Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Міністерство освіти і науки України
Уманський державний педагогічний університет імені Павла Тичини
Інститут природничо-математичної та технологічної освіти
Фізико - математичний факультет
Кафедра ІКС
Сучасні мережеві екрани
Виконала:
студентка 2 курсу 3 групи
Куріч Анастасія
Викладач:
Паршуков С. В
Умань- 2013
Зміст
Список використаних джерел
Мережевий екран - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію що проходять через нього мережевих пакетів на різних рівнях моделі OSI у відповідності з заданими правилами .
Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.
Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих адрес або портів на зовнішні, що використовуються за межами ЛОМ.
Мережеві екрани мають багато поширених назв. Ось деякі з них:
Брандмауер - запозичений з німецької мови термін, що є аналогом англійського firewall в його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від поширення пожеж).
Файрволл, файрвол, файервол, фаєрвол - утворено транслітерацією англійського терміна firewall, еквівалентного терміну міжмережевий екран, в даний час не є офіційним запозиченим словом в російській мові немає.
Мережеві екрани підрозділяються на різні типи залежно від таких характеристик:
Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:
Вироджений випадок - використання традиційного мережевого екрану сервером, для обмеження доступу до власних ресурсів.
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
Залежно від відстеження активних сполук мережеві екрани бувають:
Мережеві екрани мають багато важливих функцій. Першою з яких є:
• Фільтрація пакетів. Це одна з трьох загальновідомих функцій мережевого екрану. У цьому випадку виконуються зовсім прості функції (фактично як у спеціалізованого маршрутизатора), які полягають у перегляді заголовка кожного пакету та перевірки ІР адреси та порта на правильність. Наприклад, пакет, який передається в Інтернет, але має локальну адресу призначення, блокується. Ця функція присутня у всіх сучасних мережевих екранах і відрізняється високою швидкодією та відсутністю необхідності діалогу з користувачем.
• Проксі-сервер. Це друга загальновідома функція. Різниця між проксі-сервером та фільтрацією пакетів полягає в тому, що проксі-сервер вимагає, щоб всі сеанси зв’язку встановлювались через нього, а не напряму. Отримавши дані, проксі-сервер відсилає їх далі від свого імені, а отримавши відповідь, пересилає її потрібному комп’ютеру внутрішньої мережі. Як можна здогадатись, продуктивність не є такою ж високою, як при фільтрації пакетів, але достатньою, оскільки відбувається тільки заміна заголовка пакета. Головною перевагою проксі-сервера є те, що він приховує справжні адреси ваших комп’ютерів, замінюючи їх на свою. Це унеможливлює атаку на конкретний комп’ютер в підмережі.
• Проксі-сервер програм. Це третя функція. Цей різновид проксі- сервера відрізняється “ розумінням ” протоколів програм, що ведуть передачу даних. Хороший приклад такого сервера – поштовий сервер. Проксі-сервер програм може проводити ідентифікацію користувачів, а не тільки покладатись на ІР адресу, в деяких випадках можливе виявлення передавання вірусів та іншого шкідливого коду. Це все звичайно потребує набагато більших обчислювальних потужностей, а також в більшості випадків вимагає значного перенастроювання робочих станцій, через що втрачається прозорість роботи мережевого екрану.
• Кешування даних. Це не є традиційною функцією мережевих екранів, але на даний час стає надзвичайно популярною властивістю. Ідея полягає у тому, що, оскільки всі дані проходять через мережевий екран, він може зберігати найбільш популярну інформацію і при наступному звертанні за нею видати її зі свого кешу.
• Статистика та повідомлення. Важливою властивістю мережевого екрану є ведення історії всіх мережевих з’єднань, а також вивід повідомлень про атаки на мережу чи комп’ютер. Історія з’єднань допомагає правильно настроїти мережевий екран, щоб комп’ютер був одночасно захищений від нападів і відкритий для доступу авторизованим користувачам.
• Керування. Для персональних мережевих екранів основна характеристика – зручність їхнього налаштування. Керування міжмережними екранами здебільшого відбувається дистанційно (використовуючи HTML інтерфейс чи інший), що потребує впевненості в надійності авторизації та каналу зв’язку.
Такий спосіб фільтрації накладає певні обмеження, так як не забезпечує обов’язкового перегляду всієї інформації, що передається мережевою підсистемою, оскільки програма, при потребі, може напряму звертатися до інтерфейсу TDI, оминаючи Windows Sockets. Але у зв’язку з простотою реалізації цей метод варто розглянути.
• Winsock Layered Service Provider (LSP). Цей метод полягає у перехопленні викликів прикладних програм функцій з бібліотеки сокетів. Крім цього, він дозволяє ідентифікувати процес, який ініціалізував виклик. LSP можна використати для реалізації таких задач як QOS (Quality Of Service), шифрування потоків даних тощо. Але цей метод зовсім не підходить для захисту від вірусів і їм подібного, оскільки TCPIP.sys можна викликати оминаючи Windows Sockets, використовуючи TDI. Також цей спосіб зовсім не підходить для фільтрації пакетів на маршрутизаторі, оскільки вона виконується драйвером протоколу, а деколи не доходить і до нього.
