Mpango wa kuchuja trafiki iliyosimbwa bila kufichua funguo za usimbaji.

Mara nyingi tunasikia katika majadiliano kwamba huduma inayosambazwa ya kupunguza kunyimwa huduma kwa msingi wa uchujaji unaoendelea wa trafiki haina ufanisi na ni ghali zaidi kuliko uchujaji unapohitajika.

Hoja zinazotumiwa katika mazungumzo kama haya hazibadiliki sana kadri muda unavyoanza wakati mjadala unapoanza: gharama kubwa ya kuchuja mara kwa mara dhidi ya ucheleweshaji wa muda unaohitajika ili kujumuisha mtaalamu au kifaa katika mchakato wa kupunguza shambulio unapohitaji.

Qrator Labs ingependa kufafanua msimamo wao wenyewe kwa kuleta kwa majadiliano ya umma baadhi ya hoja kuhusu jinsi uchujaji unaoendelea unavyotofautiana na uchujaji wa mahitaji na kwa nini chaguo la kwanza ndilo chaguo pekee linalowezekana.

Moja ya sababu kuu ni kwamba mashambulizi ya kisasa yanabadilika haraka sana - yanabadilika na kuwa magumu zaidi kwa wakati halisi. Huduma yenyewe pia inabadilika - tovuti na programu zinaendelea, kwa hiyo inaweza kugeuka kuwa tabia ya "kawaida" ya watumiaji wakati wa mashambulizi ya awali haifai tena.

Katika hali nyingi, wataalamu wa kiufundi wa mtoaji wa huduma ili kupunguza kunyimwa kwa mashambulizi ya huduma, katika kesi ya kuchuja kwa mwongozo, hawahitaji muda tu kutambua kile kinachotokea ili kuendeleza mkakati sahihi wa tabia na mlolongo wa vitendo maalum. Kwa kuongezea, mtaalamu kama huyo pia anahitaji kujua ni lini na jinsi vekta ya shambulio inabadilika ili kuibadilisha kwa ombi la mteja.

Kuunganisha chini ya mashambulizi ni changamoto tofauti, hasa kutokana na uharibifu wa upatikanaji kwa watumiaji wote wanaojaribu kufikia huduma. Ikiwa shambulio lilifanikiwa na watumiaji hawakupata nyenzo iliyoombwa, wanajaribu kuipata tena kwa kuonyesha upya ukurasa au kupakia upya programu. Hii inazidisha hali ya mashambulizi kwa sababu inakuwa vigumu zaidi kutofautisha trafiki taka kutoka kwa trafiki halali.

Upangishaji halisi wa huduma ya kugeuza mashambulizi - katika wingu au kimwili kwenye tovuti ya mteja, katika kituo cha data cha mshirika, mara nyingi ni mahitaji muhimu kwa utekelezaji wake. Kwa kuwa chaguo lolote la uwekaji huruhusu kuchuja mara kwa mara kiotomatiki au mwongozo, na, ipasavyo, kugundua na kutoweka kwa mashambulizi. Lakini kuwa na uwezo wa kuchuja kiotomatiki ni hitaji muhimu.

Mara nyingi, huduma za kubadilisha mashambulizi ya wingu huchuja trafiki yote inayoingia - inapatikana kikamilifu kwa uchambuzi. Vifaa vya kimwili vilivyowekwa kwenye ukingo wa mtandao, au kupokea trafiki ya cloned, hutoa karibu sawa na ufuatiliaji wa wakati halisi na uwezo wa kupunguza.

Baadhi ya wachuuzi wanapendekeza kutumia kipimo cha NetFlow kwa uchanganuzi wa trafiki, au vipimo vingine, ambavyo vyenyewe tayari ni maelewano ya hali mbaya zaidi katika suala la matokeo, kwa kuwa vipimo vya wahusika wengine au vinavyotokana vinatoa sehemu tu ya maelezo kuhusu data, hivyo basi kupunguza uwezekano wa kugundua na kupunguza mashambulizi. Na kinyume chake - huduma za wingu hazihitajiki kuchambua 100% ya trafiki inayoingia, lakini mara nyingi hufanya hivyo kwa sababu njia hii hukuruhusu kuunda mifano na kutoa mafunzo kwa algorithms kwa njia bora.

Ubaya mwingine wa kutumia itifaki ya NetFlow kama zana kuu ya uchambuzi ni kwamba inatoa baadhi tu ya sifa za mtiririko wa data - maelezo yao, lakini sio mtiririko wenyewe. Kwa hivyo, bila shaka, utaona shambulio hilo kulingana na vigezo ambavyo NetFlow huakisi, lakini aina changamano zaidi za mashambulizi ambazo zinapaswa kutambuliwa na uchanganuzi wa maudhui ya mkondo hazitaonekana. Kwa hiyo, mashambulizi kwenye safu ya maombi (L7) ni vigumu kutafakari kwa kutumia metrics za NetFlow pekee, isipokuwa katika matukio ya asilimia mia moja ya ushahidi wa shambulio ndani ya usafiri (kwa sababu juu ya L4 NetFlow haina maana).

