8/9/2019 Firewall Extern
1/34
COLEGIUL TEHNICPROFIL TEHNICSPECIALIZAREA: TEHNICIAN OPERATOR TEHNICA DE CALCUL
PREZENTARE DE SPECIALITATE PENTRU OBTINEREA
CERTIFICATULUI DE ATESTARE A
COMPETENTELOR PROFESIONALE
TEMA: FIREWALL EXTERN
COORDONATOR Elev
PROFESOR INGINER STANESCU Marcela HOANAS AlexandraAndreea
Clasa A-XII-CPromotia 2009 - 2010
8/9/2019 Firewall Extern
2/34
Cuprins
Capitolul 1 Argument pag. 3
Capitolul 2 Firewall extern pag. 4
2.1. Generalitati pag. 4
2.2. Funcia firewall-ului pag. 5
2.3. Istoria firewall-ului pag. 6
2.4. Tipuri pag. 9
2.5. Aplicatie pe straturi pag. 10
2.6.Proxy pag. 10
2.7. Traducerea adreselor de reea pag. 11
Capitolul 3Politici firewall pag. 12
3.1.Tipuri de firewall-uri pag. 13
3.2. Firewall-uri de filtrare a pachetelor pag. 14
3.3. Alte optiuni pag. 16
3.4. Operaiile asupra unui chain sunt pag. 16
Capitolul 4 Servere Proxy pag. 20
4.1. Proxy aplicaie pag. 20
4.2. Proxy SOCKS pag. 20
4.3. Configurarea unui Proxy Server pag. 21
4.4. Lucrul cu proxy server pag. 22
4.5. Configurarea avansat pag. 24
8/9/2019 Firewall Extern
3/34
4.6. Setarea reelei pag. 24
4.7. Setarea proxy-ului pag. 25
Capitolul 5 Solutie firewall extern pag. 27
5.1.Outpost Firewall Pro 2010 pag. 27
8/9/2019 Firewall Extern
4/34
CAPITOLUL 1
ARGUMENT
Firewall - "Zid de foc" sau "Paravan de protecie"
Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de
exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme
sistemului. n plus, un paravan de protecie poate evita participarea computerului la un atac
mpotriva altora, fr cunotina dvs. Utilizarea unui paravan de protecie este important n
special dac suntei conectat n permanen la Internet.
Un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz
permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul
implementrii unei "politici" de filtrare. Aceast politic poate nsemna:
Termenul firewall are mai multe sensuri in funcie de implementare i scop. Firewall-
ul e o main conectat la internet pe care vor fi implementate politicile de securitate. Vaavea dou conexiuni la dou reele diferite. O plac de reea este conectat la Internet, iar
cealalt plac la reeaua local. Orice pachet de informaie care vine din Internet i vrea s
ajung n reeaua local trebuie nti s treac prin firewall. Astfel c firewall-ul devine locul
ideal pentru implementarea politicilor de securitate de reea i pentru controlul accesului din
exterior.
8/9/2019 Firewall Extern
5/34
8/9/2019 Firewall Extern
6/34
Firewall-urile pot fi puse n aplicare, fie hardware sau software, sau o combinaie a ambelor.
Firewall-uri sunt utilizate frecvent pentru a preveni utilizatorii de Internet neautorizati s
acceseze reelele private conectate la Internet, n special n intranet .Toate mesajele care intr
sau ies de pe intranet trec prin firewall-ul, care examineaz fiecare mesaj i blocuri de cele
care nu ndeplinesc criteriile specificate de securitate.
Exist mai multe tipuri de tehnici de firewall:
filtru de pachete : pachete de filtrare inspecteaz fiecare pachet care trece prin reea i accept
sau respinge pe baza regulilor definite de utilizator. Dei greu de configurat, este destul de
eficient i cea mai mare parte transparent pentru utilizatori. Sunt sensibile la IP spoofing .
gateway Cerere : mecanisme de securitate n cazul unei cereri specifice, cum ar fi FTP si
Telnet servere. Acest lucru este foarte eficient, dar poate impune o degradare de performan.
Circuit la nivel de gateway : se aplic mecanismele de securitate atunci cnd intr-un TCP sau
UDP conexiunea este stabilita. Dup ce conexiunea a fost fcut, pachetele pot avea trafic
intre gazde fr a verifica n continuare.
server proxy : intercepteaza toate mesajele care intr i ies din reea. Serverul proxy ascunde
adevrata adrese de reea.
2.2. Funcia firewall-ului
Un firewall este un dispozitiv dedicat, sau software care ruleaza pe un calculator, care
inspecteaz traficul de reea care trece prin el, i neag sau permit pasaje de trecere bazate pe
un set de reguli.
Este n mod normal, amplasat ntre o reea protejat i cu o reea neprotejat si se comporta ca
o poarta pentru a proteja bunurile pentru a se asigura c nimic privat nu iese i nimic ru nu
intra.
La firewall-ul de baz sarcina principal este de a reglementa o parte din fluxul de trafic ntrereele de calculatoare de diferite niveluri de ncredere. Exemple tipice sunt Internetul , care
este o zon cu nici o ncredere i o reea intern , care este o zon de ncredere foarte mare. O
zon cu un nivel de ncredere intermediar, situat ntre Internet i la o reea intern de
ncredere, este adesea menionat ca o ,,reea de perimetru "sau zona demilitarizat (DMZ).
Functia firewall-ului n cadrul unei reele este similar cu uile antifoc din constructii. n
primul caz, este utilizat pentru a preveni ptrunderea intrusilor de reea la reeaua privat. n
al doilea caz, acesta este destinat s izoleze i sa ntrzie focul de la rspndirea sprestructurile adiacente.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranets&rurl=translate.google.ro&usg=ALkJrhicvfd2hiUBDVwJZj5DidRL46DLPAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(computing)&rurl=translate.google.ro&usg=ALkJrhhpWB9YmHBwscr3hy3I-Emak-HfLg#First_generation_.E2.80.93_packet_filtershttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_gateway&rurl=translate.google.ro&usg=ALkJrhg5ns3Q9NlEeqtE2QoMm04rrUGpvwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FTP&rurl=translate.google.ro&usg=ALkJrhj8Ji9EQ_QLeXswQO0LhiBiH5aswQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit-level_gateway&rurl=translate.google.ro&usg=ALkJrhiQu-vCuIUue77Mwh8pClzEG4g2-Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Software&rurl=translate.google.ro&usg=ALkJrhgHkhydiCWT8ybwSc_FTwrLfmflLghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_network&rurl=translate.google.ro&usg=ALkJrhhHdhsqaOwAPK-9fKr3qw4QiBHBZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet&rurl=translate.google.ro&usg=ALkJrhi__cvQok2RTeealLvriuNhMILitAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)&rurl=translate.google.ro&usg=ALkJrhgp9jenhjR8WZ2Fmv38iHwhqRpKDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranets&rurl=translate.google.ro&usg=ALkJrhicvfd2hiUBDVwJZj5DidRL46DLPAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(computing)&rurl=translate.google.ro&usg=ALkJrhhpWB9YmHBwscr3hy3I-Emak-HfLg#First_generation_.E2.80.93_packet_filtershttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_gateway&rurl=translate.google.ro&usg=ALkJrhg5ns3Q9NlEeqtE2QoMm04rrUGpvwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FTP&rurl=translate.google.ro&usg=ALkJrhj8Ji9EQ_QLeXswQO0LhiBiH5aswQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit-level_gateway&rurl=translate.google.ro&usg=ALkJrhiQu-vCuIUue77Mwh8pClzEG4g2-Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Software&rurl=translate.google.ro&usg=ALkJrhgHkhydiCWT8ybwSc_FTwrLfmflLghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_network&rurl=translate.google.ro&usg=ALkJrhhHdhsqaOwAPK-9fKr3qw4QiBHBZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet&rurl=translate.google.ro&usg=ALkJrhi__cvQok2RTeealLvriuNhMILitAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)&rurl=translate.google.ro&usg=ALkJrhgp9jenhjR8WZ2Fmv38iHwhqRpKDw8/9/2019 Firewall Extern
7/34
2.3. Istoria firewall-ului
Termenului de firewall / fireblock nsemna iniial un zid pentru a limita un incendiu sau un
potenial de incendiu ntr-o cldire; cf.. firewall (construcii) . Mai trziu, se refer la
structurile similare, cum ar fi tabla de separare a compartimentului motor al unui vehicul sau
la aeronave pentru compartimentul pentru pasageri.
Tehnologia Firewall a aprut la sfritul anilor 1980 cnd Internetul a fost o tehnologie
destul de nou n ceea ce privete utilizarea acestuia la nivel global i de conectivitate.
