Firewall Extern

8/9/2019 Firewall Extern

1/34

COLEGIUL TEHNICPROFIL TEHNICSPECIALIZAREA: TEHNICIAN OPERATOR TEHNICA DE CALCUL

PREZENTARE DE SPECIALITATE PENTRU OBTINEREA

CERTIFICATULUI DE ATESTARE A

COMPETENTELOR PROFESIONALE

TEMA: FIREWALL EXTERN

COORDONATOR Elev

PROFESOR INGINER STANESCU Marcela HOANAS AlexandraAndreea

Clasa A-XII-CPromotia 2009 - 2010


2/34

Cuprins

Capitolul 1 Argument pag. 3

Capitolul 2 Firewall extern pag. 4

2.1. Generalitati pag. 4

2.2. Funcia firewall-ului pag. 5

2.3. Istoria firewall-ului pag. 6

2.4. Tipuri pag. 9

2.5. Aplicatie pe straturi pag. 10

2.6.Proxy pag. 10

2.7. Traducerea adreselor de reea pag. 11

Capitolul 3Politici firewall pag. 12

3.1.Tipuri de firewall-uri pag. 13

3.2. Firewall-uri de filtrare a pachetelor pag. 14

3.3. Alte optiuni pag. 16

3.4. Operaiile asupra unui chain sunt pag. 16

Capitolul 4 Servere Proxy pag. 20

4.1. Proxy aplicaie pag. 20

4.2. Proxy SOCKS pag. 20

4.3. Configurarea unui Proxy Server pag. 21

4.4. Lucrul cu proxy server pag. 22

4.5. Configurarea avansat pag. 24


3/34

4.6. Setarea reelei pag. 24

4.7. Setarea proxy-ului pag. 25

Capitolul 5 Solutie firewall extern pag. 27

5.1.Outpost Firewall Pro 2010 pag. 27


4/34

CAPITOLUL 1

ARGUMENT

Firewall - "Zid de foc" sau "Paravan de protecie"

Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de

exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme

sistemului. n plus, un paravan de protecie poate evita participarea computerului la un atac

mpotriva altora, fr cunotina dvs. Utilizarea unui paravan de protecie este important n

special dac suntei conectat n permanen la Internet.

Un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz

permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul

implementrii unei "politici" de filtrare. Aceast politic poate nsemna:

Termenul firewall are mai multe sensuri in funcie de implementare i scop. Firewall-

ul e o main conectat la internet pe care vor fi implementate politicile de securitate. Vaavea dou conexiuni la dou reele diferite. O plac de reea este conectat la Internet, iar

cealalt plac la reeaua local. Orice pachet de informaie care vine din Internet i vrea s

ajung n reeaua local trebuie nti s treac prin firewall. Astfel c firewall-ul devine locul

ideal pentru implementarea politicilor de securitate de reea i pentru controlul accesului din

exterior.


5/34


6/34

Firewall-urile pot fi puse n aplicare, fie hardware sau software, sau o combinaie a ambelor.

Firewall-uri sunt utilizate frecvent pentru a preveni utilizatorii de Internet neautorizati s

acceseze reelele private conectate la Internet, n special n intranet .Toate mesajele care intr

sau ies de pe intranet trec prin firewall-ul, care examineaz fiecare mesaj i blocuri de cele

care nu ndeplinesc criteriile specificate de securitate.

Exist mai multe tipuri de tehnici de firewall:

filtru de pachete : pachete de filtrare inspecteaz fiecare pachet care trece prin reea i accept

sau respinge pe baza regulilor definite de utilizator. Dei greu de configurat, este destul de

eficient i cea mai mare parte transparent pentru utilizatori. Sunt sensibile la IP spoofing .

gateway Cerere : mecanisme de securitate n cazul unei cereri specifice, cum ar fi FTP si

Telnet servere. Acest lucru este foarte eficient, dar poate impune o degradare de performan.

Circuit la nivel de gateway : se aplic mecanismele de securitate atunci cnd intr-un TCP sau

UDP conexiunea este stabilita. Dup ce conexiunea a fost fcut, pachetele pot avea trafic

intre gazde fr a verifica n continuare.

server proxy : intercepteaza toate mesajele care intr i ies din reea. Serverul proxy ascunde

adevrata adrese de reea.

2.2. Funcia firewall-ului

Un firewall este un dispozitiv dedicat, sau software care ruleaza pe un calculator, care

inspecteaz traficul de reea care trece prin el, i neag sau permit pasaje de trecere bazate pe

un set de reguli.

Este n mod normal, amplasat ntre o reea protejat i cu o reea neprotejat si se comporta ca

o poarta pentru a proteja bunurile pentru a se asigura c nimic privat nu iese i nimic ru nu

intra.

La firewall-ul de baz sarcina principal este de a reglementa o parte din fluxul de trafic ntrereele de calculatoare de diferite niveluri de ncredere. Exemple tipice sunt Internetul , care

este o zon cu nici o ncredere i o reea intern , care este o zon de ncredere foarte mare. O

zon cu un nivel de ncredere intermediar, situat ntre Internet i la o reea intern de

ncredere, este adesea menionat ca o ,,reea de perimetru "sau zona demilitarizat (DMZ).

Functia firewall-ului n cadrul unei reele este similar cu uile antifoc din constructii. n

primul caz, este utilizat pentru a preveni ptrunderea intrusilor de reea la reeaua privat. n