Mpango wa jumla wa uunganisho kwenye mtandao wa filtration.

1. Kwa nini watoa huduma za upunguzaji wa DDoS kwenye wingu hutoa "uchujaji wa kudumu" hata kama hakuna shambulio lolote linalofanyika kwa sasa?

Jibu ni rahisi: uchujaji unaoendelea ndiyo njia bora zaidi ya kupunguza mashambulizi. Hapa pia ni muhimu kuongeza kwamba vifaa vya kimwili vilivyowekwa na mteja sio tofauti sana na kuchuja kwa wingu, isipokuwa tu kwamba sanduku linawashwa na kuzima kimwili mahali fulani kwenye kituo cha data. Hata hivyo, kuna chaguo kwa hali yoyote (kufanya kazi - yaani, kurejea kifaa, daima au tu ikiwa ni lazima) na itabidi kufanyika.

Kusema kwamba seva mbadala ya kinyume huzuia kuchuja kwa HTTP na HTTPS (SSL) pekee ni nusu ya ukweli. Trafiki ya HTTP ni sehemu muhimu na mojawapo ya sehemu muhimu za mifumo changamano ya kuchuja, na uwekaji seva mbadala ni mojawapo ya njia bora zaidi za kuikusanya na kuichanganua.

2. Kama tunavyojua, kukataliwa kwa mashambulizi ya huduma kunaweza kuchukua aina nyingi na kurekebishwa kwa kuondoka kwenye itifaki ya HTTP. Kwa nini wingu ni bora katika kesi hii kuliko vifaa vya kusimama pekee kwa upande wa mteja?

Kupakia kupita kiasi kwa nodi za kibinafsi za mtandao wa kuchuja kunawezekana kwani ni kweli kufanya na vifaa vilivyowekwa kwenye rack. Hakuna sanduku la chuma lenye nguvu ya kutosha kukabiliana na mashambulizi yoyote peke yake - mfumo mgumu na wa vipengele vingi unahitajika.

Hata hivyo, hata wazalishaji wakubwa wa vifaa wanapendekeza kubadili kuchuja kwa wingu katika kesi ya mashambulizi makubwa zaidi. Kwa sababu mawingu yao yanaundwa na maunzi sawa, yaliyopangwa katika makundi, ambayo kila moja ni ya nguvu zaidi kuliko suluhisho moja lililowekwa katika kituo cha data. Kwa kuongezea, kisanduku chako hufanya kazi kwako tu, lakini mtandao mkubwa wa kuchuja hutumikia makumi na mamia ya wateja - muundo wa mtandao kama huo hapo awali uliundwa kushughulikia agizo la kiwango kikubwa cha data ili kufanikiwa kwa shambulio.

Kabla ya shambulio hilo, haiwezekani kusema kwa uhakika ambayo itakuwa rahisi: kuzima vifaa vya kujitegemea (CPE) au node katika mtandao wa kuchuja. Lakini fikiria juu ya hili - kutofaulu kwa uhakika kila wakati ni shida ya muuzaji wako, lakini kipande cha kifaa ambacho kinakataa kufanya kazi kama inavyotangazwa baada ya ununuzi ni shida yako tu.

3. Nodi ya mtandao inayofanya kazi kama seva mbadala lazima iweze kupokea maudhui na data kutoka kwa rasilimali. Hii inamaanisha kuwa mtu yeyote anaweza kupitisha suluhisho la upunguzaji wa msingi wa wingu?

Ikiwa hakuna laini maalum kati yako na mtoa huduma wa usalama, ndio.

Ni kweli kwamba bila kituo maalum kutoka kwa mteja hadi kwa mtoa huduma ili kupunguza kunyimwa mashambulizi ya huduma, wavamizi wanaweza kushambulia anwani ya IP ya asili ya huduma. Sio watoa huduma wote wa huduma kama hizo, kimsingi, hutoa huduma za laini zilizokodishwa kutoka kwao wenyewe hadi kwa mteja.

Kwa ujumla, kubadili uchujaji wa wingu inamaanisha kufanya matangazo yanayofaa kwa kutumia itifaki ya BGP. Katika kesi hii, anwani za IP za kibinafsi za huduma inayoshambuliwa zimefichwa na hazipatikani kushambulia.

4. Wakati mwingine, kama hoja dhidi ya uchujaji wa wingu, uwiano wa gharama ya huduma na gharama yake kwa upande wa mtoa huduma hutumiwa. Je, hali hii inaonekanaje ukilinganisha na vifaa vilivyowekwa upande wa mteja?

