Видове атаки и заплахи в компютърни мрежи
Stateful защитни стени, филтриращи пакети
Изтегляне 6.18 Mb.
|
- Навигация на страницата:
- 2.4.4. Защитни стени преобразуващи мрежови адреси (NAT).
2.4.3. Stateful защитни стени, филтриращи пакети.Тези защитни стени запазват информация от установени връзки между хостове. По този начин се определя дали пакетите от публична мрежа са от доверени източници. На фигура 1.1. е илюстриран начин на работа на stateful защитна стена. В случай че някоя връзка бъде прекъсната или не са получени пакети за затваряне на сесия след известен перииод на закъснение, защитната стена премахва записите за TCP сесията от таблицата си. Това подсигурява, че атакуващи няма да изполват информация за изпуснати връзки, за да създадат връзки с вътрешна мрежа. Този тип защитни стени не са надеждна защита, поради това че не успяват да проверят цялото съдържание на пакетите за наличие на злонамерени данни. Препоръчително е да бъдат комбинирани с друг тип защитни стени. фиг.1.1. Начин на работа на stateful защитна стена. 2.4.4. Защитни стени преобразуващи мрежови адреси (NAT).Network address translation e услуга осигуряваща преобразуване на локални в един или няколко глобални IP адреса. Основна цел е да се представят локални хостове чрез ограничено използване на глобални IP адреси. За целта се поддържа таблица на преобразуване. В случай че хост от частна мрежа иска да установи връзка с хост в публична мрежа, защитната стена заменя вътрешната комуникация с външна и прави запис в таблицата си. В случай че публичният хост изпрати отговор, защитната стена извършва обратен процес на преобразуване като отново се прави справка с таблица на преобразуване. В случай че има несъвпадение на IP адрес пакетите се игнорират. На фиг.1.2 е представен начин на работа на NAT. фиг.1.2. Начин на работа на заищитна стена преобразуваща адреси. Съществуват три основни реализации, поддържани от маршрутизиращите устройства : динамична реализация – обединяват се няколко локални адреса с един или няколко глобални, като за целта се добавя и порт за комуникация (таблица 1.1); статична реализация – съпоставя се всеки вътрешен адрес различен глобален адрес (таблица 1.2.); смесена реализация – обединява динамична и статична реализация. Таблица 1.1. Динамично разпределение. Таблица 1.2. Статично разпределение Защитните стени преобразуващи адреси работят на транспортен слой. По тази причина не могат да бъдат ограничени злонамерени пакети, тъй като не е възможно да бъдат проверявани. Изтегляне 6.18 Mb. Сподели с приятели:
|