al doilea caz, acesta este destinat s izoleze i sa ntrzie focul de la rspndirea sprestructurile adiacente.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranets&rurl=translate.google.ro&usg=ALkJrhicvfd2hiUBDVwJZj5DidRL46DLPAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(computing)&rurl=translate.google.ro&usg=ALkJrhhpWB9YmHBwscr3hy3I-Emak-HfLg#First_generation_.E2.80.93_packet_filtershttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_gateway&rurl=translate.google.ro&usg=ALkJrhg5ns3Q9NlEeqtE2QoMm04rrUGpvwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FTP&rurl=translate.google.ro&usg=ALkJrhj8Ji9EQ_QLeXswQO0LhiBiH5aswQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit-level_gateway&rurl=translate.google.ro&usg=ALkJrhiQu-vCuIUue77Mwh8pClzEG4g2-Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Software&rurl=translate.google.ro&usg=ALkJrhgHkhydiCWT8ybwSc_FTwrLfmflLghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_network&rurl=translate.google.ro&usg=ALkJrhhHdhsqaOwAPK-9fKr3qw4QiBHBZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet&rurl=translate.google.ro&usg=ALkJrhi__cvQok2RTeealLvriuNhMILitAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)&rurl=translate.google.ro&usg=ALkJrhgp9jenhjR8WZ2Fmv38iHwhqRpKDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranets&rurl=translate.google.ro&usg=ALkJrhicvfd2hiUBDVwJZj5DidRL46DLPAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(computing)&rurl=translate.google.ro&usg=ALkJrhhpWB9YmHBwscr3hy3I-Emak-HfLg#First_generation_.E2.80.93_packet_filtershttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_gateway&rurl=translate.google.ro&usg=ALkJrhg5ns3Q9NlEeqtE2QoMm04rrUGpvwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FTP&rurl=translate.google.ro&usg=ALkJrhj8Ji9EQ_QLeXswQO0LhiBiH5aswQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit-level_gateway&rurl=translate.google.ro&usg=ALkJrhiQu-vCuIUue77Mwh8pClzEG4g2-Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Software&rurl=translate.google.ro&usg=ALkJrhgHkhydiCWT8ybwSc_FTwrLfmflLghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_network&rurl=translate.google.ro&usg=ALkJrhhHdhsqaOwAPK-9fKr3qw4QiBHBZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet&rurl=translate.google.ro&usg=ALkJrhi__cvQok2RTeealLvriuNhMILitAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intranet&rurl=translate.google.ro&usg=ALkJrhgOzOpTpbkqSky3fZPldSqwNe4Dkwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)&rurl=translate.google.ro&usg=ALkJrhgp9jenhjR8WZ2Fmv38iHwhqRpKDw


7/34

2.3. Istoria firewall-ului

Termenului de firewall / fireblock nsemna iniial un zid pentru a limita un incendiu sau un

potenial de incendiu ntr-o cldire; cf.. firewall (construcii) . Mai trziu, se refer la

structurile similare, cum ar fi tabla de separare a compartimentului motor al unui vehicul sau

la aeronave pentru compartimentul pentru pasageri.

Tehnologia Firewall a aprut la sfritul anilor 1980 cnd Internetul a fost o tehnologie

destul de nou n ceea ce privete utilizarea acestuia la nivel global i de conectivitate.

Predecesorii la firewall pentru securitatea reelei au fost routerele la sfritul anilor 1980

pentru separarea reelelor una de cealalt. Privind internetul ca o comunitate relativ mica de

utilizatori care au apreciat deschiderea pentru partajare i colaborare a fost ncheiat de un

numr major de incalcare a securitatii internetului care au aprut la sfritul anilor 1980:Descoperirea lui Clifford Stoll despre "spionii germani care au manipulat fraudulos

sistemul su .

"Seara cu Berferd" a lui Bill Cheswick din 1992, n care el a instituit o simpla nchisoare

electronica pentru a observa un atacator.

n 1988, un angajat laNASAAmes Research Centerdin California a trimis o not prin e-mail

la colegii si, in care scria: "Suntem atacati de un VIRUS de pe internet! Acesta a lovit

Berkeley , UC San Diego , Lawrence Livermore , Stanford i NASA Ames . "Worm Morris se transmitea prin mai multe vulnerabiliti n maini de timp. Dei nu a fost

ru n intenie, Worm Morris a fost un atac de mare amploare n primul rnd pe internetul de

securitate; comunitate online nu sa ateptat la nici un atac, nici pregtita pentru a face fata

unuia.

Prima generaie: filtre de pachete

Lucrarea publicat pentru prima oar pe tehnologia firewall a fost in 1988, cand inginerii de la

Digital Equipment Corporation (DEC) au dezvoltat sisteme de filtrare cunoscute sub numele

de firewall filtru de pachete. Acest sistem a fost de fapt baz primei generai a ceea ce a

devenit un foarte evoluat i tehnic element de securitate pentru internet. De la AT & T Bell

Labs , Bill Cheswick i Steve Bellovin au continuat cercetrile lor n pachete de filtrare i au

dezvoltat un model de lucru pentru propria lor companie pe baza primei lor generai de

arhitectura original.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(construction)&rurl=translate.google.ro&usg=ALkJrhgBko1Si5xbIrxMTR7KZSC41EHoEwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Clifford_Stoll&rurl=translate.google.ro&usg=ALkJrhgi0yMkcex-BZmdHR94Z5ZiGN_DOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NASA&rurl=translate.google.ro&usg=ALkJrhiBc1hrgMPn03A-naEpiXfQDo_NhQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Email&rurl=translate.google.ro&usg=ALkJrhjmAsTcWhtnTYZ8O51H6mdDOgHtvQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_California,_Berkeley&rurl=translate.google.ro&usg=ALkJrhizloHUPOOuDvHLikXOSLA7ZdLdDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/UC_San_Diego&rurl=translate.google.ro&usg=ALkJrhjam7srfLapHh6-axRaQraheysbhwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Lawrence_Livermore_National_Laboratory&rurl=translate.google.ro&usg=ALkJrhgyu-G4xFHNqlh_Tys7XgCs3I75fwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stanford&rurl=translate.google.ro&usg=ALkJrhicpAwwNkWQ6EDqXeita67BFSzfughttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Morris_Worm&rurl=translate.google.ro&usg=ALkJrhjh5Mml6MMsatvCXk9vhG1-ngMiEghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Digital_Equipment_Corporation&rurl=translate.google.ro&usg=ALkJrhg1Jb9hHHkFyhdSmIfMSHMuqnMPIQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Steven_M._Bellovin&rurl=translate.google.ro&usg=ALkJrhhTgcoJfKpIpwAWxrnDeI5yOJTNswhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Firewall_(construction)&rurl=translate.google.ro&usg=ALkJrhgBko1Si5xbIrxMTR7KZSC41EHoEwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Clifford_Stoll&rurl=translate.google.ro&usg=ALkJrhgi0yMkcex-BZmdHR94Z5ZiGN_DOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NASA&rurl=translate.google.ro&usg=ALkJrhiBc1hrgMPn03A-naEpiXfQDo_NhQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Email&rurl=translate.google.ro&usg=ALkJrhjmAsTcWhtnTYZ8O51H6mdDOgHtvQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_California,_Berkeley&rurl=translate.google.ro&usg=ALkJrhizloHUPOOuDvHLikXOSLA7ZdLdDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/UC_San_Diego&rurl=translate.google.ro&usg=ALkJrhjam7srfLapHh6-axRaQraheysbhwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Lawrence_Livermore_National_Laboratory&rurl=translate.google.ro&usg=ALkJrhgyu-G4xFHNqlh_Tys7XgCs3I75fwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stanford&rurl=translate.google.ro&usg=ALkJrhicpAwwNkWQ6EDqXeita67BFSzfughttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ames_Research_Center&rurl=translate.google.ro&usg=ALkJrhiQBIOa7talhqzZBzEzTdpcPtjHJAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Morris_Worm&rurl=translate.google.ro&usg=ALkJrhjh5Mml6MMsatvCXk9vhG1-ngMiEghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Digital_Equipment_Corporation&rurl=translate.google.ro&usg=ALkJrhg1Jb9hHHkFyhdSmIfMSHMuqnMPIQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Labs&rurl=translate.google.ro&usg=ALkJrhgKgNz_QAuHsquSCe7fQeZ2POVJXQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Steven_M._Bellovin&rurl=translate.google.ro&usg=ALkJrhhTgcoJfKpIpwAWxrnDeI5yOJTNsw