Predecesorii la firewall pentru securitatea reelei au fost routerele la sfritul anilor 1980
pentru separarea reelelor una de cealalt. Privind internetul ca o comunitate relativ mica de
utilizatori care au apreciat deschiderea pentru partajare i colaborare a fost ncheiat de un
numr major de incalcare a securitatii internetului care au aprut la sfritul anilor 1980:Descoperirea lui Clifford Stoll despre "spionii germani care au manipulat fraudulos
sistemul su .
"Seara cu Berferd" a lui Bill Cheswick din 1992, n care el a instituit o simpla nchisoare
electronica pentru a observa un atacator.
n 1988, un angajat laNASAAmes Research Centerdin California a trimis o not prin e-mail
la colegii si, in care scria: "Suntem atacati de un VIRUS de pe internet! Acesta a lovit
Berkeley , UC San Diego , Lawrence Livermore , Stanford i NASA Ames . "Worm Morris se transmitea prin mai multe vulnerabiliti n maini de timp. Dei nu a fost
ru n intenie, Worm Morris a fost un atac de mare amploare n primul rnd pe internetul de
securitate; comunitate online nu sa ateptat la nici un atac, nici pregtita pentru a face fata
unuia.
Prima generaie: filtre de pachete
Lucrarea publicat pentru prima oar pe tehnologia firewall a fost in 1988, cand inginerii de la
Digital Equipment Corporation (DEC) au dezvoltat sisteme de filtrare cunoscute sub numele
de firewall filtru de pachete. Acest sistem a fost de fapt baz primei generai a ceea ce a
devenit un foarte evoluat i tehnic element de securitate pentru internet. De la AT & T Bell
Labs , Bill Cheswick i Steve Bellovin au continuat cercetrile lor n pachete de filtrare i au
dezvoltat un model de lucru pentru propria lor companie pe baza primei lor generai de
arhitectura original.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(construction)&rurl=translate.google.ro&usg=ALkJrhgBko1Si5xbIrxMTR7KZSC41EHoEwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Clifford_Stoll&rurl=translate.google.ro&usg=ALkJrhgi0yMkcex-BZmdHR94Z5ZiGN_DOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NASA&rurl=translate.google.ro&usg=ALkJrhiBc1hrgMPn03A-naEpiXfQDo_NhQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Email&rurl=translate.google.ro&usg=ALkJrhjmAsTcWhtnTYZ8O51H6mdDOgHtvQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_California,_Berkeley&rurl=translate.google.ro&usg=ALkJrhizloHUPOOuDvHLikXOSLA7ZdLdDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/UC_San_Diego&rurl=translate.google.ro&usg=ALkJrhjam7srfLapHh6-axRaQraheysbhwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Lawrence_Livermore_National_Laboratory&rurl=translate.google.ro&usg=ALkJrhgyu-G4xFHNqlh_Tys7XgCs3I75fwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stanford&rurl=translate.google.ro&usg=ALkJrhicpAwwNkWQ6EDqXeita67BFSzfughttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Morris_Worm&rurl=translate.google.ro&usg=ALkJrhjh5Mml6MMsatvCXk9vhG1-ngMiEghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Digital_Equipment_Corporation&rurl=translate.google.ro&usg=ALkJrhg1Jb9hHHkFyhdSmIfMSHMuqnMPIQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Steven_M._Bellovin&rurl=translate.google.ro&usg=ALkJrhhTgcoJfKpIpwAWxrnDeI5yOJTNswhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(construction)&rurl=translate.google.ro&usg=ALkJrhgBko1Si5xbIrxMTR7KZSC41EHoEwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Clifford_Stoll&rurl=translate.google.ro&usg=ALkJrhgi0yMkcex-BZmdHR94Z5ZiGN_DOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NASA&rurl=translate.google.ro&usg=ALkJrhiBc1hrgMPn03A-naEpiXfQDo_NhQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Email&rurl=translate.google.ro&usg=ALkJrhjmAsTcWhtnTYZ8O51H6mdDOgHtvQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_California,_Berkeley&rurl=translate.google.ro&usg=ALkJrhizloHUPOOuDvHLikXOSLA7ZdLdDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/UC_San_Diego&rurl=translate.google.ro&usg=ALkJrhjam7srfLapHh6-axRaQraheysbhwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Lawrence_Livermore_National_Laboratory&rurl=translate.google.ro&usg=ALkJrhgyu-G4xFHNqlh_Tys7XgCs3I75fwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stanford&rurl=translate.google.ro&usg=ALkJrhicpAwwNkWQ6EDqXeita67BFSzfughttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Morris_Worm&rurl=translate.google.ro&usg=ALkJrhjh5Mml6MMsatvCXk9vhG1-ngMiEghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Digital_Equipment_Corporation&rurl=translate.google.ro&usg=ALkJrhg1Jb9hHHkFyhdSmIfMSHMuqnMPIQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Steven_M._Bellovin&rurl=translate.google.ro&usg=ALkJrhhTgcoJfKpIpwAWxrnDeI5yOJTNsw8/9/2019 Firewall Extern
8/34
Pachetele de filtre lucreaza inspectand pachetele "care reprezint unitatea de baz pentru
transfer de date ntre computerele de pe internet. Dac un pachet se potriveste cu setul de
reguli ale filtrului de pachete, filtrul de pachete va scadea (tcut debarasa) sub form de
pachete, sau respinge (arunca, i a trimite "rspunsurile de eroare" la sursa).
Acest tip de filtrare de pachete nu primeste atenie pentru a stabili dac un pachet face parte
dintr-un flux de trafic existent (nu stocheaz nici o informaie privind starea de conectare).
n schimb, filtreaza fiecare pachet bazat doar pe informaiile coninute n pachetul in sine (cel
mai adesea folosind o combinaie de pachete de la sursa si destinatie, protocolul su, i,
pentru TCP i UDP trafic, numrul portului ).
TCP i UDP protocoale cuprind majoritatea comunicarilor pe Internet, i pentru c traficul
TCP i UDP prin convenie utilizeaz cunoscutele porturipentru anumite tipuri de trafic, un
"apatrid" filtru de pachete poate sa le distinga, i astfel de control, aceste tipuri de trafic (cum
ar fi cautarea pe web, imprimare de la distan, transmiterea de e-mail, transfer de fiiere), cu
excepia cazului n care mainile pe fiecare parte a filtrului de pachete folosesc aceleai
porturi non-standard.
Filtrarea de pachete ale firewall-urilor de lucru pe primele trei straturi ale modelului de
referinta OSI, ceea ce nseamn toate lucrrile se fac ntre nivelurile de reea i fizic. Cand
un pachet provine de la expeditor i este filtrat printr-un firewall, aparatul verific potrivirea
cu oricare dintre normele configurate pentru pachetul de filtrare al firewall-ului i preia sau
respinge pachetul n consecin. Cand pachetul trece prin firewall este filtrat de un protocol /
numarul portului de baza (GSS). De exemplu, dac o regul n firewall exist pentru a bloca
accesul telnet, atunci firewall-ul va bloca protocolul IP pentru portul 23.
A doua generaie: Strat de aplicare
Articol principal: firewall Cerere stratAvantajul major al stratului de cerere de filtrare este c aceasta poate "s neleag" anumite
aplicaii i protocoale (cum ar fi File Transfer Protocol , DNS , sau navigarea pe Web ), i se
poate detecta dac un protocol nedorit este ascuns prin intermediul unui port non-standard
sau n cazul n care un protocol este abuzat n vreun fel duntoare.
O aplicatie firewall este mult mai securizata i de ncredere n comparaie cu firewall filtru de
pachete deoarece funcioneaz pe toate cele apte straturi ale modelului de referinta OSI, de
la aplicarea n jos pana la nivelele fizice. Acest lucru este similar cu un firewall filtru depachete dar aici putem filtra de asemenea informaii pe baza coninutului. Cel mai bun
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPv4&rurl=translate.google.ro&usg=ALkJrhigJz5TXfG-H3-IUyXoQqwoRkitJg#Headerhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhjUq7YNNegKFQzsvKz6jIxytwZiHAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Domain_name_system&rurl=translate.google.ro&usg=ALkJrhimpGE_S6xuRM4FJVAaHnW2fpukKQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhg8W3kG1mF3V6z-8GKwrqkzpR0TtQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPv4&rurl=translate.google.ro&usg=ALkJrhigJz5TXfG-H3-IUyXoQqwoRkitJg#Headerhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhjUq7YNNegKFQzsvKz6jIxytwZiHAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Domain_name_system&rurl=translate.google.ro&usg=ALkJrhimpGE_S6xuRM4FJVAaHnW2fpukKQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhg8W3kG1mF3V6z-8GKwrqkzpR0TtQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjA8/9/2019 Firewall Extern
9/34
exemplu de aplicatie firewall este ISA (Internet Security si Acceleration) server. O aplicatie
firewall poate filtra un mai mare strat de protocoale cum ar fi FTP, telnet, DNS, DHCP,
HTTP, TCP, UDP si TFTP (GSS). De exemplu, dac o organizaie dorete s blocheze toate
informaiile legate de "foo", atunci filtrarile pot fi activate pe firewall pentru a bloca acest
cuvnt in special. Acesta este un firewall bazat pe software i astfel, acesta este mult mai lent
dect un firewall stateful.