Ni salama kusema kwamba haijalishi shambulio la kunyimwa huduma ni dogo kiasi gani, mtoa huduma wa kunyimwa huduma kwa kutumia wingu atahitaji kuyashughulikia yote, ingawa gharama ya ndani ya kujenga mitandao kama hiyo daima inategemea madai kwamba kila shambulio ni kali, kubwa, ndefu na nzuri. Kwa upande mwingine, hii haimaanishi kabisa kwamba mtoa huduma hiyo anapoteza pesa kwa kuuza ulinzi dhidi ya kila kitu kwa wateja, lakini kwa kweli analazimika kukabiliana hasa na mashambulizi madogo na ya kati. Ndiyo, mtandao wa kuchuja unaweza kutumia rasilimali kidogo zaidi kuliko katika "hali bora", lakini katika kesi ya shambulio lililofanikiwa, hakuna mtu atakayeuliza maswali. Wote mteja na mtoa huduma wataridhika na ushirikiano huo na wataendelea na kiwango cha juu cha uwezekano.

Hebu fikiria hali sawa na vifaa vilivyopo - inagharimu maagizo ya ukubwa zaidi wakati mmoja, inahitaji mikono yenye ujuzi kwa ajili ya matengenezo, na ... bado italazimika kufanya mashambulizi madogo na ya kawaida. Ulipopanga kununua vifaa hivyo, ambavyo sio nafuu popote, ulifikiri juu yake?

Dhana kwamba sanduku moja, pamoja na mkataba wa usakinishaji, usaidizi wa kiufundi na wahandisi wenye ujuzi wa hali ya juu hatimaye itakuwa nafuu ikilinganishwa na kununua mpango wa wingu unaofaa sio kweli. Gharama ya mwisho ya vifaa na saa za kazi ni kubwa sana - na hii ndiyo sababu kuu kwa nini ulinzi na upunguzaji wa kunyimwa kwa usambazaji wa mashambulizi ya huduma imekuwa biashara kwa haki yake yenyewe na imeunda sekta - vinginevyo tungeona mgawanyiko wa ulinzi wa mashambulizi katika kila kampuni ya IT.

Kulingana na dhana kwamba shambulio ni tukio la nadra, suluhu ya kupunguza lazima iundwe ipasavyo na iweze kusitisha mashambulizi haya adimu kwa mafanikio. Lakini, zaidi ya hii, pia inagharimu pesa za kutosha, kwa sababu kila mtu anaelewa kuwa mara nyingi hakuna kitu kibaya kinachotokea.

Watoa huduma za wingu husanifu na kuunda mitandao yao wenyewe kwa njia inayofaa ili kuunganisha hatari zao wenyewe na kukabiliana na mashambulizi kwa kusambaza trafiki kati ya sehemu za vichungi, ambazo ni maunzi na programu - sehemu mbili za mfumo iliyoundwa kwa lengo moja.

Hapa tunazungumza juu ya "Sheria ya Nambari Kubwa", inayojulikana kutoka kwa nadharia ya uwezekano. Hii ndio sababu ISPs huuza bandwidth zaidi kuliko walivyo nayo. Wateja wote wa kampuni ya bima, kwa nadharia, wanaweza kuingia katika hali mbaya kwa wakati mmoja - lakini kwa mazoezi hii haijawahi kutokea. Na ingawa madai ya bima ya mtu binafsi yanaweza kuwa makubwa, haifilisi biashara ya bima kila wakati mtu anapopata ajali.

Vipunguzaji vya kunyimwa huduma vya kitaalamu wanajua kuwa mashambulizi ya bei nafuu zaidi, na kwa hivyo ya kawaida zaidi, yanahusisha vikuza sauti na hayawezi kujulikana kama "ndogo".

Wakati huo huo, wakati wa kukubaliana kwamba malipo ya wakati mmoja kwa vifaa vilivyowekwa kwenye tovuti ya kimwili itabaki pale milele, mbinu za mashambulizi zitabadilika. Hakuna hakikisho kwamba vifaa vya jana vitaweza kushughulikia shambulio la kesho - ni dhana tu. Kwa hiyo, uwekezaji mkubwa uliofanywa katika vifaa vile huanza kupoteza thamani yake hasa tangu wakati wa ufungaji, bila kutaja haja ya matengenezo yake ya mara kwa mara na uppdatering.

Katika biashara ya neutralizing DDoS, ni muhimu kuwa na ufumbuzi mkubwa sana na uunganisho wa juu, ambayo ni vigumu sana kufikia kwa kununua kipande tofauti cha vifaa.

Shambulio kubwa linapotokea, kifaa chochote cha kusimama pekee kitajaribu kuashiria kwa wingu kuwa imeanza na kujaribu kusambaza trafiki kwenye sehemu za vichungi. Walakini, hakuna mtu anayesema kwamba wakati chaneli imefungwa na takataka, hakuna hakikisho kwamba itaweza kutoa ujumbe huu kwa wingu lake mwenyewe. Na tena - itachukua muda kubadili mkondo wa data.