8/34

Pachetele de filtre lucreaza inspectand pachetele "care reprezint unitatea de baz pentru

transfer de date ntre computerele de pe internet. Dac un pachet se potriveste cu setul de

reguli ale filtrului de pachete, filtrul de pachete va scadea (tcut debarasa) sub form de

pachete, sau respinge (arunca, i a trimite "rspunsurile de eroare" la sursa).

Acest tip de filtrare de pachete nu primeste atenie pentru a stabili dac un pachet face parte

dintr-un flux de trafic existent (nu stocheaz nici o informaie privind starea de conectare).

n schimb, filtreaza fiecare pachet bazat doar pe informaiile coninute n pachetul in sine (cel

mai adesea folosind o combinaie de pachete de la sursa si destinatie, protocolul su, i,

pentru TCP i UDP trafic, numrul portului ).

TCP i UDP protocoale cuprind majoritatea comunicarilor pe Internet, i pentru c traficul

TCP i UDP prin convenie utilizeaz cunoscutele porturipentru anumite tipuri de trafic, un

"apatrid" filtru de pachete poate sa le distinga, i astfel de control, aceste tipuri de trafic (cum

ar fi cautarea pe web, imprimare de la distan, transmiterea de e-mail, transfer de fiiere), cu

excepia cazului n care mainile pe fiecare parte a filtrului de pachete folosesc aceleai

porturi non-standard.

Filtrarea de pachete ale firewall-urilor de lucru pe primele trei straturi ale modelului de

referinta OSI, ceea ce nseamn toate lucrrile se fac ntre nivelurile de reea i fizic. Cand

un pachet provine de la expeditor i este filtrat printr-un firewall, aparatul verific potrivirea

cu oricare dintre normele configurate pentru pachetul de filtrare al firewall-ului i preia sau

respinge pachetul n consecin. Cand pachetul trece prin firewall este filtrat de un protocol /

numarul portului de baza (GSS). De exemplu, dac o regul n firewall exist pentru a bloca

accesul telnet, atunci firewall-ul va bloca protocolul IP pentru portul 23.

A doua generaie: Strat de aplicare

Articol principal: firewall Cerere stratAvantajul major al stratului de cerere de filtrare este c aceasta poate "s neleag" anumite

aplicaii i protocoale (cum ar fi File Transfer Protocol , DNS , sau navigarea pe Web ), i se

poate detecta dac un protocol nedorit este ascuns prin intermediul unui port non-standard

sau n cazul n care un protocol este abuzat n vreun fel duntoare.

O aplicatie firewall este mult mai securizata i de ncredere n comparaie cu firewall filtru de

pachete deoarece funcioneaz pe toate cele apte straturi ale modelului de referinta OSI, de

la aplicarea n jos pana la nivelele fizice. Acest lucru este similar cu un firewall filtru depachete dar aici putem filtra de asemenea informaii pe baza coninutului. Cel mai bun
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPv4&rurl=translate.google.ro&usg=ALkJrhigJz5TXfG-H3-IUyXoQqwoRkitJg#Headerhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhjUq7YNNegKFQzsvKz6jIxytwZiHAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Domain_name_system&rurl=translate.google.ro&usg=ALkJrhimpGE_S6xuRM4FJVAaHnW2fpukKQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhg8W3kG1mF3V6z-8GKwrqkzpR0TtQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPv4&rurl=translate.google.ro&usg=ALkJrhigJz5TXfG-H3-IUyXoQqwoRkitJg#Headerhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Transmission_Control_Protocol&rurl=translate.google.ro&usg=ALkJrhgGnPby4mWaMo5BEvWn5GMg71lkhAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/User_Datagram_Protocol&rurl=translate.google.ro&usg=ALkJrhjDpwSTn0D4cy0LT7YYPga7l_W6Nwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhjUq7YNNegKFQzsvKz6jIxytwZiHAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Domain_name_system&rurl=translate.google.ro&usg=ALkJrhimpGE_S6xuRM4FJVAaHnW2fpukKQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol&rurl=translate.google.ro&usg=ALkJrhg8W3kG1mF3V6z-8GKwrqkzpR0TtQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers&rurl=translate.google.ro&usg=ALkJrhglnvCHdcnE5sXCYptFcNSd_DgBjA


9/34

exemplu de aplicatie firewall este ISA (Internet Security si Acceleration) server. O aplicatie

firewall poate filtra un mai mare strat de protocoale cum ar fi FTP, telnet, DNS, DHCP,

HTTP, TCP, UDP si TFTP (GSS). De exemplu, dac o organizaie dorete s blocheze toate

informaiile legate de "foo", atunci filtrarile pot fi activate pe firewall pentru a bloca acest

cuvnt in special. Acesta este un firewall bazat pe software i astfel, acesta este mult mai lent

dect un firewall stateful.

A treia generaie: filtrele "stateful"

Articol principal: Stateful firewall

Din 1989-1990 trei colegi de la AT & TBell Laboratories , Presetto Dave, Janardan Sharma,

i Kshitij Nigam, au dezvoltat a treia generaie de firewall-uri, numindu-le circuitul firewall

de nivel.

