防火壁(ネットワーキング)

2008年5月11日Linuxの保証 | adminの@ 9:34 pm

計算で、防火壁はセキュリティポリシーによって禁止されるあるコミュニケーションを防ぐためにネットワーク環境で作用する建築構造の防火壁の機能に類似したハードウェアやソフトウェアの部分である。 防火壁はまたNATOの文脈のボーダー防御装置(BPD)、特に、またはBSDの文脈の包みフィルターと呼ばれる。

防火壁に信頼の異なる地帯の間の制御の交通の基本的な仕事がある。 信頼の典型的な地帯はインターネット(信頼無しの地帯)および内部ネットワーク(高い信頼の地帯)を含んでいる。 最終目的はセキュリティポリシーの施行による相違の信頼レベルの地帯と最少の特権主義に基づいて結合性モデル間の管理された結合性を提供することである。

防火壁の適切な構成は管理者からの技術を要求する。 それはネットワークプロトコールとコンピューターの安全性のかなりの理解を要求する。 小さい間違いは防火壁を保証用具として無益することができる。

タイプの防火壁

コミュニケーションがの間で単一ノードとネットワーク行われている、またはの間に2つ以上のネットワークあるかどうか3つの基本的なタイプの防火壁がによって
コミュニケーションはネットワーク層、または適用業務層で横取りされるかどうか
コミュニケーション州は防火壁で追跡されているかどうか
ろ過されたコミュニケーションの規模に関してそこにある:

個人的な防火壁、インターネットを通して普通単一コンピュータに入るか、または残す交通をろ過するソフトウェア・アプリケーション
ネットワークファイアウォール、2つ以上のネットワークまたはDMZs (非武装地帯)の境界で置かれる通常の実行か熱心なネットワーク装置のコンピュータ。 そのような防火壁は接続されたネットワークを書き入れるか、または去るすべての交通をろ過する。
後の定義はネットワーキングの「防火壁」の慣習的な、従来の意味に対応する。

交通が横取りすることができる層について防火壁の3つの主要な部門はある:

ネットワーク層の防火壁
適用業務層の防火壁
適用防火壁
これらは防火壁のネットワーク層そして適用層のタイプ個人的な防火壁がネットワークに役立たないのに重複するかもしれない; 全く、単一システムは両方とも一緒に実行した。

また時々ワールド・ワイド・ウェブの広域ネットワーク(WAN)のネットワーキングの間に使用され、システム・ソフトウェアを支配する適用防火壁の概念がある。 延長記述はオペレーティングシステムの層にそれらを適用業務層の防火壁より、全く低く置き、互い違いにオペレーティングシステムの防火壁と呼ぶことができる。

最後に防火壁トラック包みの州が、防火壁の2つの付加的な部門あるかどうか、によって:

stateful防火壁
無国籍の防火壁

ネットワーク層の防火壁
主要な記事: ネットワーク層の防火壁
ネットワーク層の防火壁は防火壁を通らないように包みがするTCP/IPのプロトコル・スタックのaの(比較的低い)レベルでIP包みフィルターとして規則に一致させなければ、作動する。 防火壁の管理者は規則を定義するかもしれない; またはデフォルトの作り付け規則は適用するかもしれない(ある柔軟性がない防火壁システムでように)。

任意の組み立ては1つ以上の「否定的規則」に一致させない、または「規則」を否定しなさい限り包みがフィルターを渡すようにすることができる。 今日ネットワークファイアウォールはオペレーティングシステムほとんどのコンピュータおよびネットワーク機器に造られる。

現代防火壁はWWWのような源IPのような多くの包みの属性に、源の港、行先IPまたは港、行先サービスまたはFTP基づいて交通をろ過できる。 それらは創始者の議定書、TTLの価値、netblock、源のドメイン・ネーム、および他の多くのに基づいて属性ろ過してもいい。

適用層の防火壁
主要な記事: 適用業務層の防火壁
適用層の防火壁はTCP/IPの積み重ね(すなわち、すべてのブラウザの交通、かすべてのtelnetまたはftpの交通)の適用レベルで動作し、適用に/から移動するすべての包みを横取りするかもしれない。 それらは他の包みを妨げる(通常送り主に承認なしでそれらを落とす)。 原則的には、適用防火壁はすべての不必要な外の交通が保護された機械に達することを防ぐことができる。

不適当な内容のためにすべての包みを点検することによって、防火壁はウイルスの同類の広がりを防ぐことができる。 実際にはしかしこれは従って広範囲の防火壁の設計が一般にこのアプローチを試みない複合体従って試みること困難なり、(適用の変化および内容の多様性を与えられてそれぞれは包みの交通で許すかもしれない)。

XMLの防火壁は最近の一種の適用層の防火壁を例証する。

委任状
委任状装置は防火壁として適用の方法の入力包み(接続要求、他の包みを妨げる間例えば)に返答によって(熱心なハードウェアでまたは一般目的機械のソフトウェアとして動く)機能するかもしれない。

委任状は外的なネットワークから作り内部システムをより困難に改竄する、(適用委任状がきちんと形成されてそのまま残る限り) 1つの内部システムの誤用により必ずしも防火壁以外から開発可能な国防侵犯を引き起こさなかったし。 逆に、侵入者は公共到達可能なシステムを乗っ取り、委任状として彼らの自身の目的のために使用するかもしれない; 委任状は他の内部機械にそのシステムをそれから装う。 内部アドレススペースの使用が保証を高める間、クラッカーはまだターゲットネットワークに包みを渡すように試みるためにからかうIPのような方法を用いるかもしれない。

ネットワーク・アドレス変換
防火壁に頻繁にネットワーク・アドレス変換(NAT)の機能性があり、防火壁の後ろで保護されるホストはRFC 1918年で定義されたように一般にいわゆる「私用アドレス空間」を、使用する。 管理者は頻繁に(討論の余地がある有効性)の努力のそのようなシナリオを内部アドレスかネットワークを隠すためのセットアップした。

コメント無し

まだコメント無し。

このポストのコメントのためのTrackBack URI

残念、コメント形態は現時点で閉鎖している。