Kwa hivyo, bei pekee ambayo mteja anaweza kulipa, zaidi ya pesa taslimu, ili kulinda miundombinu yake dhidi ya shambulio la kunyimwa huduma ni kuchelewesha na sio kitu kingine chochote. Lakini, kama tulivyosema, mawingu yaliyojengwa vizuri hupunguza muda wa kusubiri kwa kuboresha upatikanaji wa kimataifa wa rasilimali iliyoombwa.

Kumbuka hili wakati wa kuchagua kati ya sanduku la chuma na kuchuja wingu.

Uchujaji wa wavuti, au kichujio cha mtandao ni programu au zana ya maunzi ya kuchuja kurasa za wavuti kulingana na yaliyomo, ambayo hukuruhusu kuzuia ufikiaji wa mtumiaji kwa orodha maalum ya tovuti au huduma kwenye Mtandao.

Mifumo ya kuchuja wavuti inaweza kutekelezwa kwa tofauti tofauti:

• huduma;
• maombi;
• nyongeza za kivinjari;
• nyongeza kwa lango la mtandao;
• huduma za wingu.

Zana za kuchuja wavuti huzuia kutembelea tovuti hatari zinazopangishwa au kuainishwa kama tovuti. Lakini kazi yao kuu ni kudhibiti upatikanaji wa tovuti za makundi fulani. Kwa msaada wao, unaweza kuzuia kwa urahisi wafanyakazi wa makampuni kufikia tovuti zote za makundi fulani.

Trafiki yote inayoingia inachanganuliwa na kuainishwa. Kulingana na mipangilio ya zana ya kuchuja mtandao, ufikiaji wa aina fulani ya maudhui unaweza kuzuiwa, na onyo litaonyeshwa kwa mtumiaji.

Hapo awali, mifumo ya uchujaji wa wavuti ilikagua URL ambazo mtumiaji huenda dhidi ya hifadhidata yake na orodha zisizoruhusiwa kwa kutumia maneno ya kawaida. Ilibainika kuwa mbinu hii haina ufanisi, tofauti na utambuzi wa ruwaza na uchanganuzi wa lugha. Kwa hivyo, sasa sio viungo tu vinavyoangaliwa, lakini pia habari zote zilizowekwa kwenye ukurasa wa wavuti, na utafutaji unafanywa kwa maneno na maneno. Kulingana na data iliyopokelewa, asilimia ya mawasiliano ya habari kwa aina yoyote iliyoamuliwa mapema huhesabiwa. Katika tukio ambalo asilimia hii inazidi kiwango kinachoruhusiwa, mfumo wa kuchuja mtandao huzuia upatikanaji wa tovuti. Kazi ya ziada ya kuchuja ni mkusanyiko wa takwimu za kutembelea kurasa za wavuti na kuripoti, ambayo inaruhusu wasimamizi wa mfumo kuelewa ni nini trafiki ya shirika inatumika.

Mbali na kuchuja maudhui ya trafiki ya HTTP, watengenezaji wa mifumo ya kuchuja mtandao huwapa watumiaji wao uwezo wa kuangalia trafiki salama ya HTTPs, pamoja na kutegemewa kwa vyeti vya SSL. Hili ni muhimu wakati wavamizi wanatumia usimbaji fiche kuiba data ya kibinafsi, nambari za kadi ya benki na misimbo ya PIN.

Usisahau kwamba pamoja na hatari ya kutembelea tovuti za ulaghai kutoka ndani ya kampuni, uvujaji wa habari za siri unamaanisha kuonekana kwa data katika trafiki inayotoka ya kampuni. Wafanyikazi wanaweza kutuma kimakosa au kimakusudi misingi ya wateja au data ya kibinafsi kupitia ujumbe wa papo hapo au barua pepe. Kwa kichujio cha mtandao kilichosanidiwa kwa usahihi, itawezekana kuzuia matukio kama haya ambayo yanadhoofisha sifa ya kampuni na kusababisha hasara kubwa.

Wakati wa kuchagua zana ya kuchuja wavuti, unapaswa kuzingatia ukamilifu wa kiainishaji, kasi ya kuainisha tovuti mpya, na asilimia ya chanya za uwongo.

Zana za kuchuja trafiki

Kazi za zana za kuchuja trafiki ni kudhibiti trafiki ya mtandao (yaliyomo kwenye pakiti za mtandao) na kuzuia (chujio) trafiki ambayo haifikii sheria maalum za usalama. Vichungi vya trafiki hudhibiti na kuchanganua maudhui ya pakiti za mtandao katika kiwango cha programu, lakini tofauti na ngome, hazipatanishi kati ya nodi mbili ili kuwatenga mwingiliano wao wa moja kwa moja (ngome na seva mbadala). Tofauti na zana za IDS/IPS, vichujio vya trafiki havitambui na kuzuia uvamizi na mashambulizi ya mtandao.

Zana za kuchuja trafiki ni pamoja na:

• vichungi vya itifaki ya mtandao;
• vichungi vya yaliyomo, pamoja na vichungi vya URL;
• vichungi vya spam;
• vichungi vya trafiki ya wavuti ili kulinda programu za wavuti (Usalama wa Wavuti).