Firewall-urile a treia generaie, n plus fa de ceea ce primul-i a doua generaie au cautat,

ceea ce privete plasarea de fiecare pachet individual dintre seriile de pachete. Aceasta

tehnologie se refera n general la unpachet de control la statefull deoarece asigura o eviden

a tuturor conexiunilor care trec prin firewall si este capabil sa determine dac un pachet este

nceputul unei noi conexiuni, o parte a unei conexiuni existente, sau este unpachet invalid .

Dei exist nc un set de reguli statice ntr-un paravan de protecie, starea unei conexiuni

poate fi unul dintre criteriile care determina norme specifice.

Acest tip de firewall poate ajuta la prevenirea atacurilor care exploateaz conexiunile

existente, sau anumite negari ale serviciilor de atacuri .

Evoluiile ulterioare

n 1992, Bob Braden i Annette DeSchon la Universitatea din California de Sud (USC) au

rafinat conceptul de firewall. Produsul cunoscut sub numele de "Vize" a fost primul sistem

care avea o interfa de integrare vizuala cu culori si icoane, care ar putea fi usor deimplementat i accesat de pe un sistem de operare, cum ar fi Microsoft e Windows sau Apple

MacOS . n 1994, o companie israeliana numita Check Point Software Technologies a

construit acest lucru uor in software-ul disponibil cunoscut sub numele de firewall-1 .

Existenta inspecie in adancime a pachetului funcionalitatea firewall-urilor moderne poate fi

mprtit de sisteme de prevenire a accesului neautorizat (IPS).

n prezent, Grupul de Comunicare Middlebox de la Internet Engineering Task Force (IETF)

lucreaza la standardizarea protocoalelor pentru gestionarea firewall-urilor i a altormiddleboxes .
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/AT%2526T&rurl=translate.google.ro&usg=ALkJrhhPTJY7MU48zHUoXBb1iQwE0yHORghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Laboratories&rurl=translate.google.ro&usg=ALkJrhgEWW9095jfAlVxqa5P0WnfOSZQvghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit&rurl=translate.google.ro&usg=ALkJrhigqH4ibRFtXQbZEWMsXsd7lCXHrAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_packet_inspection&rurl=translate.google.ro&usg=ALkJrhh4qSzOwk0ApokV41m1ait4ZUs9Lwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Invalid_packet&rurl=translate.google.ro&usg=ALkJrhiX94N60Q_4Rop3aBDCXXikaA2l5Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Denial-of-service_attack&rurl=translate.google.ro&usg=ALkJrhitsGLO-tu6x5O1jB5MWUZCtxk-bAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bob_Braden&rurl=translate.google.ro&usg=ALkJrhjRe1DJhKLH1lkfdNAlEWVIQl1azwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_Southern_California&rurl=translate.google.ro&usg=ALkJrhgD_q74KJRiYyWqoQoZarSRuYlA6ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft&rurl=translate.google.ro&usg=ALkJrhgI0y3-cNAU_4tp5O-M7l8XpCJO9Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft_Windows&rurl=translate.google.ro&usg=ALkJrhi-9KrDnZ0jQs0iIHKb3ypl9jxrDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS&rurl=translate.google.ro&usg=ALkJrhjj34z22xxQ1iBGSFL-obqEn6l9Dghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Check_Point&rurl=translate.google.ro&usg=ALkJrhifnwEdq5ZCccgex1c6ZHmdeZTf6Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FireWall-1&rurl=translate.google.ro&usg=ALkJrhhjGK7w-dc1LS0XNAdH9Sb6fksFgAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Deep_packet_inspection&rurl=translate.google.ro&usg=ALkJrhjs00s6mCOeLmHXSy0c5qYBErVH4Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intrusion-prevention_system&rurl=translate.google.ro&usg=ALkJrhjYC4SNeTx0QUs_k00tD4UmD7RU6whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_Engineering_Task_Force&rurl=translate.google.ro&usg=ALkJrhjLegiN6p1RlWrdkl7L4sdV3ItcbQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Middlebox&rurl=translate.google.ro&usg=ALkJrhgpbVfSdJwU7i9WLnLNE541XHhnjghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/AT%2526T&rurl=translate.google.ro&usg=ALkJrhhPTJY7MU48zHUoXBb1iQwE0yHORghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bell_Laboratories&rurl=translate.google.ro&usg=ALkJrhgEWW9095jfAlVxqa5P0WnfOSZQvghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Circuit&rurl=translate.google.ro&usg=ALkJrhigqH4ibRFtXQbZEWMsXsd7lCXHrAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_packet_inspection&rurl=translate.google.ro&usg=ALkJrhh4qSzOwk0ApokV41m1ait4ZUs9Lwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Invalid_packet&rurl=translate.google.ro&usg=ALkJrhiX94N60Q_4Rop3aBDCXXikaA2l5Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Denial-of-service_attack&rurl=translate.google.ro&usg=ALkJrhitsGLO-tu6x5O1jB5MWUZCtxk-bAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Bob_Braden&rurl=translate.google.ro&usg=ALkJrhjRe1DJhKLH1lkfdNAlEWVIQl1azwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/University_of_Southern_California&rurl=translate.google.ro&usg=ALkJrhgD_q74KJRiYyWqoQoZarSRuYlA6ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft&rurl=translate.google.ro&usg=ALkJrhgI0y3-cNAU_4tp5O-M7l8XpCJO9Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Microsoft_Windows&rurl=translate.google.ro&usg=ALkJrhi-9KrDnZ0jQs0iIHKb3ypl9jxrDQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS&rurl=translate.google.ro&usg=ALkJrhjj34z22xxQ1iBGSFL-obqEn6l9Dghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Check_Point&rurl=translate.google.ro&usg=ALkJrhifnwEdq5ZCccgex1c6ZHmdeZTf6Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FireWall-1&rurl=translate.google.ro&usg=ALkJrhhjGK7w-dc1LS0XNAdH9Sb6fksFgAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Deep_packet_inspection&rurl=translate.google.ro&usg=ALkJrhjs00s6mCOeLmHXSy0c5qYBErVH4Ahttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Intrusion-prevention_system&rurl=translate.google.ro&usg=ALkJrhjYC4SNeTx0QUs_k00tD4UmD7RU6whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_Engineering_Task_Force&rurl=translate.google.ro&usg=ALkJrhjLegiN6p1RlWrdkl7L4sdV3ItcbQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Middlebox&rurl=translate.google.ro&usg=ALkJrhgpbVfSdJwU7i9WLnLNE541XHhnjg


10/34

O alt ax de dezvoltare vorbeste despre integrarea identitatii utilizatorilor n normele

Firewall. Multe firewall-uri asigura astfel de funcii legand identiti de utilizator de IP sau

adrese MAC, care sunt foarte aproximative i pot fi uor ntoarse. NuFW firewall ofer de

identitate pe baz de firewall-uri reale, prin solicitarea semnaturii utilizatorului pentru fiecare

conexiune.

