Какво правят филтрите и какво не

Филтрите могат да разрешават или забраняват виртуално всеки тип трафик. Ето някои от основните неща, които трябва да се знаят за филтрирането: • Спират лъжливите адреси в периферията на корпоративната мрежа. Минимално изискване е маршрутизаторите в периферията да блокират входящ трафик от IP адреси, които "твърдят", че идват от вътрешни мрежи. По същия начин IP адресът на изпращача във всеки изходящ пакет всеки трябва да бъде от вътрешна мрежа. • Спират фалшиви пътища. Някои IP адреси не трябва никога да се виждат в Интернет. Те включат не само частни адреси, специфицирани в RFC 1918, но и мрежи, проектирани като резервирани от Internet Assigned Numbers Authority (IANA). Запазените от IANA маршрути, познати като bogons, се сменят, така че е добре да се проверява кои мрежи трябва да се блокират. Добър източник e е-mail списъкът с bogons. Подробности, често задавани въпроси за филтрите и др. информация е достъпна в Web. • Блокират нежелани приложения. Лесен метод за спиране на нежелан трафик е просто филтриране по добре познат протокол и/или номер на порта, който даденото приложение използва. Напр. рутер може да блокира изходящи telnet сесии, отхвърляйки всеки пакет с дестинация TCP порт 23. Възраженията срещу тази техника са, че не защитава срещу "измамни" приложения, които сменят номера на порта, напр. чрез изпращане на peer-to-peer трафик към порт 80 (резервиран за Web пакети). • Следят употребата: Колко пъти потребители са посетили дадена мрежа? Каква честотна лента консумира дадено приложение? Повечето филтри на маршрути могат да бъдат настроени да отговарят на тези въпроси чрез записване на броя на обръщенията към филтъра. При Cisco напр. има списъци за достъп и пускането на logging е лесно: просто се добавя думата "log" в края на филтриращите условия. Някои други устройства, като тези на Enterasys Networks и Tasman, автоматично се логват (по подразбиране). • Намаляване на товара. Тестовите резултати го доказват: пакетните филтри могат да навредят до голяма степен на производителността. За намаляване употребата на CPU е да се ползва рутиране вместо филтриране. Напр. трафикът от или към нежелани адреси може да се пренасочи към занулен интерфейс. • Следят за поредността на операциите. Маршрутизаторите пускат филтрите в определен ред. За всеки входящ пакет, рутерът го проверява с първия филтър, после втория и така докато открие съответствие. Ако първото правило в списъка ACL е да отхвърли всякакъв трафик, маршрутизаторът няма да препраща никакъв пакет. Добра практика е да се завърши ACL с филтър "откажи всичко", но трябва да сте сигурни, че преди това има филтри, които изрично пропускат трафика, който трябва да бъде разрешен. • Не забравяхте маршрутизацията. В момента, в който се намеси дори 1 филтър, повечето рутери автоматично ще блокират всеки трафик, независимо че той е разрешен. Често срещана грешка при конфигуриране на списъци за достъп (ACL) е да се изпуснат филтрите, които позволяват на рутирания трафик да мине. • Не използвайте маршрутизатори вместо firewall. Пакетните филтри блокират достъпа, но тук свършват приликите със защитните стени. Като устройство, работещо в мрежовия слой, маршрутизаторът не може да следи състоянието на сесиите в транспортния или приложния слой, което е основно изискване към един firewall. Пакетното филтриране предлага известна сигурност (несъмнено е по-добре от нищо), но то няма да предотврати атаките, които защитната стена би спряла.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!