Inhoudsopgave:
Video: Netwerken voor beginners deel 1: Infrastructuur en IP plan 2024
Alle netwerkverkeer naar en uit het LAN moet door een firewall gaan, wat ongeautoriseerde toegang tot het netwerk voorkomt. Er zijn vier technieken die door firewalls worden gebruikt om ongewenste bezoekers buiten uw netwerk te houden. Drie van deze technieken worden hier beschreven. De vierde, pakketfiltering, wordt niet behandeld in dit artikel.
Stateful-pakketinspectie (SPI)
Stateful-pakketinspectie, ook bekend als SPI, is een verbetering van de intelligentie van eenvoudige pakketfiltering. Een firewall met stateful pakketinspectie kijkt naar pakketten in groepen in plaats van afzonderlijk. Het houdt bij welke pakketten door de firewall zijn gegaan en kan patronen detecteren die ongeautoriseerde toegang aangeven.
In sommige gevallen kan de firewall pakketten vasthouden wanneer ze binnenkomen totdat de firewall voldoende informatie verzamelt om een beslissing te nemen over de vraag of de pakketten moeten worden geautoriseerd of afgewezen.
Stateful-pakketinspectie was ooit alleen te vinden op dure routers op ondernemingsniveau. Nu zijn SPI-firewalls echter betaalbaar genoeg voor kleine of middelgrote netwerken om te gebruiken.
Circuitniveau-gateway
Een circuitniveau-gateway beheert verbindingen tussen clients en servers op basis van TCP / IP-adressen en poortnummers. Nadat de verbinding tot stand is gebracht, interfereert de gateway niet met pakketten die tussen de systemen stromen.
U kunt bijvoorbeeld een Telnet-circuitniveau-gateway gebruiken om Telnet-verbindingen (poort 23) toe te staan aan een bepaalde server en andere typen verbindingen met die server verbieden. Nadat de verbinding tot stand is gebracht, staat de gateway op circuitniveau toe dat pakketten vrij over de verbinding kunnen stromen. Als gevolg hiervan kan de gateway op circuitniveau niet voorkomen dat een Telnet-gebruiker specifieke programma's uitvoert of specifieke opdrachten gebruikt.
Toepassingsgateway
Een -toepassingsgateway is een firewallsysteem dat intelligenter is dan een pakketfilterende firewall, stateful-pakketinspectie of gateway-gatewaysfirewall. Pakketfilters behandelen alle TCP / IP-pakketten op dezelfde manier. Toepassingsgateways daarentegen kennen de details over de toepassingen die de pakketten genereren die door de firewall gaan.
Een webtoepassingsgateway is bijvoorbeeld op de hoogte van de details van HTTP-pakketten. Als gevolg hiervan kan het meer dan alleen de bron- en doeladressen en poorten onderzoeken om te bepalen of de pakketten door de firewall mogen gaan.
Bovendien werken toepassingsgateways als proxyservers.Simpel gezegd, een proxyserver is een server die zich bevindt tussen een clientcomputer en een echte server. De proxyserver onderschept pakketten die bedoeld zijn voor de echte server en verwerkt deze.
De proxyserver kan het pakket onderzoeken en beslissen om het door te geven aan de echte server, of het kan het pakket weigeren. Of de proxyserver kan mogelijk reageren op het pakket zelf zonder de echte server überhaupt te betrekken.
Webproxy's slaan bijvoorbeeld vaak kopieën op van veelgebruikte webpagina's in een lokale cache. Wanneer een gebruiker een webpagina opvraagt van een externe webserver, onderschept de proxyserver de aanvraag en controleert of deze al een kopie van de pagina in de cache heeft. Als dit het geval is, retourneert de webproxy de pagina rechtstreeks aan de gebruiker. Als dat niet het geval is, geeft de proxy het verzoek door aan de echte server.
Toepassingsgateways zijn zich bewust van de details van hoe verschillende typen TCP / IP-servers reeksen van TCP / IP-pakketten verwerken om intelligentere beslissingen te kunnen nemen over de vraag of een binnenkomend pakket legitiem is of deel uitmaakt van een aanval. Als gevolg hiervan zijn applicatie-gateways veiliger dan eenvoudige pakketfilterende firewalls, die slechts één pakket tegelijk kunnen verwerken.
De verbeterde beveiliging van applicatie-gateways heeft echter een prijs. Toepassingsgateways zijn duurder dan pakketfilters, zowel qua aanschafprijs als qua kosten voor het configureren en onderhouden ervan. Bovendien vertragen applicatie-gateways de netwerkprestaties omdat ze gedetailleerdere pakketten controleren voordat ze deze kunnen passeren.