2.4. Tipuri

Sunt mai multe clasificari de firewall-uri, n funcie de locul n care comunicarea are loc,

unde comunicarea este interceptata si de statutul care este localizat.

Strat de reea i de pachete de filtre

Straturile reelei de firewall-uri, numit de asemenea filtre de pachete, opereze la un nivel

relativ sczut al TCP / IPstiva protocolului , nu permite pachetelor s treac prin firewall cu

excepia cazului n care se potrivesc cu setul de regula stabilit. Administratorul firewall

poate defini reguli sau normele implicite se pot aplica. Termenul de "filtru de pachet" are

originea n contextul BSDsisteme de operare .

Stratul reelei de firewall-uri, n general, se mpart n dou sub-categorii, statefull i apatrizi .

Firewall-ul Stateful menine contextul despre sesiuni active, i foloseste acele "informaii de

stat" la viteza de procesare a pachetelor. Orice conectare la reea existenta poate fi descrisaprin mai multe proprieti, inclusiv adresa IP surs i destinaie, porturile UDP sau TCP, i

stadiul actual de conectare (incluzand deschiderea sesiunii, handshaking , datele de transfer,

sau completarea conexiune ). Dac un pachet nu se potriveste cu o conexiune existent,

aceasta va fi evaluat n funcie de setul de reguli pentru noi conexiuni. Dac un pachet se

potriveste cu o conexiune existent bazat pe compararea cu tabelul de status a firewall-ului,

acestuia ii va fi permis s treac fr prelucrare suplimentar.

Firewall-urile apatride necesit mai puin memorie, i pot fi mai rapide pentru filtre simple,care necesit mai puin timp pentru a filtra dect s se uite dupa o sesiune. Ele pot fi, de

asemenea, necesare pentru filtrarea protocoalelor de reea apatride care nu au conceptul de o

sesiune. Cu toate acestea, ele nu pot lua decizii mai complexe bazate pe ceea ce stadiul de

comunicaii ntre gazde a ajuns.

Firewall-urile moderne pot filtra traficul pe baza de pachete de mai multe atribute ca sursa

adresa IP , sursa portului , adresa IP destinatie sau port, de serviciu ca destinaie www sau

FTP . Ele pot filtra pe baza unor protocoale, TTL valori, netblockde iniiator, de surs, i altemulte atribute.
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NuFW&rurl=translate.google.ro&usg=ALkJrhg4SVHd2dpTfOELWMpHUsqU97YzyAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_protocol_suite&rurl=translate.google.ro&usg=ALkJrhgvgOhbPBtX-Mlevj1NL5v8pugOrQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Protocol_stack&rurl=translate.google.ro&usg=ALkJrhjFSnx7mKLDwfM_771aQXr29Plr4ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Operating_systems&rurl=translate.google.ro&usg=ALkJrhhdXg73kEGgj6NjrhGmPlx2ES1iwQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateless_firewall&rurl=translate.google.ro&usg=ALkJrhiIwoJDBDzOdfEqSYlLqihpFcFHighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Handshaking&rurl=translate.google.ro&usg=ALkJrhjKYueYeMvlks12fkvyfTiqpWRJSAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Data&rurl=translate.google.ro&usg=ALkJrhibxrkTcNMYmONQKfIROonynUvgOghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Connectivity_(computer_science)&rurl=translate.google.ro&usg=ALkJrhj8EfYtNClbfZ7MdbXEYMZHcPFjAAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_address&rurl=translate.google.ro&usg=ALkJrhja55Ipo_WlsNVcCozCCmZZePtntAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/TCP_and_UDP_port&rurl=translate.google.ro&usg=ALkJrhh_ZYgAeCIEjzu5W9uDMK1JLGDAGQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/World_Wide_Web&rurl=translate.google.ro&usg=ALkJrhiiAGdeWmHVhUWvqwBbecDFr8i97Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_transfer_protocol&rurl=translate.google.ro&usg=ALkJrhj-DaDO7YHuyjPukhoX0TMYz5O7fghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Time_to_live&rurl=translate.google.ro&usg=ALkJrhjmlfwZh-Kb9WwwezUvgEwesW1uRAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/w/index.php%3Ftitle%3DNetblock%26action%3Dedit%26redlink%3D1&rurl=translate.google.ro&usg=ALkJrhjwoeOcgOk1Nj3v4Zpx4x7tLm6Zighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/NuFW&rurl=translate.google.ro&usg=ALkJrhg4SVHd2dpTfOELWMpHUsqU97YzyAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Internet_protocol_suite&rurl=translate.google.ro&usg=ALkJrhgvgOhbPBtX-Mlevj1NL5v8pugOrQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Protocol_stack&rurl=translate.google.ro&usg=ALkJrhjFSnx7mKLDwfM_771aQXr29Plr4ghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Operating_systems&rurl=translate.google.ro&usg=ALkJrhhdXg73kEGgj6NjrhGmPlx2ES1iwQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateful_firewall&rurl=translate.google.ro&usg=ALkJrhj_G85OWyf3-WWIgl6cuNeyeRXXNwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Stateless_firewall&rurl=translate.google.ro&usg=ALkJrhiIwoJDBDzOdfEqSYlLqihpFcFHighttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Handshaking&rurl=translate.google.ro&usg=ALkJrhjKYueYeMvlks12fkvyfTiqpWRJSAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Data&rurl=translate.google.ro&usg=ALkJrhibxrkTcNMYmONQKfIROonynUvgOghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Connectivity_(computer_science)&rurl=translate.google.ro&usg=ALkJrhj8EfYtNClbfZ7MdbXEYMZHcPFjAAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_address&rurl=translate.google.ro&usg=ALkJrhja55Ipo_WlsNVcCozCCmZZePtntAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/TCP_and_UDP_port&rurl=translate.google.ro&usg=ALkJrhh_ZYgAeCIEjzu5W9uDMK1JLGDAGQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/World_Wide_Web&rurl=translate.google.ro&usg=ALkJrhiiAGdeWmHVhUWvqwBbecDFr8i97Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/File_transfer_protocol&rurl=translate.google.ro&usg=ALkJrhj-DaDO7YHuyjPukhoX0TMYz5O7fghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Time_to_live&rurl=translate.google.ro&usg=ALkJrhjmlfwZh-Kb9WwwezUvgEwesW1uRAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/w/index.php%3Ftitle%3DNetblock%26action%3Dedit%26redlink%3D1&rurl=translate.google.ro&usg=ALkJrhjwoeOcgOk1Nj3v4Zpx4x7tLm6Zig


