Видове атаки и заплахи в компютърни мрежи
Изтегляне 6.18 Mb.
|
- Навигация на страницата:
- 3.1.2.3. Възможности на защитната стена.
3.1.2.2. Системни изисквания.Минимални изисквания в зависимист от пропускателната способност: 10-20Mbps – поне 266Mhz CPU (процесор); 21-50Mbps – поне 500Mhz CPU; 51-200Mbps – поне 1GHz CPU; 201-500Mbps – поне 2.0Ghz CPU, PCI-e мрежови адаптери; 501Mbps+ - сървърна система, поне 3.0Ghz CPU, PCI-X/PCI-e мрежови адаптери; Допълнителни ресурси в зависимост от използваните услуги и инсталирани софтуерни пакети се изисква: за VPN – допълнителен CPU ресурс и/или хардуерни модули за криптиране, поне 500Mhz CPU за 10Mbps пропускливост на IPSec трафик; Captive Portal - CPU ресурс; Големи таблици със състояния на връзките – 1Кb RAM памет за всяка връзка; Инсталирани пакети - snort, ntop и други - допълнително RAM памет; 3.1.2.3. Възможности на защитната стена.pfSense използва пакетен филтър pf от OpenBSD. В общи линии опростеният синтаксис на правилата на филтъра може да се представи по следния начин (фиг.3.Х) : фиг.3.Х Синтаксис на правило на "pf" action – е pass (пропуска пакета) или drop (не пропуска пакета); direction – in (входящи пакети) или out (изходящи пакети); log – при наличието на тази ключова дума в правилото, за всеки пакет, който удовлятворява правилото, се генерира запис в журналния файл на пакетния филтър; quick – по подразбиране пакетния филтър оценява всички правила като се предприема действието според последното правило, което удовлетворява пакета; при наличието на тази ключова дума, действието на първото правилото удовлетворено от пакета се предприема веднага, т.е пакета се пропуска или не и се прекратява оценката на останалите правила на филтъра спрямо текущия пакет; interface – име или група от мрежови интерфейси в системата; af – тип на мрежовия адрес, inet за IPv4 или inet6 за IPv6; protocol -номер или има на транспортен протокол, напр. tcp, udp, icmp, icmp6; src_addr, dst_addr – Source и Destination IP адреси на пакета; src_port, dst_port - Source и Destination портове на пакета; tcp_flags – TCP флагове във пакета; state - keep state (по подразбиране), modulate state или synproxy state; тази ключова дума указва дали ще се пази състояние на връзката за пакети за пакетите, които удовлетворяват правилото; Част от останалите възможности на пакетен филтър са: Филтрация на IP, TCP и UDP пакети по различни критерии със следенe на състоянието на връзката (Stateful Packet Inspection); Ограничение на едновременно установените връзки за всяко правило; Избирателни журнални записи за пакетите които удовлетворяват дадено правило; Рутиране на политики; Използване на псевдоними (aliases) и таблици за групиране на IP-та, портове и мрежи; Прозрачно филтриране на етернет ниво; Нормализиране на трафика; Oграничения и алгоритми за оптимизации на таблицата със състоянията на установените връзки; Филтриране по критерий тип на операционна система, изпратила пакета; Синхронизация на таблиците на установените връзки между основна и заместваща защитна стена чрез мрежови протоколи CARP и pfsync; Netwok Address Translation (транслиране на IP адреси); Възможност за разпределяне на трафика между няколко мрежови интерфейса (Load Balancing); Филтриране на ниво 7 (приложно ниво); EasyRule – възможност за добавяне на нови правила на базата на отделни записи от журналния файл на пакетния филтър; Възможност за активиране/деактивиране на правила според часа от денонощието; Изтегляне 6.18 Mb. Сподели с приятели:
|