A treia generaie: filtrele "stateful"
Articol principal: Stateful firewall
Din 1989-1990 trei colegi de la AT & TBell Laboratories , Presetto Dave, Janardan Sharma,
i Kshitij Nigam, au dezvoltat a treia generaie de firewall-uri, numindu-le circuitul firewall
de nivel.
Firewall-urile a treia generaie, n plus fa de ceea ce primul-i a doua generaie au cautat,
ceea ce privete plasarea de fiecare pachet individual dintre seriile de pachete. Aceasta
tehnologie se refera n general la unpachet de control la statefull deoarece asigura o eviden
a tuturor conexiunilor care trec prin firewall si este capabil sa determine dac un pachet este
nceputul unei noi conexiuni, o parte a unei conexiuni existente, sau este unpachet invalid .
Dei exist nc un set de reguli statice ntr-un paravan de protecie, starea unei conexiuni
poate fi unul dintre criteriile care determina norme specifice.
Acest tip de firewall poate ajuta la prevenirea atacurilor care exploateaz conexiunile
existente, sau anumite negari ale serviciilor de atacuri .
Evoluiile ulterioare
n 1992, Bob Braden i Annette DeSchon la Universitatea din California de Sud (USC) au
rafinat conceptul de firewall. Produsul cunoscut sub numele de "Vize" a fost primul sistem
care avea o interfa de integrare vizuala cu culori si icoane, care ar putea fi usor deimplementat i accesat de pe un sistem de operare, cum ar fi Microsoft e Windows sau Apple
MacOS . n 1994, o companie israeliana numita Check Point Software Technologies a
construit acest lucru uor in software-ul disponibil cunoscut sub numele de firewall-1 .
Existenta inspecie in adancime a pachetului funcionalitatea firewall-urilor moderne poate fi
mprtit de sisteme de prevenire a accesului neautorizat (IPS).
n prezent, Grupul de Comunicare Middlebox de la Internet Engineering Task Force (IETF)
lucreaza la standardizarea protocoalelor pentru gestionarea firewall-urilor i a altormiddleboxes .
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/AT%2526T&rurl=translate.google.ro&usg=ALkJrhhPTJY7MU48zHUoXBb1iQwE0yHORghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Laboratories&rurl=translate.google.ro&usg=ALkJrhgEWW9095jfAlVxqa5P0WnfOSZQvghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit&rurl=translate.google.ro&usg=ALkJrhigqH4ibRFtXQbZEWMsXsd7lCXHrAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_packet_inspection&rurl=translate.google.ro&usg=ALkJrhh4qSzOwk0ApokV41m1ait4ZUs9Lwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Invalid_packet&rurl=translate.google.ro&usg=ALkJrhiX94N60Q_4Rop3aBDCXXikaA2l5Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Denial-of-service_attack&rurl=translate.google.ro&usg=ALkJrhitsGLO-tu6x5O1jB5MWUZCtxk-bAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bob_Braden&rurl=translate.google.ro&usg=ALkJrhjRe1DJhKLH1lkfdNAlEWVIQl1azwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_Southern_California&rurl=translate.google.ro&usg=ALkJrhgD_q74KJRiYyWqoQoZarSRuYlA6ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft&rurl=translate.google.ro&usg=ALkJrhgI0y3-cNAU_4tp5O-M7l8XpCJO9Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft_Windows&rurl=translate.google.ro&usg=ALkJrhi-9KrDnZ0jQs0iIHKb3ypl9jxrDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS&rurl=translate.google.ro&usg=ALkJrhjj34z22xxQ1iBGSFL-obqEn6l9Dghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Check_Point&rurl=translate.google.ro&usg=ALkJrhifnwEdq5ZCccgex1c6ZHmdeZTf6Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FireWall-1&rurl=translate.google.ro&usg=ALkJrhhjGK7w-dc1LS0XNAdH9Sb6fksFgAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Deep_packet_inspection&rurl=translate.google.ro&usg=ALkJrhjs00s6mCOeLmHXSy0c5qYBErVH4Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intrusion-prevention_system&rurl=translate.google.ro&usg=ALkJrhjYC4SNeTx0QUs_k00tD4UmD7RU6whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_Engineering_Task_Force&rurl=translate.google.ro&usg=ALkJrhjLegiN6p1RlWrdkl7L4sdV3ItcbQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Middlebox&rurl=translate.google.ro&usg=ALkJrhgpbVfSdJwU7i9WLnLNE541XHhnjghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/AT%2526T&rurl=translate.google.ro&usg=ALkJrhhPTJY7MU48zHUoXBb1iQwE0yHORghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Laboratories&rurl=translate.google.ro&usg=ALkJrhgEWW9095jfAlVxqa5P0WnfOSZQvghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit&rurl=translate.google.ro&usg=ALkJrhigqH4ibRFtXQbZEWMsXsd7lCXHrAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_packet_inspection&rurl=translate.google.ro&usg=ALkJrhh4qSzOwk0ApokV41m1ait4ZUs9Lwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Invalid_packet&rurl=translate.google.ro&usg=ALkJrhiX94N60Q_4Rop3aBDCXXikaA2l5Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Denial-of-service_attack&rurl=translate.google.ro&usg=ALkJrhitsGLO-tu6x5O1jB5MWUZCtxk-bAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bob_Braden&rurl=translate.google.ro&usg=ALkJrhjRe1DJhKLH1lkfdNAlEWVIQl1azwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_Southern_California&rurl=translate.google.ro&usg=ALkJrhgD_q74KJRiYyWqoQoZarSRuYlA6ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft&rurl=translate.google.ro&usg=ALkJrhgI0y3-cNAU_4tp5O-M7l8XpCJO9Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft_Windows&rurl=translate.google.ro&usg=ALkJrhi-9KrDnZ0jQs0iIHKb3ypl9jxrDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS&rurl=translate.google.ro&usg=ALkJrhjj34z22xxQ1iBGSFL-obqEn6l9Dghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Check_Point&rurl=translate.google.ro&usg=ALkJrhifnwEdq5ZCccgex1c6ZHmdeZTf6Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FireWall-1&rurl=translate.google.ro&usg=ALkJrhhjGK7w-dc1LS0XNAdH9Sb6fksFgAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Deep_packet_inspection&rurl=translate.google.ro&usg=ALkJrhjs00s6mCOeLmHXSy0c5qYBErVH4Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intrusion-prevention_system&rurl=translate.google.ro&usg=ALkJrhjYC4SNeTx0QUs_k00tD4UmD7RU6whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_Engineering_Task_Force&rurl=translate.google.ro&usg=ALkJrhjLegiN6p1RlWrdkl7L4sdV3ItcbQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Middlebox&rurl=translate.google.ro&usg=ALkJrhgpbVfSdJwU7i9WLnLNE541XHhnjg8/9/2019 Firewall Extern
10/34
O alt ax de dezvoltare vorbeste despre integrarea identitatii utilizatorilor n normele
Firewall. Multe firewall-uri asigura astfel de funcii legand identiti de utilizator de IP sau
adrese MAC, care sunt foarte aproximative i pot fi uor ntoarse. NuFW firewall ofer de
identitate pe baz de firewall-uri reale, prin solicitarea semnaturii utilizatorului pentru fiecare
conexiune.
2.4. Tipuri
Sunt mai multe clasificari de firewall-uri, n funcie de locul n care comunicarea are loc,
unde comunicarea este interceptata si de statutul care este localizat.
Strat de reea i de pachete de filtre
Straturile reelei de firewall-uri, numit de asemenea filtre de pachete, opereze la un nivel
relativ sczut al TCP / IPstiva protocolului , nu permite pachetelor s treac prin firewall cu
excepia cazului n care se potrivesc cu setul de regula stabilit. Administratorul firewall
poate defini reguli sau normele implicite se pot aplica. Termenul de "filtru de pachet" are
originea n contextul BSDsisteme de operare .
Stratul reelei de firewall-uri, n general, se mpart n dou sub-categorii, statefull i apatrizi .
