколе, клиентский компьютер открывает сетевое соединение с прокси-сервером (на необходимом порту) и обращается с нормальной просьбой, как если бы он сразу адресовался к ресурсу. Распознавая данные запроса, проверяя его правильность и разрешения для клиентского компьютера, прокси-сервер, не прерывая соединение, непосредственно сразу открывает новое сетевое соединение с ресурсом и делает тот же самый запрос. Получая данные (или сообщение об ошибке), прокси-сервер помещает на их клиентский компьютер. Таким образом, прокси-сервер - функционально полный сервер и клиент для каждого поддерживаемого протокола и имеет полный контроль над всеми подробными данными реализации этого протокола, имеет возможность приложения политик доступа, установленного тренером в каждом этапе операции протокола. На данный момент, несмотря на увеличение роли других сетевых протоколов, перехода к тарификации служб сети Интернет по скорости доступа, и также появление дешевых аппаратных коммутаторов - распределителей с функциональным NAT, прокси-серверы продолжают использоваться широко на предприятиях, поскольку NAT не может обеспечить достаточный уровень управления использованием Интернета (аутентификация потребителей, фильтрация контента). К самым широко распространенным прокси-серверам возможно перенести: - 3proxy (BSD, многоплатформенный); CoolProxy (proprietary, Windows); Eserv (GPL, Windows); HandyCache (shareware, Windows) бесплатен для домашнего использования Kerio Control (proprietary, Windows, Linux); Microsoft Forefront Threat Management Gateway, ранее Microsoft ISA Server (proprietary, Windows); - nginx (веб-сервер, имеющий режим работы в качестве reverse proxy и часто для этого использующийся); - Squid (GPL, многоплатформенный); Traffic Inspector (proprietary, Windows); UserGate (proprietary, Windows); Интернет Контроль Сервер (shareware, FreeBSD); - TOR (BSD, многоплатформенный).
Структура и функции межсетевого экрана
Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основная цель сетевого экрана - предохранение компьютерных сетей или отдельных зон против несанкционированного доступа. Также сетевые экраны часто называют фильтры как свою основную цель - чтобы не передать, чтобы (фильтровать) пакеты, которые не приближаются под критерии, определенными в конфигурации. Сетевые экраны подразделяются в различные типы в зависимости от следующих характеристик: Обеспечивает ли экранное соединение между одной вершиной и сетью или между двумя или больше различными сетями; На каком уровне сетевых протоколов - управление потоком данных; Прослеживаются ли состояния активных соединений или нет. В зависимости от охвата контролируемых потоков данных сеть экранирует долю на: Традиционная сеть (или объединенная сеть) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (подающий, передающий трафик между сетями) или аппаратное решение, контролируя ввод и продолжение потоков данных между соединенными сетями. Персональный сетевой экран - программа, установленная на пользовательском компьютере и имеемый в виду для предохранения против несанкционированного доступа только определенного компьютера. В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на: Сетевой уровень, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, чисел портов транспортного уровня OSI модели и статических правил, установленных тренером; Сеансовый уровень (также известный как stateful) - трассировка сеансов между приложениями, не передавая пакеты, повреждающие спецификации TCP/IP, часто используемый в плохо умышленных операциях сканирование ресурсов, через неправильные реализации TCP/IP, обрыв замедление соединений, инъекция данных. Уровень приложений, фильтрации на основе анализа данных приложения, передается в пакете. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основе политик и корректировок.
Некоторые решения, которые переносят на сетевые экраны уровня приложения, представляю собой прокси-серверы с некоторыми возможностями сетевого экрана, реализовывая прозрачные прокси-серверы, со специализацией в протоколах. Возможности прокси-сервера и мультизаконной специализации делают у фильтрации намного большего количества дискеты, чем на классических сетевых экранах, но таких приложениях есть все ограничение прокси-серверов (например, анонимизация трафика). В зависимости от трассировки активных экранов сети соединений бывают: stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил; stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с трассировкой текущих соединений и передачи только такие пакеты, которые удовлетворяют к логике и алгоритмам работы адекватных протоколов и приложений. Такие типы сетевых экранов позволяют бороться эффективнее с различными типами атак DoS и уязвимостями некоторые сетевые протоколы. К типичным возможностям сетевого экрана возможно отнести: Фильтрация доступа к незащищенным службам; Препятствование к получению закрытой информации от защищенной подсети, и также к реализации в защищенной подсети ложных данных посредством ранимых служб; Управление доступом к сетевым ресурсам; Может зарегистрировать все попытки доступа как от внешней стороны, и от внутренней сети, которая позволяет сохранять использования учетной записи доступа к Интернету отдельными вершинами сети; Регулирование порядка доступа к сети; Уведомление о подозрительном действии, попытках звучания или атаки к вершинам сети или экрана; Вследствие защитных ограничений некоторые службы, необходимые для потребителя, такие как Telnet, FTP, и так далее может быть блокирован SMB, NFS. Поэтому корректировка противопожарной перегородки требует участие эксперта в сетевой безопасности. Иначе вред от неправильного конфигурирования может превысить милость. Так же следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|