Zana hizi za kuchuja trafiki zimejengewa ndani na kutumika ndani ya zana tofauti za ulinzi, kama vile Firewall, Antivirus ya Mtandao, Seva ya Wakala, IDS / IPS, UTM, WAF, Usalama wa Barua Pepe, HIPS, pamoja na utatuzi wa kazi mbalimbali au hutekelezwa kama zana tofauti za programu na maunzi. Zaidi ya hayo, zana za kuchuja trafiki hutumiwa katika mifumo ya bili, uhasibu wa trafiki na bili; udhibiti, takwimu, ufuatiliaji wa shughuli za mtandao wa watumiaji katika muda halisi na matumizi ya mtandao, nk.

Vichujio kulingana na itifaki za mtandao ruhusu trafiki kwenye itifaki fulani za mtandao na uzuie trafiki kwenye itifaki zingine. Zana hizi zimewekwa kwenye ukingo wa mtandao, kuhakikisha kuwa trafiki muhimu tu ya mtandao inapita kupitia itifaki fulani ndani ya mtandao na / au kwa mtandao wa nje, i.e. kutekeleza sera za mtandao.

Vichujio vya yaliyomo

Vichujio vya yaliyomo(Ufuatiliaji na Uchujaji wa Maudhui, CMF) huzuia ufikiaji wa maudhui yasiyotakikana kwenye Mtandao. Ni vichungi vya trafiki ya wavuti (itifaki za http/https).

Trafiki kwenye wavuti huchujwa na URL za tovuti za "orodha nyeusi" (vichujio vya URL), neno kuu, saini au aina ya faili, kulingana na maudhui ya tovuti kwa kutumia uchanganuzi wa kimofolojia. Vichujio vya maudhui husakinishwa kwenye lango la mtandao (ngomeo, seva za proksi, n.k.) au kwenye vituo vya kazi katika vizuia virusi (kitendaji cha "udhibiti wa wazazi", kulinda dhidi ya tovuti za hadaa), ngome za kibinafsi, n.k. Inaweza kutumika kama programu ya kujitegemea.

Vichungi vya trafiki ya wavuti (Mtandaousalama)

Vichungi vya trafiki ya wavuti (Mtandaousalama) hutumika kulinda programu za wavuti dhidi ya aina mbalimbali za vitisho vinavyotokana na trafiki ya wavuti, ikiwa ni pamoja na kupenya kwa msimbo hasidi. Ni vichujio vya trafiki ya wavuti (itifaki za http/https). Vitendaji vya uchujaji wa trafiki kwenye wavuti hutumiwa katika zana za usalama kama vile WAF . Ili kulinda dhidi ya vitisho vinavyotokana na trafiki ya wavuti, inashauriwa kutumia masuluhisho maalum ya darasa la Usalama wa Wavuti.

Kazi kuu za zana za Usalama wa Wavuti:

• ulinzi wa trafiki ya mtandao kutoka kwa virusi na zisizo;
• kuzuia upatikanaji wa tovuti mbaya;
• ulinzi dhidi ya mashambulizi ya hadaa;
• udhibiti wa upatikanaji wa mtumiaji kwa rasilimali mbalimbali za mtandao;
• Uchujaji wa URL na uainishaji wa tovuti.

Kuchuja mitiririko ya taarifa kunajumuisha kuzipitisha kwa kuchagua kupitia skrini, ikiwezekana kwa baadhi ya mabadiliko kufanywa na kumjulisha mtumaji kwamba data yake ilinyimwa ufikiaji. Uchujaji unafanywa kulingana na seti ya sheria zilizopakiwa awali kwenye skrini na ambazo ni kielelezo cha vipengele vya mtandao vya sera ya usalama iliyopitishwa. Kwa hivyo, ni rahisi kufikiria ngome kama mlolongo wa vichujio (Mchoro A.2) ambao huchakata mtiririko wa habari. Kila moja ya vichungi imeundwa kutafsiri sheria za uchujaji wa mtu binafsi kwa kufanya hatua zifuatazo:

1. Uchambuzi wa habari kulingana na vigezo vilivyoainishwa katika sheria zilizofasiriwa, kwa mfano, na anwani za mpokeaji na mtumaji, au kwa aina ya maombi ambayo habari hii inakusudiwa.

2. Kufanya moja ya maamuzi yafuatayo kwa kuzingatia kanuni zilizofasiriwa:

Usiruke data;

Mchakato wa data kwa niaba ya mpokeaji na urudishe matokeo kwa mtumaji;

Peana data kwenye kichujio kinachofuata ili kuendelea na uchanganuzi;

Ruka data, ukipuuza vichujio vifuatavyo.