Firewall-ul Stateful menine contextul despre sesiuni active, i foloseste acele "informaii de
stat" la viteza de procesare a pachetelor. Orice conectare la reea existenta poate fi descrisaprin mai multe proprieti, inclusiv adresa IP surs i destinaie, porturile UDP sau TCP, i
stadiul actual de conectare (incluzand deschiderea sesiunii, handshaking , datele de transfer,
sau completarea conexiune ). Dac un pachet nu se potriveste cu o conexiune existent,
aceasta va fi evaluat n funcie de setul de reguli pentru noi conexiuni. Dac un pachet se
potriveste cu o conexiune existent bazat pe compararea cu tabelul de status a firewall-ului,
acestuia ii va fi permis s treac fr prelucrare suplimentar.
Firewall-urile apatride necesit mai puin memorie, i pot fi mai rapide pentru filtre simple,care necesit mai puin timp pentru a filtra dect s se uite dupa o sesiune. Ele pot fi, de
asemenea, necesare pentru filtrarea protocoalelor de reea apatride care nu au conceptul de o
sesiune. Cu toate acestea, ele nu pot lua decizii mai complexe bazate pe ceea ce stadiul de
comunicaii ntre gazde a ajuns.
Firewall-urile moderne pot filtra traficul pe baza de pachete de mai multe atribute ca sursa
adresa IP , sursa portului , adresa IP destinatie sau port, de serviciu ca destinaie www sau
FTP . Ele pot filtra pe baza unor protocoale, TTL valori, netblockde iniiator, de surs, i altemulte atribute.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NuFW&rurl=translate.google.ro&usg=ALkJrhg4SVHd2dpTfOELWMpHUsqU97YzyAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_protocol_suite&rurl=translate.google.ro&usg=ALkJrhgvgOhbPBtX-Mlevj1NL5v8pugOrQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Protocol_stack&rurl=translate.google.ro&usg=ALkJrhjFSnx7mKLDwfM_771aQXr29Plr4ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Operating_systems&rurl=translate.google.ro&usg=ALkJrhhdXg73kEGgj6NjrhGmPlx2ES1iwQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateless_firewall&rurl=translate.google.ro&usg=ALkJrhiIwoJDBDzOdfEqSYlLqihpFcFHighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Handshaking&rurl=translate.google.ro&usg=ALkJrhjKYueYeMvlks12fkvyfTiqpWRJSAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Data&rurl=translate.google.ro&usg=ALkJrhibxrkTcNMYmONQKfIROonynUvgOghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Connectivity_(computer_science)&rurl=translate.google.ro&usg=ALkJrhj8EfYtNClbfZ7MdbXEYMZHcPFjAAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_address&rurl=translate.google.ro&usg=ALkJrhja55Ipo_WlsNVcCozCCmZZePtntAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/TCP_and_UDP_port&rurl=translate.google.ro&usg=ALkJrhh_ZYgAeCIEjzu5W9uDMK1JLGDAGQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/World_Wide_Web&rurl=translate.google.ro&usg=ALkJrhiiAGdeWmHVhUWvqwBbecDFr8i97Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_transfer_protocol&rurl=translate.google.ro&usg=ALkJrhj-DaDO7YHuyjPukhoX0TMYz5O7fghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Time_to_live&rurl=translate.google.ro&usg=ALkJrhjmlfwZh-Kb9WwwezUvgEwesW1uRAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/w/index.php%3Ftitle%3DNetblock%26action%3Dedit%26redlink%3D1&rurl=translate.google.ro&usg=ALkJrhjwoeOcgOk1Nj3v4Zpx4x7tLm6Zighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NuFW&rurl=translate.google.ro&usg=ALkJrhg4SVHd2dpTfOELWMpHUsqU97YzyAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_protocol_suite&rurl=translate.google.ro&usg=ALkJrhgvgOhbPBtX-Mlevj1NL5v8pugOrQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Protocol_stack&rurl=translate.google.ro&usg=ALkJrhjFSnx7mKLDwfM_771aQXr29Plr4ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Operating_systems&rurl=translate.google.ro&usg=ALkJrhhdXg73kEGgj6NjrhGmPlx2ES1iwQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateless_firewall&rurl=translate.google.ro&usg=ALkJrhiIwoJDBDzOdfEqSYlLqihpFcFHighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Handshaking&rurl=translate.google.ro&usg=ALkJrhjKYueYeMvlks12fkvyfTiqpWRJSAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Data&rurl=translate.google.ro&usg=ALkJrhibxrkTcNMYmONQKfIROonynUvgOghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Connectivity_(computer_science)&rurl=translate.google.ro&usg=ALkJrhj8EfYtNClbfZ7MdbXEYMZHcPFjAAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_address&rurl=translate.google.ro&usg=ALkJrhja55Ipo_WlsNVcCozCCmZZePtntAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/TCP_and_UDP_port&rurl=translate.google.ro&usg=ALkJrhh_ZYgAeCIEjzu5W9uDMK1JLGDAGQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/World_Wide_Web&rurl=translate.google.ro&usg=ALkJrhiiAGdeWmHVhUWvqwBbecDFr8i97Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_transfer_protocol&rurl=translate.google.ro&usg=ALkJrhj-DaDO7YHuyjPukhoX0TMYz5O7fghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Time_to_live&rurl=translate.google.ro&usg=ALkJrhjmlfwZh-Kb9WwwezUvgEwesW1uRAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/w/index.php%3Ftitle%3DNetblock%26action%3Dedit%26redlink%3D1&rurl=translate.google.ro&usg=ALkJrhjwoeOcgOk1Nj3v4Zpx4x7tLm6Zig8/9/2019 Firewall Extern
11/34
Utilizate frecvent filtrele de pachete pe diferite versiuni de Unix sunt IPF (diverse), ipfw (
FreeBSD / Mac OS X ), PF (OpenBSD , i toate celelalte BSD ), iptables / ipchains ( Linux ).
2.5. Aplicatie pe straturi
Articol principal: Firewall-ul ca aplicatie pe straturi
Aplicatia firewall-urilor pe straturi lucreze la nivel de aplicaie la stiva TCP / IP (de exemplu,
tot traficul browser-ul, sau toate telnet sau FTP trafic), i pot intercepta toate pachetele care
cltoresc ctre sau de la o aplicaie. Ei blocheaza alte pachete (de obicei, le arunca fr
confirmare de primire ctre expeditor). n principiu, firewall-urile cerere pot preveni traficul
nedorit din afara de a ajunge la mainile protejate.
Pe toate pachetele de control pentru coninutul impropriu, firewall-urile pot restriciona sau
mpiedica pur i simplu rspndirea in reea a viermilor de calculatori troienilor. Criteriile
suplimentare de inspecie pot aduga laten suplimentara pentru transmiterea de pachete la
destinaie.
2.6. Proxy
Articol principal: server proxyUn dispozitiv de proxy (care ruleaz fie pe hardware dedicat sau ca software-ul pe o main
de uz general), poate aciona ca un firewall, rspunznd la pachete de intrare (cereri de
conectare, de exemplu), n maniera unei cereri, n timp ce blocarea alte pachete.
Proxy-urile fac manipularea frauduloas cu un sistem intern de la reeaua extern mai dificil
i abuz de un sistem intern nu ar determina n mod necesar o nclcare a securitii de
exploatat din afara firewall-ului (att timp ct proxy cererea rmne intact i configurat
corect). Dimpotriv, intruii pot deturna un sistem accesibil publicului i-l utilizeaza ca un
proxy pentru propriile lor scopuri; proxy, apoi mascat ca acest sistem pentru interne alte
maini. n timp ce utilizarea de spaii adresa interna mrete securitatea, hakerii pot angaja
nc metode cum ar fi IP spoofing pentru a ncerca s treac pachetele intr-o reea int.