11/34

Utilizate frecvent filtrele de pachete pe diferite versiuni de Unix sunt IPF (diverse), ipfw (

FreeBSD / Mac OS X ), PF (OpenBSD , i toate celelalte BSD ), iptables / ipchains ( Linux ).

2.5. Aplicatie pe straturi

Articol principal: Firewall-ul ca aplicatie pe straturi

Aplicatia firewall-urilor pe straturi lucreze la nivel de aplicaie la stiva TCP / IP (de exemplu,

tot traficul browser-ul, sau toate telnet sau FTP trafic), i pot intercepta toate pachetele care

cltoresc ctre sau de la o aplicaie. Ei blocheaza alte pachete (de obicei, le arunca fr

confirmare de primire ctre expeditor). n principiu, firewall-urile cerere pot preveni traficul

nedorit din afara de a ajunge la mainile protejate.

Pe toate pachetele de control pentru coninutul impropriu, firewall-urile pot restriciona sau

mpiedica pur i simplu rspndirea in reea a viermilor de calculatori troienilor. Criteriile

suplimentare de inspecie pot aduga laten suplimentara pentru transmiterea de pachete la

destinaie.

2.6. Proxy

Articol principal: server proxyUn dispozitiv de proxy (care ruleaz fie pe hardware dedicat sau ca software-ul pe o main

de uz general), poate aciona ca un firewall, rspunznd la pachete de intrare (cereri de

conectare, de exemplu), n maniera unei cereri, n timp ce blocarea alte pachete.

Proxy-urile fac manipularea frauduloas cu un sistem intern de la reeaua extern mai dificil

i abuz de un sistem intern nu ar determina n mod necesar o nclcare a securitii de

exploatat din afara firewall-ului (att timp ct proxy cererea rmne intact i configurat

corect). Dimpotriv, intruii pot deturna un sistem accesibil publicului i-l utilizeaza ca un

proxy pentru propriile lor scopuri; proxy, apoi mascat ca acest sistem pentru interne alte

maini. n timp ce utilizarea de spaii adresa interna mrete securitatea, hakerii pot angaja

nc metode cum ar fi IP spoofing pentru a ncerca s treac pachetele intr-o reea int.

2.7. Traducerea adreselor de reea

Articol principal: Traducerea adreselor de retea
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPFilter&rurl=translate.google.ro&usg=ALkJrhisshSKP3WciMXfmdAIN0bk7piJOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipfirewall&rurl=translate.google.ro&usg=ALkJrhhL5bb24t79TrKsP2f42WdRE2xBNAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FreeBSD&rurl=translate.google.ro&usg=ALkJrhjH4MdEAYyRAPG4d5rmuyBaYnSXAQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS_X&rurl=translate.google.ro&usg=ALkJrhjAE3gGni7wS-aJU5LKaW_kTTnEMAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/PF_(firewall)&rurl=translate.google.ro&usg=ALkJrhi1lxgBBt_tOsc7WjxL3qHqrwVX4Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/OpenBSD&rurl=translate.google.ro&usg=ALkJrhjiFO8VPRe7mzEc-Vhh86ZB-nQ8vQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Netfilter&rurl=translate.google.ro&usg=ALkJrhg5VFArhoYTOnwlxNmj4FAIY8LjmAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipchains&rurl=translate.google.ro&usg=ALkJrhhDaxFq_eGX1LtsS6CEZtnhKJigeAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Linux&rurl=translate.google.ro&usg=ALkJrhgW5gvRyGyT1p3kTeaIFrvGv2rqyQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ftp&rurl=translate.google.ro&usg=ALkJrhhNlQ4KC1GeBGSppsr3NPvvt4A1zQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_worm&rurl=translate.google.ro&usg=ALkJrhiXAREGHF31rrTYG4JOU_RQUjl4UQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Trojan_horse_(computing)&rurl=translate.google.ro&usg=ALkJrhhKR6neEMtb864KnEA0NRQnBgo37whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wiktionary.org/wiki/Hijack&rurl=translate.google.ro&usg=ALkJrhgraB27wm3O82-NnmyYn6TfctOSYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Spoofing_attack&rurl=translate.google.ro&usg=ALkJrhixsLiTU8yTYSRTR0RfaC_lZ3poUghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Security_cracking&rurl=translate.google.ro&usg=ALkJrhjtdIpI5oPCxSHbHew-SQfLgBTgZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IPFilter&rurl=translate.google.ro&usg=ALkJrhisshSKP3WciMXfmdAIN0bk7piJOwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipfirewall&rurl=translate.google.ro&usg=ALkJrhhL5bb24t79TrKsP2f42WdRE2xBNAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/FreeBSD&rurl=translate.google.ro&usg=ALkJrhjH4MdEAYyRAPG4d5rmuyBaYnSXAQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Mac_OS_X&rurl=translate.google.ro&usg=ALkJrhjAE3gGni7wS-aJU5LKaW_kTTnEMAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/PF_(firewall)&rurl=translate.google.ro&usg=ALkJrhi1lxgBBt_tOsc7WjxL3qHqrwVX4Qhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/OpenBSD&rurl=translate.google.ro&usg=ALkJrhjiFO8VPRe7mzEc-Vhh86ZB-nQ8vQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/BSD&rurl=translate.google.ro&usg=ALkJrhhQy1kFx7r-HzuNYnVoa7-5E1KQYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Netfilter&rurl=translate.google.ro&usg=ALkJrhg5VFArhoYTOnwlxNmj4FAIY8LjmAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ipchains&rurl=translate.google.ro&usg=ALkJrhhDaxFq_eGX1LtsS6CEZtnhKJigeAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Linux&rurl=translate.google.ro&usg=ALkJrhgW5gvRyGyT1p3kTeaIFrvGv2rqyQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Application_layer_firewall&rurl=translate.google.ro&usg=ALkJrhi2NCvQWN9dVHQAmryhtFPTpJfn5whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Telnet&rurl=translate.google.ro&usg=ALkJrhjEn4Ul9Lr7MULuCLVa6A1dfNTHYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Ftp&rurl=translate.google.ro&usg=ALkJrhhNlQ4KC1GeBGSppsr3NPvvt4A1zQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Computer_worm&rurl=translate.google.ro&usg=ALkJrhiXAREGHF31rrTYG4JOU_RQUjl4UQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Trojan_horse_(computing)&rurl=translate.google.ro&usg=ALkJrhhKR6neEMtb864KnEA0NRQnBgo37whttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Proxy_server&rurl=translate.google.ro&usg=ALkJrhhd2RAOLrkeqdMeA3U-J8UNoMwxDwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wiktionary.org/wiki/Hijack&rurl=translate.google.ro&usg=ALkJrhgraB27wm3O82-NnmyYn6TfctOSYwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Spoofing_attack&rurl=translate.google.ro&usg=ALkJrhixsLiTU8yTYSRTR0RfaC_lZ3poUghttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Security_cracking&rurl=translate.google.ro&usg=ALkJrhjtdIpI5oPCxSHbHew-SQfLgBTgZAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/IP_spoofing&rurl=translate.google.ro&usg=ALkJrhji_A22Kmvbw32XfIrlTmt2GLCxqwhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQ


12/34

Firewall-urile au adesea traducere adres de reea (NAT) funcionalitate, i gzduiete

protejarea n spatele unui firewall avand de obicei adrese n zona de adrese 12isposi, astfel

cum este definit n RFC 1918 Firewall-urile au adesea o astfel de functionalitate pentru a

ascunde adevarata adresa de 12ispo protejate. Originally, the NAT function was developed to

address the limited number of Ipv4 routable addresses that could be used or assigned to

companies or individuals as well as reduce both the amount and therefore cost of obtaining

enough public addresses for every computer in an organization. Iniial, funcia NAT a fost

dezvoltata pentru a aborda un numr limitat de adrese Ipv4 rutabile care ar putea fi utilizate

sau 12isposit pentru companii sau 12isposit fizice, precum i a reducerea att cantitativ i prin

urmare costul de obinere a adreselor publice pentru fiecare calculator ntr-o organizaie.

Hiding the addresses of protected devices has become an increasingly important defense

against network reconnaissance . Ascunderea adreselor de 12ispositive protejate a devenit

una di cele mai importante tehnici de aprare mpotriva reelei de recunoatere .
http://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://tools.ietf.org/html/rfc1918&rurl=translate.google.ro&usg=ALkJrhjPzVUE27B97P4GgpvPGHVkxTOCsQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Network_address_translation&rurl=translate.google.ro&usg=ALkJrhg1kwSpPZDIIUmhnfdTHsYWAMyPWQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://tools.ietf.org/html/rfc1918&rurl=translate.google.ro&usg=ALkJrhjPzVUE27B97P4GgpvPGHVkxTOCsQhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWAhttp://translate.googleusercontent.com/translate_c?hl=ro&langpair=en%7Cro&u=http://en.wikipedia.org/wiki/Vulnerability_scanner&rurl=translate.google.ro&usg=ALkJrhg5usMsY-gSUnxbcwL5CBiKzEloWA


13/34

CAPITOLUL 3

POLITICI FIREWALL

O main firewall nu nseamn nimic dac nu sunt definite politici firewall. n

general, firewall-urile au dou scopuri:

1. s in persoane (viermi/hackeri/crackeri) afar.

2. s in persoane (angajai/copii) nnuntru.

Pentru un firewall exist dou moduri principale de abordare:

1 Interzice totul in mod prestabilit i permite explicit trecerea anumitor pachete.

2 Permite totul in mod prestabilit i interzice explicit trecerea anumitor pachete.

Pachet de intrare

Accept pachetulsatisface regula1?

satisface regulan?

Interzice pachetul

Accept pachetul

NU

NU

Pachet de intrare

respinge pachetulsatisface regula1?

satisface regulan?

Accept pachetul

respinge pachetul

DA

DA


14/34

Crearea unei politici firewall este, n esen, destul de simpl:

trebuie stabilit ce este permis s ies din reeaua local, dar mai ales ce este permis s intre n

ea ( ce tipuri de pachete ?)

trebuie stabilite serviciile pe care o s le ofere firewall i la cine o s ofere aceste servicii

trebuie descrise tipurile de atacuri poteniale pe care firewall-ul trebuie s le opreasc

3.1. Tipuri de firewall-uri

Exist dou tipuri de firewall-uri:

1. Firewall-uri de filtrare care blocheaz anumite pachete specific

2. Servere Proxy care stabilesc conexiuni de reea n exterior pentru

calculatoarele din interiorul LAN-ului

3.2 Firewall-uri de filtrare a pachetelor(Packet Filtering Firewalls)

Systemfirewall

(LAN) | (HUB)

internet calculator

(DMZ)(HUB)

internetSystemproxy/firewall

calculator

(LAN) | (HUB)

proxy server


15/34

Firewall-urile de tip filtru de pachete sunt firewall-uri care pentru fiecare pachet IP

care circula prin sistem (intra, iese sau este routat) verifica informatiile din antetul lui si in

functie de acestea decide soarta pachetului: el poate sa lase pachetul sa treaca (ACCEPT) sau

poate sa-l opreasca (REJECT/DENY). Acestea sunt operatiile mai importante pe care le poate

efectua un filtru de pachete asupra unui pachet. Pe langa acestea, mai sunt si alte functii pe

care le poate indeplini un filtru de pachete: mascare, redirectare, port forwarding care vor fi

detaliate mai jos.