• Windows 2000 Packet Filtering Interface. Цей метод можна використовувати тільки в операційних системах Windows класу сервер версії 2000 або вище. Він полягає у встановленні прикладною програмою набору фільтрів (ІР адреса та порт), на основі яких операційна система здійснює фільтрацію пакетів.
• Заміна Winsock DLL. Як можна зрозуміти з назви, цей спосіб полягає у заміні бібліотеки winsock.dll на свою. Враховуючи сучасні можливості фільтрації пакетів в Windows, цим методом слід користуватись в останню чергу, оскільки використання своєї бібліотеки може призвести до нестабільності системи.
• Глобальне перехоплення. Можливо реалізувати глобальне перехоплення всіх потенційно небезпечних функцій. Але цей метод також не є раціональним, оскільки він трудомісткий і загрожує стабільності системи.
Фільтрація на рівні ядра перш за все означає написання драйвера з подальшим введенням в нього необхідної функціональності, відповідно до вибраного способу реалізації фільтрації.
• Kernel-mode sockets filter. Цю технологію можна використовувати для Windows NT/2000/XP. Вона полягає у перехопленні всіх викликів з msafd.dll (найнижча з user-mode бібліотек Windows Sockets) до модуля ядра afd.sys (TDI-клієнт, kernel-частина зі складу Windows Sockets). Цей метод заслуговує на увагу, але його можливості не набагато ширші від LSP.
• TDI-filter. Цю технологію можна використовувати у всіх 32 розрядних версіях Windows, хоча конкретні реалізації відрізняються. А полягає цей метод у написанні драйвера, який розташується безпосередньо над драйвером ТСР/ІР, таким чином фільтруючи всі дані, що передаються від нього вищим рівням. Це досить відомий спосіб фільтрації і використовується у ряді комерційних мережевих екранів. Однак його можна використовувати тільки для персональних мережевих екранів (з вищезгаданих причин).
• NDIS Intermediate Driver. Microsoft передбачила цей клас драйверів якраз для потреб подібних нашим. Однак їх функціональність в операційних системах Windows 98/Me/NT залишає бажати кращого, а в Windows 95 вони взагалі відсутні. Крім цього, ці драйвери дуже незручні в інсталяції для кінцевого користувача.
• Windows 2000 Filter-Hook Driver. Цей метод можна використовувати в операційних системах Windows 2000 і вище. Полягає він у написанні драйвера, який реєструє callback функцію для фільтрації пакетів.
• NDIS Hooking Filter Driver. Якщо коротко, то цей метод зводиться до перехоплення деякої підмножини функцій бібліотеки NDIS. В подальшому за допомогою цих функцій можна відслідковувати реєстрацію всіх протоколів, встановлених в операційній системі, і відкриття ними мережевих інтерфейсів. Серед переваг даного методу слід також згадати легкість інсталяції та прозору роботу з Dial-Up інтерфейсами.
Мабуть ні для кого не буде секретом, що найкращим безкоштовним фаєрволом сучасності ось уже кілька років вважається Comodo Firewall — один з найкращих безкоштовних файерволів, що нарівні конкурує з платними аналогами. На відміну від інших, творці цього файервола пропонують повну версію програми для захисту комп’ютера від небажаної цікавості сусідів по Інтернету. Comodo Firewall орієнтований на простого, необізнаного в нетрях мережевих налаштувань, користувача.
Comodo Firewall допомагає зрозуміти, що відбувається при підключенні до Інтернету тієї чи іншої програми, аналізуючи кожне підозріле з’єднання. Про те що відбувається фаєрвол інформує користувача за допомогою спливаючих вікон, в яких відносно простою мовою пропонується «вирішити долю» того або іншого з’єднання.
Основні характеристики Comodo Firewall:
- Повний постійний контроль і захист персонального комп’ютера від інтернет - атак, троянів, хакерів, скриптів і інших невідомих загроз.
- Повний контроль за активністю програм в Інтернеті.
- Стеження за трафіком в режимі реального часу, що надає можливість миттєво реагувати на можливі загрози.
- Модуль захисту Comodo Defense + (система запобігання вторгнення рівня хоста).
- Автоматична перевірка наявності оновлень Comodo Firewall.
- Контроль за оновленнями програмного забезпечення.
- Простий, інтуїтивно зрозумілий багатомовний інтерфейс.
На другому місці кращих фаєрволів розмістився PrivateFirewall. Це нове ім’я серед безкоштовних програм (раніше це був комерційний продукт), але він досить швидко сягнув вершин незалежних рейтингів.
Privatefirewall — безкоштовний персональний фаєрвол, що надає користувачеві багаторівневий проактивний захист від різних мережних загроз і небезпечних додатків. Використовуючи Privatefirewall, користувач може легко встановити ті або інші правила безпеки для Інтернету та локальних мереж.
Крім безпрецедентного персонального захисту брандмауера, Privatefirewall пропонує користувачеві декілька рівнів проактивного (базованого на поведінці додатків) захисту: монітор додатків, монітор реєстру, монітор процесів, поштовий монітор, системний монітор.