2.7. Traducerea adreselor de reea
Articol principal: Traducerea adreselor de retea
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPFilter&rurl=translate.google.ro&usg=ALkJrhisshSKP3WciMXfmdAIN0bk7piJOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipfirewall&rurl=translate.google.ro&usg=ALkJrhhL5bb24t79TrKsP2f42WdRE2xBNAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FreeBSD&rurl=translate.google.ro&usg=ALkJrhjH4MdEAYyRAPG4d5rmuyBaYnSXAQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS_X&rurl=translate.google.ro&usg=ALkJrhjAE3gGni7wS-aJU5LKaW_kTTnEMAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/PF_(firewall)&rurl=translate.google.ro&usg=ALkJrhi1lxgBBt_tOsc7WjxL3qHqrwVX4Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/OpenBSD&rurl=translate.google.ro&usg=ALkJrhjiFO8VPRe7mzEc-Vhh86ZB-nQ8vQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Netfilter&rurl=translate.google.ro&usg=ALkJrhg5VFArhoYTOnwlxNmj4FAIY8LjmAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipchains&rurl=translate.google.ro&usg=ALkJrhhDaxFq_eGX1LtsS6CEZtnhKJigeAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Linux&rurl=translate.google.ro&usg=ALkJrhgW5gvRyGyT1p3kTeaIFrvGv2rqyQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ftp&rurl=translate.google.ro&usg=ALkJrhhNlQ4KC1GeBGSppsr3NPvvt4A1zQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_worm&rurl=translate.google.ro&usg=ALkJrhiXAREGHF31rrTYG4JOU_RQUjl4UQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Trojan_horse_(computing)&rurl=translate.google.ro&usg=ALkJrhhKR6neEMtb864KnEA0NRQnBgo37whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wiktionary.org/wiki/Hijack&rurl=translate.google.ro&usg=ALkJrhgraB27wm3O82-NnmyYn6TfctOSYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Spoofing_attack&rurl=translate.google.ro&usg=ALkJrhixsLiTU8yTYSRTR0RfaC_lZ3poUghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Security_cracking&rurl=translate.google.ro&usg=ALkJrhjtdIpI5oPCxSHbHew-SQfLgBTgZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPFilter&rurl=translate.google.ro&usg=ALkJrhisshSKP3WciMXfmdAIN0bk7piJOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipfirewall&rurl=translate.google.ro&usg=ALkJrhhL5bb24t79TrKsP2f42WdRE2xBNAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FreeBSD&rurl=translate.google.ro&usg=ALkJrhjH4MdEAYyRAPG4d5rmuyBaYnSXAQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS_X&rurl=translate.google.ro&usg=ALkJrhjAE3gGni7wS-aJU5LKaW_kTTnEMAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/PF_(firewall)&rurl=translate.google.ro&usg=ALkJrhi1lxgBBt_tOsc7WjxL3qHqrwVX4Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/OpenBSD&rurl=translate.google.ro&usg=ALkJrhjiFO8VPRe7mzEc-Vhh86ZB-nQ8vQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Netfilter&rurl=translate.google.ro&usg=ALkJrhg5VFArhoYTOnwlxNmj4FAIY8LjmAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipchains&rurl=translate.google.ro&usg=ALkJrhhDaxFq_eGX1LtsS6CEZtnhKJigeAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Linux&rurl=translate.google.ro&usg=ALkJrhgW5gvRyGyT1p3kTeaIFrvGv2rqyQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ftp&rurl=translate.google.ro&usg=ALkJrhhNlQ4KC1GeBGSppsr3NPvvt4A1zQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_worm&rurl=translate.google.ro&usg=ALkJrhiXAREGHF31rrTYG4JOU_RQUjl4UQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Trojan_horse_(computing)&rurl=translate.google.ro&usg=ALkJrhhKR6neEMtb864KnEA0NRQnBgo37whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wiktionary.org/wiki/Hijack&rurl=translate.google.ro&usg=ALkJrhgraB27wm3O82-NnmyYn6TfctOSYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Spoofing_attack&rurl=translate.google.ro&usg=ALkJrhixsLiTU8yTYSRTR0RfaC_lZ3poUghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Security_cracking&rurl=translate.google.ro&usg=ALkJrhjtdIpI5oPCxSHbHew-SQfLgBTgZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQ8/9/2019 Firewall Extern
12/34
Firewall-urile au adesea traducere adres de reea (NAT) funcionalitate, i gzduiete
protejarea n spatele unui firewall avand de obicei adrese n zona de adrese 12isposi, astfel
cum este definit n RFC 1918 Firewall-urile au adesea o astfel de functionalitate pentru a
ascunde adevarata adresa de 12ispo protejate. Originally, the NAT function was developed to
address the limited number of Ipv4 routable addresses that could be used or assigned to
companies or individuals as well as reduce both the amount and therefore cost of obtaining
enough public addresses for every computer in an organization. Iniial, funcia NAT a fost
dezvoltata pentru a aborda un numr limitat de adrese Ipv4 rutabile care ar putea fi utilizate
sau 12isposit pentru companii sau 12isposit fizice, precum i a reducerea att cantitativ i prin
urmare costul de obinere a adreselor publice pentru fiecare calculator ntr-o organizaie.
Hiding the addresses of protected devices has become an increasingly important defense
against network reconnaissance . Ascunderea adreselor de 12ispositive protejate a devenit
una di cele mai importante tehnici de aprare mpotriva reelei de recunoatere .
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://tools.ietf.org/html/rfc1918&rurl=translate.google.ro&usg=ALkJrhjPzVUE27B97P4GgpvPGHVkxTOCsQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://tools.ietf.org/html/rfc1918&rurl=translate.google.ro&usg=ALkJrhjPzVUE27B97P4GgpvPGHVkxTOCsQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWA8/9/2019 Firewall Extern
13/34
CAPITOLUL 3
POLITICI FIREWALL
O main firewall nu nseamn nimic dac nu sunt definite politici firewall. n
general, firewall-urile au dou scopuri:
1. s in persoane (viermi/hackeri/crackeri) afar.
2. s in persoane (angajai/copii) nnuntru.
Pentru un firewall exist dou moduri principale de abordare:
1 Interzice totul in mod prestabilit i permite explicit trecerea anumitor pachete.
2 Permite totul in mod prestabilit i interzice explicit trecerea anumitor pachete.
Pachet de intrare
Accept pachetulsatisface regula1?
satisface regulan?
Interzice pachetul
Accept pachetul
NU
NU
Pachet de intrare
respinge pachetulsatisface regula1?
satisface regulan?
Accept pachetul
respinge pachetul
DA
DA
8/9/2019 Firewall Extern
14/34
Crearea unei politici firewall este, n esen, destul de simpl:
trebuie stabilit ce este permis s ies din reeaua local, dar mai ales ce este permis s intre n
ea ( ce tipuri de pachete ?)
trebuie stabilite serviciile pe care o s le ofere firewall i la cine o s ofere aceste servicii
trebuie descrise tipurile de atacuri poteniale pe care firewall-ul trebuie s le opreasc
3.1. Tipuri de firewall-uri
Exist dou tipuri de firewall-uri:
1. Firewall-uri de filtrare care blocheaz anumite pachete specific
2. Servere Proxy care stabilesc conexiuni de reea n exterior pentru
calculatoarele din interiorul LAN-ului
3.2 Firewall-uri de filtrare a pachetelor(Packet Filtering Firewalls)
Systemfirewall
(LAN) | (HUB)
internet calculator
(DMZ)(HUB)
internetSystemproxy/firewall
calculator
(LAN) | (HUB)
proxy server
8/9/2019 Firewall Extern
15/34
Firewall-urile de tip filtru de pachete sunt firewall-uri care pentru fiecare pachet IP
care circula prin sistem (intra, iese sau este routat) verifica informatiile din antetul lui si in
functie de acestea decide soarta pachetului: el poate sa lase pachetul sa treaca (ACCEPT) sau
poate sa-l opreasca (REJECT/DENY). Acestea sunt operatiile mai importante pe care le poate
efectua un filtru de pachete asupra unui pachet. Pe langa acestea, mai sunt si alte functii pe
care le poate indeplini un filtru de pachete: mascare, redirectare, port forwarding care vor fi
detaliate mai jos.
Filtrul de pachete pentru sistemul de operare Linux este construit n interiorul kernel-
ului. Un firewall de filtrare lucreaz la nivelul reea. Informaia poate prsi sistemul doar
dac regulile firewall-ului o permit. Cnd pachetele ajung la firewall ele sunt filtrate dup tip,
adresa surs, adresa destinaie i numr de port, informaii care sunt coninute n orice pachet
IP. Majoritatea routerelor de reea ofer servicii de filtrare. De fapt firewall-ul este un fel de
router. Pentru c foarte puine date sunt analizate i logate, firewall-urile de filtrare consum
mai puin timp CPU i creeaz mai puine ntrzieri pe reea decat alte servicii de acest gen.
Firewall-urile de filtrare nu suport autentificarea prin parole. Un firewall identific un
utilizator doar dup adresa IP de la care lucreaz.
Printre avantajele firewall-urilor cu filtrare de pachete se numara si urmatoarele:
controlul traficului (daca firewall-ul ruleaza pe gateway-ul spre alta retea atunci acesta poate
sa permita (sa lase sa treaca) un anumit tip de trafic, pe cand alt tip de trafic poate sa-l
opreasca se poate restrictiona, astfel, traficul spre o anumita parte a internetului sau a altei
retele exterioare), securitate sporita (cand linux box-ul dumneavoastra este singurul paravan
care sta intre reteaua dumneavoastra locala si haosul din internet, este o idee buna aceea de a
restrictiona accesul din exterior la porturile dumneavoastra deschise astfel, se poate permite
accesul la reteaua dumneavoastra locala numai din anumite locuri considerate sigure) si
supravegherea retelei (daca o masina prost configurata sau virusata din reteaua dumneavostralocala incepe sa transmita la intamplare pachete in lumea exterioara este bine sa stiti acest
lucru si sa remediati situatia).
