A firewall is a system or group of systems that enforces an access control policy between two networks.Брандмауэр - это система или группа систем, что обеспечивает соблюдение политики управления доступом между двумя сетями. The actual means by which this is accomplished varies widely, but in principle, the firewall can be thought of as a pair of mechanisms: one which exists to block traffic, and the other which exists to permit traffic.Фактические средства, с помощью которых это будет сделано сильно разнятся, но, в принципе, брандмауэр можно рассматривать как пару механизмов : один - который существует для того, чтобы блокировать трафик, и других, которые существуют для разрешения трафика. Some firewalls place a greater emphasis on blocking traffic, while others emphasize permitting traffic.Некоторые брандмауэры уделяют повышенное внимание блокировали движение, в то время как другие делают акцент позволяет трафик. Probably the most important thing to recognize about a firewall is that it implements an access control policy.Вероятно, наиболее важная вещь, которую стоит признать относительно брандмауэра является то, что он реализует политику управления доступом. If you don't have a good idea of what kind of access you want to allow or to deny, a firewall really won't help you.Если у вас нет хорошей идеи какой тип доступа вы хотите разрешить или отказать, Брандмауэр действительно не имеет смысла. It's also important to recognize that the firewall's configuration, because it is a mechanism for enforcing policy, imposes its policy on everything behind it.Важно также признать, что конфигурация сетевого экрана, потому что это механизм обеспечения соблюдения политики, диктует свою политику в отношении все за ним. Administrators for firewalls managing the connectivity for a large number of hosts therefore have a heavy responsibilityАдминистраторам для управления брандмауэрами для подключения большого числа хостов поэтому большая ответственность




Conceptually, there are two types of firewalls : Теоретически, есть два типа брандмауэров :

1. Network layer 1. сетевого уровня
2. Application layer 2. Статьи слоя

They are not as different as you might think, and latest technologies are blurring the distinction to the point where it's no longer clear if either one is ``better'' or ``worse.'' As always, you need to be careful to pick the type that meets your needs. Они не разные, как вы могли бы подумать, и новейшие технологии заслоняют различия до такой степени, что она перестанет быть ясно, если один имеет замечает лучше'' замечает или хуже.'' Как всегда, нужно проявлять осторожность, чтобы выбрать вид, который будет соответствовать Вашим потребностям.

Which is which depends on what mechanisms the firewall uses to pass traffic from one security zone to another.Какая из них, которая зависит от того, какие механизмы брандмауэр использует передавать трафик от одной зоны безопасности в другую. The International Standards Organization (ISO) Open Systems Interconnect (OSI) model for networking defines seven layers, where each layer provides services that ``higher-level'' layers depend on.Международная организация по стандартизации (ИСО) интерфейс открытых систем (ИОО) модель взаимодействия определяет семь уровней, где каждый слой обслуживает замечает, что выше уровня''слоев зависят. In order from the bottom, these layers are physical, data link, network, transport, session, presentation, application. Для того, из нижней части, эти слои, как физических, линий передачи данных, сетевых, транспортных, сессия, презентация, применение.

The important thing to recognize is that the lower-level the forwarding mechanism, the less examination the firewall can perform.Важно признать, что меньше уровня, механизм пересылки, меньше экзаменов может выполнить брандмауэр. Generally speaking, lower-level firewalls are faster, but are easier to fool into doing the wrong thing. Вообще говоря, более низкого уровня пожарной работать быстрее, но легче обмануть в этом не то.


Network layer firewalls Брандмауэры сетевого уровня


These generally make their decisions based on the source, destination addresses and ports in individual IP packets.Обычно они принимают свои решения на основе источника, назначения адресов и портов в индивидуальных IP-пакетами. A simple router is the ``traditional'' network layer firewall, since it is not able to make particularly sophisticated decisions about what a packet is actually talking to or where it actually came from.Простой маршрутизатор замечает традиционным сетевым слоем''фаервол поскольку она не в состоянии внести особенно сложные решения о том, что пакет на самом деле говорить или где она действительно пришли. Modern network layer firewalls have become increasingly sophisticated, and now maintain internal information about the state of connections passing through them, the contents of some of the data streams, and so on.Современные брандмауэры слоя сети становятся все более изощренными, Теперь и поддерживать внутреннюю информацию о состоянии соединения, проходящей через них Содержимое некоторых из потоков данных и т.п. One thing that's an important distinction about many network layer firewalls is that they route traffic directly though them, so to use one you either need to have a validly assigned IP address block or to use a ``private internet'' address block [3].Одно событие, важное различие по многим сетевым слоем брандмауэрами состоит в том, что их маршрут движения, хотя прямо их поэтому использовать один либо вы должны иметь действительный назначенный IP-адрес блокировать или использовать частные замечает ''Интернет адрес блока [3]. Network layer firewalls tend to be very fast and tend to be very transparent to users. Брандмауэры сетевого уровня обычно очень быстрые и, как правило, очень прозрачна для пользователя.