Mchele. A.2. Muundo wa Firewall

Sheria za kuchuja pia zinaweza kutaja vitendo vya ziada vinavyohusiana na kazi za upatanishi, kwa mfano, mabadiliko ya data, usajili wa tukio, nk. Kwa hiyo, sheria za kuchuja zinafafanua orodha ya masharti ambayo, kwa kutumia vigezo maalum vya uchambuzi, zifuatazo hufanyika:

ruhusa au marufuku ya usambazaji zaidi wa data;

utendaji wa kazi za ziada za kinga.

Vigezo vifuatavyo vinaweza kutumika kama vigezo vya kuchambua mtiririko wa habari:

maeneo ya huduma ya pakiti za ujumbe zilizo na anwani za mtandao, vitambulisho, anwani za interface, nambari za bandari na data nyingine muhimu;

maudhui ya moja kwa moja ya pakiti za ujumbe, kuchunguzwa, kwa mfano, kwa uwepo wa virusi vya kompyuta;

sifa za nje za mtiririko wa habari, kwa mfano, muda,

majibu ya marudio, kiasi cha data, n.k.

Vigezo vya uchanganuzi vinavyotumika hutegemea tabaka za muundo wa OSI ambapo uchujaji unafanywa. Kwa ujumla, kiwango cha juu cha mfano wa OSI ambapo pakiti za vichungi vya firewall, kiwango cha juu cha ulinzi hutoa.

Kufanya kazi za upatanishi

Firewall hufanya kazi za upatanishi kwa msaada wa programu maalum zinazoitwa mawakala wa kinga au programu za mpatanishi tu. Programu hizi ni za wakaazi na zinakataza upitishaji wa moja kwa moja wa pakiti za ujumbe kati ya mitandao ya nje na ya ndani.

Ikiwa ufikiaji unahitajika kutoka kwa mtandao wa ndani hadi mtandao wa nje au kinyume chake, uunganisho wa mantiki lazima uanzishwe kwanza na programu ya mpatanishi inayoendesha kwenye kompyuta ya skrini. Mpango wa upatanishi huangalia uhalali wa uunganisho ulioombwa wa mtandao na, ikiwa inaruhusiwa, huanzisha uunganisho tofauti kwa kompyuta inayohitajika yenyewe. Zaidi ya hayo, ubadilishanaji wa habari kati ya kompyuta za mitandao ya ndani na nje unafanywa kwa njia ya mpatanishi wa programu ambayo inaweza kuchuja mtiririko wa ujumbe, na pia kufanya kazi nyingine za kinga.

Inapaswa kueleweka kuwa firewall inaweza kufanya kazi za kuchuja bila matumizi ya programu za mpatanishi, kutoa mwingiliano wa uwazi kati ya mitandao ya ndani na nje. Hata hivyo, waamuzi wa programu huenda wasichuje mtiririko wa ujumbe. Katika hali ya jumla, mawakala wa kinga, kuzuia upitishaji wa uwazi wa mtiririko wa ujumbe, wanaweza kufanya kazi zifuatazo:

utambulisho na uthibitishaji wa watumiaji;

uthibitishaji wa data iliyopitishwa;

tofauti ya upatikanaji wa rasilimali za mtandao wa ndani;

tofauti ya upatikanaji wa rasilimali za mtandao wa nje;

kuchuja na kubadilisha mtiririko wa ujumbe, kama vile uchanganuzi wa virusi unaobadilika na usimbaji fiche wa habari kwa uwazi;

tafsiri ya anwani za mtandao wa ndani kwa pakiti za ujumbe zinazotoka;

usajili wa matukio, majibu kwa matukio maalum, pamoja na uchambuzi wa taarifa zilizosajiliwa na utoaji wa ripoti;

uhifadhi wa data iliyoombwa kutoka kwa mtandao wa nje.

Kwa kiwango cha juu cha usalama, ni muhimu kutambua na kuthibitisha watumiaji sio tu wakati wanapata kutoka kwa mtandao wa nje hadi wa ndani, lakini pia kinyume chake. Nenosiri lazima lisambazwe kwa uwazi juu ya mawasiliano ya umma. Hii itazuia ufikiaji usioidhinishwa kwa kuingilia pakiti za mtandao, ambayo inawezekana, kwa mfano, katika kesi ya huduma za kawaida kama vile Telnet. Njia bora ya kuthibitisha ni kutumia manenosiri ya mara moja. Pia ni rahisi na salama kutumia vyeti vya dijitali vinavyotolewa na mamlaka zinazoaminika, kama vile kituo kikuu cha usambazaji. Programu nyingi za seva mbadala zimeundwa ili mtumiaji athibitishwe tu mwanzoni mwa kipindi cha ngome. Baada ya hapo, hatakiwi kwa kuongeza kuthibitisha kwa muda ulioelezwa na msimamizi. Programu za mpatanishi zinaweza kuthibitisha data iliyopokelewa na kupitishwa. Hii ni muhimu sio tu kwa uthibitishaji wa ujumbe wa elektroniki, lakini pia kwa programu zinazohamia (Java, ActiveXControls), ambayo kughushi kunaweza kufanywa. Uthibitishaji wa ujumbe na programu unajumuisha udhibiti wa sahihi zao za kidijitali. Vyeti vya kidijitali pia vinaweza kutumika kwa hili. Utambulisho na uthibitishaji wa watumiaji wakati wa kufikia firewall inakuwezesha kutofautisha upatikanaji wao kwa rasilimali za mtandao wa ndani au nje. Njia za kutofautisha kwa rasilimali za mtandao wa ndani sio tofauti na njia za kutofautisha zinazoungwa mkono katika kiwango cha mfumo wa uendeshaji. Wakati wa kuzuia ufikiaji Kwa Rasilimali za mtandao wa nje mara nyingi hutumia mojawapo ya mbinu zifuatazo:

kuruhusu ufikiaji tu kwa anwani maalum katika mtandao wa nje;

maombi ya kuchuja kulingana na orodha zilizosasishwa za anwani zisizo sahihi na kuzuia utafutaji wa rasilimali za habari kwa maneno muhimu yasiyohitajika;

mkusanyiko na uppdatering na msimamizi wa rasilimali za habari zilizoidhinishwa za mtandao wa nje katika kumbukumbu ya disk ya firewall na kukataza kamili ya upatikanaji wa mtandao wa nje.

Kuchuja na kubadilisha mtiririko wa ujumbe hufanywa na mpatanishi kulingana na seti fulani ya sheria. Hapa, aina mbili za programu za mpatanishi zinapaswa kutofautishwa:

mawakala wa uchunguzi walilenga uchanganuzi wa mtiririko wa ujumbe kwa aina fulani za huduma, kama vile FTP, HTTP, Telnet;

mawakala wa uchunguzi wa ulimwengu wote ambao huchakata mtiririko mzima wa ujumbe, kwa mfano, mawakala walilenga kutafuta na kutenganisha virusi vya kompyuta au usimbaji fiche wa data kwa uwazi. Mpatanishi wa programu huchambua pakiti za data zinazokuja kwake, na ikiwa kitu chochote hakikidhi vigezo vilivyoainishwa, basi mpatanishi huzuia maendeleo yake zaidi au hufanya mabadiliko yanayofaa, kwa mfano, kugeuza virusi vya kompyuta vilivyogunduliwa. Wakati wa kuchanganua yaliyomo kwenye vifurushi, ni muhimu kwamba wakala wa kinga aweze kutengua kiotomatiki kumbukumbu za faili zinazopita.

Ngome za ulinzi za wakala pia hufanya iwezekane kupanga mitandao salama ya mtandaoni (VirtualPrivateNetwork-VPN), kwa mfano, ili kuchanganya kwa usalama mitandao kadhaa ya ndani iliyounganishwa kwenye Mtandao kwenye mtandao mmoja pepe. Wakati wa kuhamisha kwenye mtandao, inawezekana kusimba data ya mtumiaji sio tu, lakini pia maelezo ya huduma - mwisho wa anwani za mtandao, nambari za bandari, nk. Programu za mpatanishi zinaweza pia kufanya kazi muhimu kama tafsiri ya anwani za mtandao wa ndani. Kazi hii inatekelezwa kuhusiana na pakiti zote zinazofuata kutoka kwa mtandao wa ndani hadi wa nje. Kwa pakiti hizi, wakala hutafsiri kiotomati anwani za IP za kompyuta zinazotuma katika anwani moja ya IP "inayoaminika" inayohusishwa na ngome ambapo pakiti zote zinazotoka zinatumwa. Matokeo yake, pakiti zote zinazotoka kutoka kwenye mtandao wa ndani zinatumwa na firewall, ambayo huondoa mawasiliano ya moja kwa moja kati ya mtandao wa ndani ulioidhinishwa na mtandao wa nje unaoweza kuwa hatari.Anwani ya IP ya firewall inakuwa anwani pekee ya IP inayoingia kwenye mtandao wa nje.

Kwa njia hii, topolojia ya mtandao wa ndani imefichwa kutoka kwa watumiaji wa nje, ambayo inachanganya kazi ya ufikiaji usioidhinishwa. Mbali na kuboresha usalama, tafsiri ya anwani hukuruhusu kuwa na mfumo wako wa kuhutubia ndani ya mtandao, ambao hauendani na kuhutubia katika mtandao wa nje, kwa mfano, kwenye mtandao. Hii inasuluhisha kwa ufanisi tatizo la upanuzi wa nafasi ya anwani ya mtandao wa ndani na uhaba wa anwani za mtandao wa nje. Kazi muhimu za programu za mpatanishi ni usajili wa tukio, majibu kwa matukio yaliyotolewa, pamoja na uchambuzi wa taarifa zilizosajiliwa na taarifa. Kama jibu la lazima kwa ugunduzi wa majaribio ya kufanya vitendo visivyoidhinishwa, arifa ya msimamizi, i.e., utoaji wa ishara za onyo, lazima ifafanuliwe. Ngome yoyote ambayo haina uwezo wa kutuma arifa shambulio linapogunduliwa sio ngome bora.