Nucleele Linux au avut filtre de pachete inca de la seria 1.1. Prima generatie de filtre
de pachete, bazata pe ipfw din BSD, a fost portata de Alan Cox in 1994. Aceasta a fost
imbunatatita de Jos Vos si altii pentru nucleele 2.0; a fost introdus si un utilitar, ipfwadm,
pentru a controla regulile de filtrare din kernel.
In 1998, Rusty Russell cu ajutorul lui Michael Neuling au introdus utilitarul ipchainspentru controlul regulilor de filtrare din nucleele 2.2. In fine, in 1999, Rusty Russell a
8/9/2019 Firewall Extern
16/34
introdus o a patra generatie de utilitare pentru filtrarea pachetelor si anume iptables, pentru
nucleele 2.4. Ne vom concentra in cele ce urmeaza asupra utilitarelor ipchains si iptables,
acestea fiind de generatie noua.
Ipchains este firewall-ul implementat de kernelul linux. Ipchains este folosit pentru a
seta, menine i inspecta regulile de firewall din kernelul de linux. Nucleul Linux intretine o
serie de structuri interne numite reguli de fitrare. Aceste reguli pot fi mprite n patru
categorii diferite (chains/lanuri):
- IP input chain (pentru pachetele care intr),
- IP output chain (pentru pachetele care ies),
- IP forwarding chain (pentru pachetele care trebuie rutate) i
- chain-uri definite de utilizator.
Pentru fiecare din aceste categorii este meninut o tabel separat de reguli n kernel.
Primele trei chain-uri (tabele) sunt chain-uri predefinite (built-in) care exista deja in
kernel, dar utilizatorul poate contrui si altele. O regul specific un criteriu pentru un pachet
si o tinta. Tinta poate fi orice lant (built-in sau definit de utilizator) sau urmatoarele cuvinte
rezervate: ACCEPT, DENY, REJECT, MASQ, REDIRECT si RETURN. Ea precizeaza ce se
va intampla cu pachetul care verifica criteriul. Dac pachetul nu se potrivete cu criteriul
respectiv, urmtoarea regul din lan este examinat, daca nici aceasta regula nu contine un
criteriu care sa se potriveasca cu pachetul nostru este examinata urmatoarea regula din lant si
procesul continua, dar counterii regulii vor fi incrementati.
-i, --interface [!] nume : specifica interfata de retea prin care un pachet este receptionat
(pentru lantul input) sau prin care un pachet este trimis (pentru lanturile output si
forward). Daca optiunea este omisa, orice interfata este verificata. Argumentul !
inverseaza sensul expresiei. Daca numele interfetei se termina cu + atunci oriceinterfata a carei nume incepe cu nume este verificata.
Ex: ipchains A output i ppp0 j ACCEPT : aceasta regula spune kernelului sa accepte
orice pachet care este trimis pe interfata ppp0.
[!] -f, --fragment : aceasta specifica ca regula se refera numai la al doilea fragment si
urmatoarele dintr-un pachet fragmentat.
3.3. Alte optiuni:
8/9/2019 Firewall Extern
17/34
1 -b, --bidirectional : modul bidirectional; aceasta regula are acelasi efect ca si cand am
scrie regula de doua ori cu sursa si destinatia inversate.
2 -v, --verbose : formatul de afisare detaliat.
3 -n, --numeric : modul numeric de afisare adresele de IP si porturile vor fi afisate in
format numeric si nu vor fi traduse in nume de hosturi si nume de servicii.
4 -l, --log : optiunea de log; cand un pachet verifica aceasta regula, se vor loga anumite
informatii despre pachetul respectiv.
5 [!] -y, --syn : doar pachetele TCP cu bit-ul SYN setat si bitii ACK si FIN zero vor
verifica aceasta regula; aceste pachete sunt folosite la cererea de initiere a unei
conexiuni TCP.
Ex: ipchains A input s 12.20.109.4 d 193.231.18.38 p tcp dport 21 y j
DENY: aceasta regula spune kernelului sa faca deny la orice cerere de initiere de
conexiune care vine de la 12.20.109.4 pe portul destinatie 21 la adresa destinatie
193.231.18.38 .
Chain-urile input, output i forward sunt built-in i ele nu pot fi terse. Lanurile
definite de utilizator, n schimb, se pot terge. Regulile se pot aduga i se pot terge din
oricare chain.
3.4. Operaiile asupra unui chain sunt:
1 crearea unui nou chain (-N)
2 tergerea unui chain gol (-X)
3 schimbarea politicii unui chain built-in (-P): ACCEPT, DENY, REJECT, MASQ,
REDIRECT, RETURN.
4 listarea regulilor dintr-un chain (-L)
5 golirea unui chain (-F); flush6 seta la zero counterii de pachete si counterii de bytes din toate chainurile (-Z)
Operaiile care se pot aplica regulilor din interiorul unui chain sunt:
1 adugarea unei noi reguli n chain (-A)
2 inserarea unei noi reguli ntr-un chain pe o poziie oarecare (-I)
3 nlocuirea unei reguli dintr-un chain (-R)
4 tergerea unei reguli dintr-un chain (-D)
5 tergerea primei reguli care se potrivete dintr-un chain (-D)
8/9/2019 Firewall Extern
18/34
Operaii pentru mascarea pachetelor (masquerading):
1 listarea conexiunilor curent mascate (-M L)
2 setarea valorilor de timeout pentru mascare (-M S)
Alte operatii:
verificarea daca un anumit pachet verifica vreo regula dintr-un chain (-C)
Pentru kernelurile 2.2 regulile de firewall se scriu n fiierul /etc/rc.d/rc.firewall, fiier care
este executat la iniializarea sistemului. Coninutul chain-urilor se poate ns manipula i
dinamic cu ajutorul instruciunilor ipchains.
Iat un exemplu de /etc/rc.d/rc.firewall:
#!/bin/sh
#
# rc.firewall
#
## Golim fiecare chain i ncepem de la zero
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
#accepta conexiuni de la 193.226.40.147
/sbin/ipchains -A input -s 193.226.40.147 -j ACCEPT
#refuza conexiuni TCP de la hosturile din clasa 193.226.40.0 i care au netmask-ul
#255.255.255.0 (24 de bii de 1)
/sbin/ipchains -A input -p tcp -s 193.226.40.0/24 -j DENY
#refuz conexiunile la serverul de X (portul 6000) de la hosturile din clasele#193.231.20.0/255.255.255.0, 193.226.40.0/255.255.255.0, 192.168.144.0/255.255.255.0
/sbin/ipchains -A output -p tcp -d 193.231.20.0/24 6000 -j DENY
/sbin/ipchains -A output -p tcp -d 193.226.40.0/24 6000 -j DENY
/sbin/ipchains -A output -p tcp -d 192.168.144.0/24 6000 -j DENY
#irc deny (toate pachetele care ies ctre orice destinaie pe porturile 60008000 sunt
#abandonate)/sbin/ipchains -A output -p tcp -d 0.0.0.0/0 6000:8000 -j REJECT
8/9/2019 Firewall Extern
19/34
# accept conexiunea la proxy server de la orice adres din clasa 192.168.144.0
/sbin/ipchains -A input p tcp -s 192.168.144.0/25 8080 -j ACCEPT
# deny pentru pachetele care pleac ctre 194.149.31.110
/sbin/ipchains -A output -d 194.149.31.110 -j DENY
# deny pentru toate pachetele care pleac ctre 193.231.143.66
/sbin/ipchains -A output -d 193.231.143.66 -j DENY
# reject pentru dou hosturi
/sbin/ipchains -A input -s 192.168.144.161 -j REJECT/sbin/ipchains -A input -s 192.168.144.168 -j REJECT
Pentru distributiile mai noi de linux (RedHat 7.0,..) regulile de firewall se scriu in
fisierul /etc/sysconfig/ipchains.
Iptables este generatia noua de filtre de pachete pentru nucleele 2.4 Ea a fost creata
de Rusty Russell si pastreaza aproape in intregime filozofia ipchains, dar ofera in plus multe
functionalitati (extensii) mai ales pentru modificarea campurilor pachetelor care intra sau ies
printr-o masina linux. Inainte de a insira functionalitatile noi ale lui iptables voi enumera micidiferente de sintaxa a unor functionalitati care s-au transmis de la ipchains la iptables:
- numele lanturilor built-in se scriu acum cu litere mari nu cu litere mici ca la ipchains
- optiunea -i inseamna acum incoming interface (interfata pe care vin pachetele) si
functioneaza numai pentru lanturile INPUT si FORWARD. Regulile din FORWARD si
OUTPUT care foloseau optiunea -i trebuie sa foloseasca acum o (outgoing interface).