Application layer firewalls Применение брандмауэров слоя


These generally are hosts running proxy servers, which permit no traffic directly between networks, and which perform elaborate logging and auditing of traffic passing through them.Они, как правило, хосты работы прокси сервера, которые не допускают никаких трафика между сетями напрямую, которая выполняет разработку лесозаготовки и проверки трафика проходящего через них. Since the proxy applications are software components running on the firewall, it is a good place to do lots of logging and access control.Поскольку прокси заявки программные компоненты, работающие на брандмауэр это хорошее место, сделать много рубок и контроля доступа. Application layer firewalls can be used as network address translators, since traffic goes in one "side'' and out the other, after having passed through an application that effectively masks the origin of the initiating connection. Having an application in the way in some cases may impact performance and may make the firewall less transparent. Early application layer firewalls such as those built using the TIS firewall toolkit, are not particularly transparent to end users and may require some training. Modern application layer firewalls are often fully transparent. Application layer firewalls tend to provide more detailed audit reports and tend to enforce more conservative security models than network layer firewalls. Применение брандмауэров слой можно использовать в качестве сетевого адреса переводчиков поскольку трафик идет в одну сторону'', и из других, после того, как они прошли через приложение, эффективно скрывает происхождение инициирования соединения. После применения в в некоторых случаях может снизить производительность и делать брандмауэр менее прозрачным. Раннее брандмауэры прикладного уровня, таких, как построенные с использованием брандмауэра TIS инструментального не особенно прозрачен для конечных пользователей и, возможно, требуют определенной подготовки. Современные брандмауэры прикладного уровня зачастую полностью прозрачным. Применение брандмауэров слоя дают более подробные доклады о ревизии, и, как правило, применять более консервативные, чем модели безопасности сети слоя брандмауэров.


What can a firewall protect against?Что может защитить от брандмауэра?

Some firewalls permit only email traffic through them, thereby protecting the network against any attacks other than attacks against the email service.Ряд брандмауэров позволяют отсылать только трафик через них тем самым защищая сеть от любых нападений, за исключением нападений на почтовой службой. Other firewalls provide less strict protections, and block services that are known to be problems. Другие брандмауэры обеспечивают менее строгие гарантии и блоки услуг, которые, как известно, проблемы.
Generally, firewalls are configured to protect against unauthenticated interactive logins from the "outside'' world. This, more than anything, helps prevent vandals from logging into machines on your network. More elaborate firewalls block traffic from the outside to the inside, but permit users on the inside to communicate freely with the outside. The firewall can protect you against any type of network-borne attack if you unplug it. Как правило, брандмауэры настроены для защиты от неаутентифицированых интерактивные логины из "вне мира''. Это более, чем что-либо иное, помогает предотвратить вандалов от входа в машины вашей сети. Подробнее разработке брандмауэров блокировать трафик из города пространстве, но память о пространстве свободно общаться с внешним миром. брандмауэр может защитить вас от любого типа сети через нападение, если вы отключите его от электросети.

Firewalls are also important since they can provide a single "choke point'' where security and audit can be imposed. Unlike in a situation where a computer system is being attacked by someone dialing in with a modem, the firewall can act as an effective ``phone tap'' and tracing tool. Firewalls provide an important logging and auditing function; often they provide summaries to the administrator about what kinds and amount of traffic passed through it, how many attempts there were to break into it, etc. Брандмауэры также важны, поскольку они могут обеспечить единую "невралгические точки" там, где это безопасность и ревизии могут быть навязаны. Отличие в ситуации, когда компьютерная система подвергается нападению кто-то номера с модема, Брандмауэр может использоваться в качестве эффективного использования телефон замечает''и розыска. Брандмауэры обеспечивают важную лесозаготовки и функции аудита; часто они представляют резюме администратора о том, какие виды и объем трафика проходит через него, сколько там было попыток проникнуть в это и т.д.

This is an important point: providing this "choke point'' can serve the same purpose on your network as a guarded gate can for your site's physical premises. That means anytime you have a change in "zones'' or levels of sensitivity, such a checkpoint is appropriate.Это важный момент : предоставления этой "невралгические точки''может служить той же цели в своей сети как можно охраняем ворота для вашего сайта физические помещения. Это означает, что в любое время у вас есть изменения в "зонах''или уровней чувствительности такого контроля является обоснованным. A company rarely has only an outside gate and no receptionist or security staff to check badges on the way in. If there are layers of security on your site, it's reasonable to expect layers of security on your network.Компания редко, лишь за воротами, а не в приемной или сотрудников службы безопасности для проверки пропусков на путь . Если есть уровни безопасности на Вашем сайте это разумно ожидать уровни безопасности в сети.