Прокси-фаервол (proxy firewall) – устройство находится между клиентом и внешней сетью и все запросы и соединения клиента с внешними хостами осуществляются от имени прокси сервера
- Ответить на вопросы:
- Модель OSI
Сетевая модель OSI — сетевая модель стека (магазина) сетевых протоколов OSI/ISO. Посредством данной модели различные сетевые устройства могут взаимодействовать друг с другом.
- Технология трансляции сетевых адресов
Трансляция сетевых адресов по английский Network Address Translation (NAT) это технология замены ip адресов и портов в заголовке ip пакета. Чаще всего nat используется, чтобы заменить ip адрес внутренней сети на ip адрес из внешней сети. Это делается, чтобы преодолеть нехватку адресов IPv4.
- Гибридные технологии firewall’а
Статическая пакетная фильтрация ( packet filtering ) – пакеты фильтруются на основе статической информации в заголовке сетевых пакетов
Прокси-фаервол (proxy firewall) – устройство находится между клиентом и внешней сетью и все запросы и соединения клиента с внешними хостами осуществляются от имени прокси сервера
Пакетная фильтрация с запоминанием состояния ( stateful packet filtering ) – сочетает в себе лучшее первых двух. Далее, для удобства, будем называть ее просто – динамической фильтрацией, чтобы противопоставить обычной статической пакетной фильтрации.
- Выделенные прокси-серверы
Выделенные прокси серверы схожи с обычными прокси серверами, но есть небольшие различия. Прежде, чем вы сможете пользоваться ими, вам надо будет ввести имя пользователя и пароль. Кроме того, следует заметить, что с выделенным прокси сервером у вас всегда будет один IP-адрес, который вы не сможете изменить.
Преимущество выделенных прокси серверов в том, что у них очень высокая скорость соединения, и они постоянно подключены к сети. Многие пользователи переходят на использование публичных прокси серверов, а не таких сервисов, поскольку они стабильнее, и у них 100% рабочего времени.
- Прокси-сервер прикладного уровня
Прокси-сервер прикладного уровня, как это следует из его названия, умеет «вклиниваться» в процедуру взаимодействия клиента и сервера по одному из прикладных протоколов, например тому же HTTP, HTTPS, SMTP/POP, FTP или telnet. Чтобы выступать в роли посредника на прикладном уровне, прокси-сервер должен «понимать» смысл команд, «знать» форматы и последовательность сообщений, которыми обмениваются клиент и сервер соответствующей службы. Это дает возможность прокси-серверу проводить анализ содержимого сообщений, делать заключения о подозрительном характере того или иного сеанса.
- Персональные firewall’ы и персональные устройства firewall’а
Обеспечение безопасности персональных компьютеров дома или в мобильном варианте сейчас становится столь же важным, как и обеспечение безопасности компьютеров в офисе; домашние пользователи, подключающиеся по dial-up к провайдеру, могут обеспечить защиту с помощью небольшого firewall’а, доступного им. Это необходимо, потому что провайдер может иметь много различных политик безопасности, не всегда соответствующих нуждам конкретного пользователя. Тем самым персональные firewall’ы разрабатываются для обеспечения защиты удаленных систем и выполняют во многом те же самые функции, что и большие firewall’ы.
- Host-based firewall’ы
Реально используется только в сетевой инфраструктуре TCP/IP. Хотя, надо отметить, что stateful inspection firewall можно реализовать в других сетевых протоколах тем же способом, что и пакетные фильтры.
- Stateful Inspection firewall’ы
Stateful inspection разрабатывались исходя из необходимости рассматривать основные особенности протоколов TCP/IP. Когда ТСР создает сессию с удаленной системой, также открывается порт на исходной
системе для получения сетевого трафика от системы назначения. В соответствии со спецификацией ТСР, данный порт источника клиента будет некоторым числом, большим, чем 1023 и меньшим, чем 16384. Порт назначения на удаленном хосте, как правило, имеет фиксированный номер. Например, для SMTP это будет 25.
- Пакетные фильтры
Пакетные фильтры перехватывают IP-пакеты в процессе транзита и проверяют их на соответствие набору правил фильтрации. Это позволяет должным образом обеспечить функционирование низкоуровневого механизма первичной защиты. Пакетная фильтрация часто выполняется маршрутизатором, анализирующим направляемые им пакеты (защитный маршрутизатор) лучше, чем специально предназначенный для этого брандмауэр.
- Заполнить таблицы:
Таблица 1 – Достоинства и недостатки брандмауэров
| Тип брандмауэра | Достоинства | Недостатки |
| Программные брандмауэры | поскольку такие брандмауэры защищают только отдельные устройства, а не всю сеть в целом | Это делает их удобными для частных лиц, но не для корпоративных сетей. |
| Аппаратные брандмауэры | Они считаются лучшим выбором для предприятий, поскольку проверяют пакеты данных, прежде чем попасть в сеть. | Они подвержены атакам внутри системы, а некоторые не справляются с несколькими одновременными подключениями. |
| Облачные брандмауэры | Облачные решения отлично подходят для компаний, которые планируют расширить свой бизнес за счет увеличения пропускной способности, а управлять нагрузкой на трафик становится намного проще. | Эти брандмауэры используют облачный сервер, который часто устанавливается в качестве прокси-сервера |
Таблица 2 – Взаимосвязь уровней стека протоколов TCP/IP и OSI
| Уровень | Наименование уровня | Что взаимодействует |
| Уровень 7 | Application | Почтовые клиенты, web-браузеры |
| Уровень 4 | Transport | ТСР-сессии |
| Уровень 3 | Network | IP-адресация |
| Уровень 2 | Data Link | Ethernet-адресация |