- porturile TCP si UDP trebuiesc acum specficate cu optiunile source-port/destination-
port sau sport/dport si trebuie plasate dupa optiunile -p tcp sau -p udp, deoareceacestea incarca extensiile TCP, respectiv UDP.
- flagul -y este acum syn si trebuie sa apara numai dupa -p tcp.
- tinta DENY este acum inlocuita cu DROP.
- zerorizarea unui lant in timpul listarii functioneaza cu iptables in timp ce cu ipchains, nu.
- zerorizarea lanturilor built-in de asemenea goleste counterii.
- REJECT si LOG sunt acum tinte extinse, adica sunt module separate.
- numele de lanturi pot avea acum maxim 31 de caractere.
8/9/2019 Firewall Extern
20/34
- MASQ este acum MASQUERADE si foloseste o sintaxa diferita. Tinta REDIRECT a
suferit de asemenea o schimbare de sintaxa.
- pachetele sunt trimise in userspace (pentru a fi prelucrate de utilizator) folosind tinta
QUEUE.
A avut loc si o schimbare de structura in trecerea de la ipchains la iptables. In iptables
pot fi definite mai multe tabele de reguli de firewall. Fiecare tabel contine un numar de
lanturi (chain-uri) built-in si pot contine si lanturi definite de utilizator. La fel ca si la
ipchains, fiecare lant poate contine mai multe reguli de filtrare.
Tinta unei reguli iptables poate fi ori un lant definit de utilizator ori una dintre tintele
speciale: ACCEPT, DROP, QUEUE, RETURN. ACCEPT lasa pachetul sa treaca departe.
DROP lasa pachetul sa cada (refuza pachetul). Tinta QUEUE transmite pachetul in
userspace daca kernelul suporta, pentru a fi prelucrat de programele utilizator. RETURN face
ca pachetul sa nu mai traverseze regulile din lantul curent ci sa revina la regulile din lantul
anterior (cel din care s-a ajuns in lantul curent). Daca se ajunge la sfarsitul unui lant built-in
sau o regula cu tinta RETURN dintr-un lant built-in este verificata, soarta pachetului va fi
determinata de politica lantului.
Exista 3 tabele independente de firewall; care tabele se afla in kernel la un moment dat
depinde de optiunile de configurare a kernelului si de modulele care sunt incarcate. Optiunea
-t, --table spune tabelul pe care va opera comanda iptables. Cele 3 tabele sunt:
1 filter: este tabelul de filtrare implicit; el contine 3 lanturi built-in : INPUT (pentru
pachetele destinate masinei locale), FORWARD (pentru pachetele care sunt rutate de
masina locala) si OUTPUT (pentru pachetele generate de masina locala).
2 nat(Network Address Translation): acest tabel este consultat cand este intalnit un pachet
care creeaza o noua conexiune; el contine lanturile PREROUTING (pentru modificarea
pachetelor inainte de a fi routate), OUTPUT .
CAPITOLUL 4
SERVERE PROXY
8/9/2019 Firewall Extern
21/34
(Proxy servers)
Serverele Proxy sunt n general folosite pentru controlul i monitorizarea traficului.
Serverele Proxy lucreaz la nivelul aplicaie. Unele proxy-uri rein datele cerute ntr-o zon
de cache. Acest lucru scade traficul pe reea i totodat i cerinele pentru lime de band
(bandwidth). Exist doutipuri de servere proxy:
1. Proxy aplicaie care ateapt cereri de la clieni i le rezolv
2. Proxy SOCKS care face mapare de porturi
4.1. Proxy aplicaie
Cel mai bun exemplu este cnd o persoan face telnet pe un calculator i de acolo face
telnet n lumea exterioar. Cu ajutorul unui server proxy aplicaie acest lucru este
automatizat. Cnd dau telnet n lumea exterioar clientul meu mi trimite cererea nti la
proxy. Apoi proxy-ul se conecteaz la serverul din lumea exterioar cerut de mine i-mi
returneaz datele cerute.
Serverele proxy logheaz aciunile pe care le ntreprind. Exist http proxy-uri, ftp
proxy-uri care prelucreaz datele nainte de a le trimite clientului (scaneaz datele pentru
virui, filtreaz cuvinte nepotrivite, etc.). Serverele proxy aplicaie pot autentifica
utilizatorii. De asemenea ele se pot configura s accepte conexiuni de la anumite adrese i de
la altele, nu. Exemplu de server proxy aplicaie este Squid.
4.2. Proxy SOCKS
Unserver SOCKS routeaz conexiuni TCP. El lucreaz numai cu conexiuni TCP i nu
ofer servicii de autentificare.
Majoritatea serverelor SOCKS lucreaza doar cu conexiuni de tip TCP.Ca ifirewallurile de filtrare a pachetelor nu furnizeaza autentificarea user-ului. Pot s rein
adresa la care fiecare user s-a conectat.
4.3. Configurarea unui Proxy Server
8/9/2019 Firewall Extern
22/34
Programul SOCKS are nevoie de dou fiiere de configurare, separate. Unul pentru
accesul permis si unul pentru a ruta (devia) cererile spre proxy serverul alocat. Fiierul de
acces trebuie gzduit pe server. Fiierul cu rutele ar trebui localizat pe orice main UNIX.
Fierul de acces
Cu pachetul socks4.2 Beta fiierul de acces se numete sockd.conf i ar trebui s
conin 2 linii una pentru permisiuni i una pentru respingere; fiecare linie avnd cte 3
intrri
- identificatorul (permit/deny)
- adresa IP (in notaia tipic ex. : 192.168.1.0)
- modificatorul de adrese e o adres de IP care funcioneaz ca o masc pentru
net. Dac bitul este 1 atunci bitul corespunztor din adresa care e verificat
trebuie s corespund cu bitul din cmpul de adrese IP.
Exemple:
permit 192.168.1.23 255.255.255.255
permite adresa IP 192.168.1.3
permit 192.168.1.0 255.255.255.0
permite adresele IP: de la 192.168.1.0 pn la 192.169.1.255.
permit 192.168.1.0 0.0.0.0
permite orice adres.
permit 192.168.1.0 255.255.255.0
deny 0.0.0.0 0.0.0.0
permite adresele dorite si le v-a respinge pe toate celelalte.
Unor utilizatori specificai le poate fi oferit accesul sau le poate fi respins. Aceasta se
realizeaz prin autentificarea identat. Nu toate sistemele suport identarea., inclusiv Trumpet
Winsock.
Fiierul de rutare
8/9/2019 Firewall Extern
23/34
Fiierul de rutare a fost denumit "socks.conf". El spune clienilor SOCKS cnd s
foloseasc socks i cnd nu. In reeaua local, de ex. nu voi folosi socks la comunicarea intre
dou calculatoare. Exist o legatura direct prin Ethernet.
Exist 3 intrari:
- deny
- direct
- sockd
Deny ii spune SOCKS-ului cnd s resping o cerere; aceasta intrare are aceleai trei
cmpuri ca i in sockd.conf, fiierul de acces, cmpul de modificare e setat la 0.0.0.0 .
Intrarea direct ne spune pentru care adrese nu trebuie folosit socks.
Acestea sunt toate adresele care pot fi accesate fr a folosi proxy server-ul. Vom avea trei
campuri: identificator, adresa si modificator.
Exemplu:
direct 192.168.1.0 255.255.255.0
oricine din reeaua locala va avea acces
Intrarea sockd i spune calc. care gazd are daemon-ul socks server pe el. Sintaxa este:
sockd @=
@=entry permite setarea adreselor IP a unei liste de proxy servere. Mai multe servere permit
o mai buna ncrcare i pentru redundan in caz de esec.
4.4. Lucrul cu proxy server
UNIX
Pentru ca aplicaiile s lucreze cu proxy server ele trebuie s fie sock-fiate. Este
nevoie de dou telneturi diferite, unul pentru directarea comunicaiilor, unul pentru
comunicaii prin proxy server. SOCK-urile vin cu instruciuni de SOCK-fiere a unui program,
precum i cteva programe pre-SOCK-fiate. Dac se folosete versiunea SOCK-fiat pentru a
ajunge direct undeva, SOCK-urile vor schimba pe versiunea directa. Din aceasta cauz se vor
redefini toate programele; "finger" devine "finger.orig" , "telnet" devine 'telnet.orig".Acest
lucru se realizeaz prin fiierul include/socks.h.
8/9/2019 Firewall Extern
24/34
Anumite programe vor manipula rutele i propriile sock-eturi. Netscape e unul dintre
acestea. Se poate folosi proxy server sub Netscape prin introducerea unei adrese de server n
cmpul de SOCK de sub proxies.