Firewalls nyingi zina mfumo wa nguvu wa usajili, ukusanyaji na uchambuzi wa takwimu. Uhasibu unaweza kuwekwa na anwani za mteja na seva, vitambulisho vya mtumiaji, muda wa kikao, muda wa kuunganisha, kiasi cha data iliyopitishwa/kupokea, msimamizi na vitendo vya mtumiaji. Mifumo ya uhasibu inaruhusu uchambuzi wa takwimu na kuwapa wasimamizi ripoti za kina. Kupitia matumizi ya itifaki maalum, waamuzi wanaweza kufanya arifa ya mbali ya matukio fulani kwa wakati halisi. Kwa msaada wa waamuzi maalum, caching ya data iliyoombwa kutoka kwa mtandao wa nje pia inasaidiwa. Wakati watumiaji wa mtandao wa ndani wanapata rasilimali za habari za mtandao wa nje, taarifa zote zinakusanywa kwenye nafasi ya disk ngumu ya firewall, ambayo katika kesi hii inaitwa seva ya wakala. Kwa hivyo, ikiwa kwa ombi linalofuata habari muhimu inaonekana kwenye seva ya wakala, basi mpatanishi hutoa bila kupata mtandao wa nje, ambayo huharakisha ufikiaji. Msimamizi anapaswa kutunza tu kusasisha mara kwa mara maudhui ya seva mbadala.

Kazi ya kache inaweza kutumika kwa mafanikio kuzuia ufikiaji wa rasilimali za habari za mtandao wa nje. Katika kesi hii, rasilimali zote za habari zilizoidhinishwa za mtandao wa nje zinakusanywa na kusasishwa na msimamizi kwenye seva ya wakala. Watumiaji wa mtandao wa ndani wanaruhusiwa kupata tu rasilimali za habari za seva ya wakala, na ufikiaji wa moja kwa moja wa rasilimali za mtandao wa nje ni marufuku. Wakala wa ngao ni wa kuaminika zaidi kuliko vichungi vya kawaida na hutoa kiwango kikubwa cha ulinzi. Hata hivyo, hupunguza utendaji wa mawasiliano kati ya mitandao ya ndani na nje na haitoi kiwango cha uwazi kwa programu na watumiaji wa mwisho ambacho ni kawaida kwa vichungi rahisi.

Vipengele vya firewalling katika viwango mbalimbali vya muundo wa OSI

Firewalls inasaidia usalama wa mtandao katika viwango mbalimbali vya muundo wa OSI. Wakati huo huo, kazi za ulinzi zilizofanywa katika viwango tofauti vya mfano wa kumbukumbu hutofautiana kwa kiasi kikubwa kutoka kwa kila mmoja. Kwa hivyo, ni rahisi kuwakilisha firewall tata kama seti ya ukuta usiogawanyika, ambayo kila moja inalenga safu tofauti ya mfano wa OSI. Mara nyingi, skrini hufanya kazi kwenye mtandao, kikao na viwango vya matumizi ya modeli ya kumbukumbu. Ipasavyo, kuna ngome zisizoweza kugawanywa (Kielelezo A.3) kama kipanga njia cha kukagua, usafiri wa kukagua (lango la ngazi ya kikao), na lango la uchunguzi (lango la kiwango cha maombi).

Kwa kuzingatia kwamba itifaki zinazotumiwa katika mitandao (TCP/IP, SPX/IPX) hazifanani na mfano wa OSI pekee, skrini za aina zilizoorodheshwa, wakati wa kufanya kazi zao, zinaweza pia kufikia viwango vya jirani vya mfano wa kumbukumbu. Kwa mfano, skrini ya programu inaweza kusimba ujumbe kwa njia fiche kiotomatiki inapotumwa kwa mtandao wa nje, na pia kusimbua kiotomatiki data iliyopokelewa iliyofungwa kwa njia fiche. Katika kesi hii, skrini kama hiyo haifanyi kazi tu kwenye safu ya maombi ya mfano wa OSI, lakini pia kwenye safu ya uwasilishaji. Lango la safu ya kikao wakati wa uendeshaji wake hufunika safu za usafiri na mtandao za muundo wa OSI. Wakati wa kuchambua pakiti za ujumbe, router ya uchunguzi huangalia vichwa vyao sio tu kwenye kiwango cha mtandao, lakini pia katika ngazi ya usafiri.

Firewall za kila aina zina faida na hasara zao. Nyingi za ngome zinazotumika ni lango la programu au vipanga njia vya kulinda, na hazitoi usalama kamili wa mwingiliano. Ulinzi wa kuaminika hutolewa tu na ngome changamano, ambayo kila moja inachanganya kipanga njia cha ngao, lango la kiwango cha kikao, na lango la programu.

Mchele. A.3. Aina za ngome zinazofanya kazi kwenye tabaka za kibinafsi za muundo wa OSI