Основні можливості Privatefirewall:
—Регулювання рівня безпеки для доступу до Інтернету і локальної мережі.
— Фільтрація пакетів.
— Контроль додатків, що вимагають доступ в Інтернет.
— Запобігання проникнення вірусів, троянів, черв’яків і інших шкідливих програм.
— Відстеження довірених процесів і сповіщення користувача при виявленні потенційно небезпечного процесу.
— Корисні спливаючі вікна, що інформують про поведінку програм.
— Сканування та звіт про порти.
— Повна інтеграція з Центром Безпеки Windows.
— Моніторинг мережевого трафіку.
— Можливість зміни правил «на льоту».
PrivateFirewall вирізняється винятковою легкістю, багатошаровим проактивним захистом, та пропонує користувачеві повний захист від шкідливих програм, захист реєстру і процесів Windows та багато інших корисних можливостей. Як і в інших сучасних фаєрволах, в цьому є можливість вибору між кількома рівнями захисту (високий, низький та власний).
Проте, інтерфейс PrivateFirewall досить заплутаний і користувачеві доведеться провести досить багато часу, для того, щоб налаштувати його для своїх потреб. Мабуть розробники розуміють це, тому втулили де тільки можливо різноманітні підказки та створили досить детальний файл довідки. Проте, все ж таки, малодосвідченому користувачеві цей фаєрвол не рекомендую.
Наступний фаєрвол — Online Armor Free. Окрім звичайних для інших подібних продуктів функцій, він може похвалитися унікальною функцією, яка вводить для обраного програмного забезпечення «безпечний режим» і дозволяє йому роботу тільки ніби під обмеженим обліковим записом. В стандартному режимі роботи більшість дій відбувається в автоматичному режимі — на основі білого списку програм.
Оnline Armor Personal Firewall Free — це потужний персональний фаєрвол з системою HIPS і безліччю інших корисних функцій для забезпечення безпеки. Робота цієї програми забезпечує безперебійне та безпроблемне функціонування комп'ютера. Творці Online Armor Personal Firewall Free пропонують свій брандмауер на повністю безкоштовній основі - він не містить реклами і не встановлює жодних часових обмежень для користування.
Online Armor Personal Firewall Free захищає вхідні і вихідні комп'ютерні інтернет-з'єднання і виявляє клавіатурні шпигуни. Функція HIPS дає можливість зупиняти роботу всіх неопізнаних програм (до вашого дозволу), що робить неможливим витік інформації.
Основні характеристики Online Armor Free:
- Online Armor Personal Firewall Free має простий дизайн, що робить роботу з ним зрозумілою навіть початкуючим користувачам.
- Для досвідчених користувачів існує розширений режим, в якому можна створювати більш просунуті правила.
- Захист від запуску невідомих додатків.
- Елементи автозавантаження. На сторінці «Startup Items» в Online Armor можна переглянути і відредагувати перелік програм, які запускаються при завантаженні операційної системи.
- Налаштування монітора. Online Armor попередить Вас, якщо програми будуть намагатися змінити вашу домашню сторінку в Internet Explorer, Firefox або Opera.
Встановлення міжмережевих екранів у комп’ютерних лабораторіях навчальних закладів допоможе запобігти проникненню в операційні системи різноманітних вірусів і захистити її від хакерських атак. Це забезпечить високу продуктивність роботи персональних комп’ютерів та покращить умови користування ними.
Список використаних джерел:
1. Кремень В.Г. Освіта і наука в Україні: інноваційні аспекти. Стратегія. Реалізація. Результати / В.Г. Кремень. – К. : Грамота, 2005. – 448 с.
2. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа / А.Ю. Щеглов. – СПб. : НиТ, 2004. – 384 с.
3. Меншиков В.Р. Защита информации в компютерных сетях / В.Р. Меншиков – М. : Финансы и статистика, 1997. – 432 с.
4. Соколов А.В. Защита информации в локальных сетях / А.В. Соколов. – М. : Изд-во "Защита и сеть", 1998. – 496 с.
5. Мережеві екрани як спосіб захисту даних. [Електронний ресурс] – Режим доступу : http://wiki.kspu.kr.ua/index.php. – Загол. з екрана.
6.http://wiki.kspu.kr.ua/index.php/%D0%9C%D1%96%D0%B6%D0%BC%D0%B5%D1%80%D0%B5%D0%B6%D0%B5%D0%B2%D0%B8%D0%B9_%D0%B5%D0%BA%D1%80%D0%B0%D0%BD
7. http://freesoftware.in.ua/63-krashhij-bezkoshtovnij-fajervol.html
8.http://uk.wikipedia.org/wiki/%D0%9C%D0%B5%D1%80%D0%B5%D0%B6%D0%B5%D0%B2%D0%B8%D0%B9_%D0%B5%D0%BA%D1%80%D0%B0%D0%BD#.D0.A1.D0.BF.D0.B5.D1.86.D1.96.D0.B0.D0.BB.D1.96.D0.B7.D0.BE.D0.B2.D0.B0.D0.BD.D1.96_.D0.BF.D1.80.D0.B8.D1.81.D1.82.D1.80.D0.BE.D1.97