MSWindows cu Trompet Winsock
Trompet Winsock vine cu capabilitati de proxy inglobate. In meniul de setup se
introduce adresa IP a server-ului, i ale tuturor calculatoarelor care pot fi accesate direct.
Trumpet se va ocupa de pachetele de ieire.
Lucrul cu pachete UDP a serverelor proxy
Pachetele SOCKs lucreaz cu pachete TCP nu UDP,pe UDP fcndu-le mai puin
folositoare. Multe programe cum ar fi talk si Archie folosesc UDP. Acesta este un pachet
constuit pentru a putea fi folosit ca un proxy server pentru pachete UDP numite UDPrelay.
Din nefericire deocamdata incompatibile cu Linux.
Inconveniene cu Proxy Server
Proxy serverul e, mai presus de orice, un mecanism de securitate. Folosit pentru a
mri accesul la Internet cu un numr de adrese de IP limitate, are anumite inconveniene. Un
proxy server va permite un mai bun acces din interiorul unei reele protejate spre exterior dar
va face ca ceea ce este n interior s fie complet inaccesibil celor din afar. Aceasta nseamn
c nu vor exista talk-uri ntre servere sau conectare la arhive sau mail-uri directe spre
calculatoarele din interior.
FTP cauzeaz alte probleme cu un server proxy. Cnd dm un ls, serverul FTPdeschide un socket pe maina client i transmit informaiile prin acesta. Un server proxy nu
permite asta deci FTP-ul nu va funciona.
Serverele proxy funcioneaz ncet din cauza suprancrcrilor, orice alt modalitate
de accesare va fi mult mai rapid.
Dac avei o adresa IP i nu avei probleme cu securitatea, e preferabil s nu folosii
firewall-uri sau servere proxy. Dac nu avei adres de IP si nici probleme de securitate, se
poate folosi un emulator de IP cum ar fi Term, Slirp sau TIA. Aceste pachete vor funcionamai rapid permitnd o conectare mai bun i permind un nivel de acces mai bun din
8/9/2019 Firewall Extern
25/34
Internet spre interiorul reelei. Serverele proxy sunt potrivite pentru acele reele care vor avea
mai multe host-uri care vor dori s se conecteze la Internet ct mai uor, cu un singur setup si
puin efort dup aceea.
4.5. Configurarea avansat
S presupunem c vrem s punem n reea un site.Avem 50 de calculatoare si o
subreea de 32(5 biti) de adrese de IP. Dorim diverse nivele de acces n reea pentru a le
spune angajailor diferite lucruri si pentru a proteja unele pari din reea de restul.
Nivelurile sunt:
1.Nivel extern. Acesta este un nivel care va fi accesat de toata lumea.2.Nivel intermediar. Acesta e nivelul celor care au ajuns dincolo de nivelul extern.
3.Nivel intern. n acest nivel e reinut toata informaia secret.
4.6. Setarea reelei
Numerele de IP sunt aranjate:
- 1 numar e 192.168.1.250
- 23 din cele 32 de adrese IP 23 sunt alocate la 23 de maini care vor fi accesibile n Internet.
- 1 adres e rezervat cutiei Linux de pe acea reea
- 2 adrese IP la router
- 4 sunt lsate afar
- reelele protejate au ambele adrese 192.168.1.xxx
Apoi sunt construite dou reele separate, fiecare n diferite camere, ele sunt rutate prin
Ethernet-ul infrared (care funcioneaz ca un Ethernet normal ) i sunt invizibile celor din
afar.
Aceste reele sunt fiecare conectate la una din cutiile Linux cu o extra-adresa IP.
Exist i un fisier server care conecteaz cele dou reele protejate.Fiierul server
reine adresa 192.168.1.17 pentru reeaua de nivel intermediar i 192.168.1.23 pentru reeaua
de nivel intern. Trebuie s fie dou adrese de IP diferite din cauz c trebuie sa fie 2 carduri
Ethernet diferite. Rutarea de pe acestea este nchis. Rutarea IP de pe ambele cutii Linux e
nchisa. Router-ul nu va trimite pachete la adresele 192.168.1.xxx dect dac i se spune
explicit, astfel c cei din afar nu vor putea s intre. Motivul pentru care e nchis rutarea IP
8/9/2019 Firewall Extern
26/34
aici este c pachetele de la un nivel al reelei (intern) s nu ajung la altul (intemediar) i
invers.
Serverul NFS poate fi setat s ofere fiiere diferite, diferitelor reele. Acest lucru e
uor de realizat iar cu puin mecherie cu legturile simbolice se pot share-ui toate fiierele
comune. Folosind acest setup i un alt cart Ethernet acest fiier de server poate fi oferit
tuturor celor trei reele.
4.7. Setarea proxy-ului
Pentru c toate cele trei nivele vor s monitorizeze reeua pentru propriile lor scopuri,
vor trebui s aibe acces la reea. Reeaua extern are acces direct la Imternet, ramnnd doar
reelele interne (de nivel intermediar i de nivel intern) dup firewall, deci va trebui s setm
proxy-ul aici. Ambele reele vor fi setate similar , ele avnd acelai tip de adres de IP
alocat. Nici una dintre ele nu va putea folosi fiierul server pentru acces la Internet. Asta ar
face ca fiierul s fie expus viruilor. Iar reeaua de nivel intermediar nu dorim sa aibe acces
la World Wide Web.
Astfel, fiierul sockd.conf de pe maina Linux a reelei intermediare va avea linia:
deny 192.168.1.17 255.255.255.255Iar de pe masina reelei interioare:
deny 192.168.1.23 255.255.255.255
Iar masina de la nivelul intemediar va avea i linia
deny 0.0.0.0 0.0.0.0 eq 80
adic va nega accesul tuturor mainilor care vor ncerca s acceseze portul 80, portul http,
permind alte servicii, ns refuznd accesul la Web.
Apoi ambele fiiere vor avea:Permit 192.168.1.0 255.255.255.0
aceasta permite tuturor calculatoarelor de pe reeaua 192.168.1.xxx s foloseasc acest proxy
server cu excepia celor crora le-a fost deja refuzat accesul.
Astfel fisierul sockd.conf a reelei intermediare va arta astfel:
deny 192.168.1.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80permit 192.168.1.0 255.255.255.0
8/9/2019 Firewall Extern
27/34
Astfel fisierul sockd.conf al mercenarilor va arta astfel:
deny 192.168.1.23 255.255.255.255
permit 192.168.1.0 255.255.255.0
In concluzie , intrebarea este:Ce "poate" i ce "nu poate" s fac un firewall?
Un firewall poate s:
- monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun
monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare;
- blocheze la un moment dat traficul n i dinspre Internet;
- selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.
- permit sau interzic accesul la reeaua public, de pe anumite staii specificate;
- i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele
dou.
De asemeni, o aplicaie firewall nu poate:
- interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii
rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);
- interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce
nu trece prin router);
- apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a
datelor n reea (USB Stick, dischet, CD, etc.)
- preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii,
precum i punctele slabe ce decurg din exploatarea acestor greeli.
8/9/2019 Firewall Extern
28/34
CAPITOLUL 5
SOLUTI E : FIREWALL EXTERN
5.1.Outpost Firewall Pro 2010
Pentru acest proiect am ales ca soluie software Outpost Firewall Pro 2010
1.1 Instalarea si configurarea unui astfel de program pe sisteme Windows este relativ usoar.
Continum cuNextpn cand instalarea va incepe in directorul de instalare default:
C:\Program Files\Agnitum\Outpost Firewall Pro
In timpul instalrii vor aparea 2 ferestre de genul urmator:
8/9/2019 Firewall Extern
29/34
Bifati si instalati i aceste componente aditionale, necesare soft-ului.
2. Configurare
2.1. Dupa finalizarea instalrii programul v va oferi o ferestra de configurare a
Firewall ului prin 2 metode.
1. ModulNormal: este recomandat majorittii utilizatorilor ntruct nu cere cunostinte foarte
avansate de configurare.
2. ModulAdvanced:
Vor aprea cateva optiuni de configurare pentru modulul anti-spyware al programului peste
care vom trece:
Clic peNextsi expertul de configurare a incheiat instalarea.
Restartam sistemul.
Dupa restartarea sistemului n-i se va cere o cheie de inregistrare.
Introducem cheia de inregistrare a produsului.
Odat ce produsul a fost inregistrat, deschidem Settings si vedem cu ce optiuni de
configurare avansat avem.
8/9/2019 Firewall Extern
30/34
In partea stang observm sub modul firewall 3 module de reea pe care firewall ul, prin
reguli specifice le controleaz astfel:
Firewall policy (general vorbind reprezint o regul de comportare a fi