Filtrul de pachete pentru sistemul de operare Linux este construit n interiorul kernel-

ului. Un firewall de filtrare lucreaz la nivelul reea. Informaia poate prsi sistemul doar

dac regulile firewall-ului o permit. Cnd pachetele ajung la firewall ele sunt filtrate dup tip,

adresa surs, adresa destinaie i numr de port, informaii care sunt coninute n orice pachet

IP. Majoritatea routerelor de reea ofer servicii de filtrare. De fapt firewall-ul este un fel de

router. Pentru c foarte puine date sunt analizate i logate, firewall-urile de filtrare consum

mai puin timp CPU i creeaz mai puine ntrzieri pe reea decat alte servicii de acest gen.

Firewall-urile de filtrare nu suport autentificarea prin parole. Un firewall identific un

utilizator doar dup adresa IP de la care lucreaz.

Printre avantajele firewall-urilor cu filtrare de pachete se numara si urmatoarele:

controlul traficului (daca firewall-ul ruleaza pe gateway-ul spre alta retea atunci acesta poate

sa permita (sa lase sa treaca) un anumit tip de trafic, pe cand alt tip de trafic poate sa-l

opreasca se poate restrictiona, astfel, traficul spre o anumita parte a internetului sau a altei

retele exterioare), securitate sporita (cand linux box-ul dumneavoastra este singurul paravan

care sta intre reteaua dumneavoastra locala si haosul din internet, este o idee buna aceea de a

restrictiona accesul din exterior la porturile dumneavoastra deschise astfel, se poate permite

accesul la reteaua dumneavoastra locala numai din anumite locuri considerate sigure) si

supravegherea retelei (daca o masina prost configurata sau virusata din reteaua dumneavostralocala incepe sa transmita la intamplare pachete in lumea exterioara este bine sa stiti acest

lucru si sa remediati situatia).

Nucleele Linux au avut filtre de pachete inca de la seria 1.1. Prima generatie de filtre

de pachete, bazata pe ipfw din BSD, a fost portata de Alan Cox in 1994. Aceasta a fost

imbunatatita de Jos Vos si altii pentru nucleele 2.0; a fost introdus si un utilitar, ipfwadm,

pentru a controla regulile de filtrare din kernel.

In 1998, Rusty Russell cu ajutorul lui Michael Neuling au introdus utilitarul ipchainspentru controlul regulilor de filtrare din nucleele 2.2. In fine, in 1999, Rusty Russell a


16/34

introdus o a patra generatie de utilitare pentru filtrarea pachetelor si anume iptables, pentru

nucleele 2.4. Ne vom concentra in cele ce urmeaza asupra utilitarelor ipchains si iptables,

acestea fiind de generatie noua.

Ipchains este firewall-ul implementat de kernelul linux. Ipchains este folosit pentru a

seta, menine i inspecta regulile de firewall din kernelul de linux. Nucleul Linux intretine o

serie de structuri interne numite reguli de fitrare. Aceste reguli pot fi mprite n patru

categorii diferite (chains/lanuri):

- IP input chain (pentru pachetele care intr),

- IP output chain (pentru pachetele care ies),

- IP forwarding chain (pentru pachetele care trebuie rutate) i

- chain-uri definite de utilizator.

Pentru fiecare din aceste categorii este meninut o tabel separat de reguli n kernel.

Primele trei chain-uri (tabele) sunt chain-uri predefinite (built-in) care exista deja in

kernel, dar utilizatorul poate contrui si altele. O regul specific un criteriu pentru un pachet

si o tinta. Tinta poate fi orice lant (built-in sau definit de utilizator) sau urmatoarele cuvinte

rezervate: ACCEPT, DENY, REJECT, MASQ, REDIRECT si RETURN. Ea precizeaza ce se

va intampla cu pachetul care verifica criteriul. Dac pachetul nu se potrivete cu criteriul

respectiv, urmtoarea regul din lan este examinat, daca nici aceasta regula nu contine un

criteriu care sa se potriveasca cu pachetul nostru este examinata urmatoarea regula din lant si

procesul continua, dar counterii regulii vor fi incrementati.

-i, --interface [!] nume : specifica interfata de retea prin care un pachet este receptionat

(pentru lantul input) sau prin care un pachet este trimis (pentru lanturile output si

forward). Daca optiunea este omisa, orice interfata este verificata. Argumentul !

inverseaza sensul expresiei. Daca numele interfetei se termina cu + atunci oriceinterfata a carei nume incepe cu nume este verificata.

Ex: ipchains A output i ppp0 j ACCEPT : aceasta regula spune kernelului sa accepte

orice pachet care este trimis pe interfata ppp0.

[!] -f, --fragment : aceasta specifica ca regula se refera numai la al doilea fragment si

urmatoarele dintr-un pachet fragmentat.

3.3. Alte optiuni:


17/34

1 -b, --bidirectional : modul bidirectional; aceasta regula are acelasi efect ca si cand am

scrie regula de doua ori cu sursa si destinatia inversate.

2 -v, --verbose : formatul de afisare detaliat.

3 -n, --numeric : modul numeric de afisare adresele de IP si porturile vor fi afisate in

format numeric si nu vor fi traduse in nume de hosturi si nume de servicii.

4 -l, --log : optiunea de log; cand un pachet verifica aceasta regula, se vor loga anumite

informatii despre pachetul respectiv.

5 [!] -y, --syn : doar pachetele TCP cu bit-ul SYN setat si bitii ACK si FIN zero vor

verifica aceasta regula; aceste pachete sunt folosite la cererea de initiere a unei

conexiuni TCP.

Ex: ipchains A input s 12.20.109.4 d 193.231.18.38 p tcp dport 21 y j

DENY: aceasta regula spune kernelului sa faca deny la orice cerere de initiere de

conexiune care vine de la 12.20.109.4 pe portul destinatie 21 la adresa destinatie

193.231.18.38 .

Chain-urile input, output i forward sunt built-in i ele nu pot fi terse. Lanurile

definite de utilizator, n schimb, se pot terge. Regulile se pot aduga i se pot terge din

oricare chain.

3.4. Operaiile asupra unui chain sunt:

1 crearea unui nou chain (-N)

2 tergerea unui chain gol (-X)

3 schimbarea politicii unui chain built-in (-P): ACCEPT, DENY, REJECT, MASQ,

REDIRECT, RETURN.

4 listarea regulilor dintr-un chain (-L)

5 golirea unui chain (-F); flush6 seta la zero counterii de pachete si counterii de bytes din toate chainurile (-Z)

Operaiile care se pot aplica regulilor din interiorul unui chain sunt:

1 adugarea unei noi reguli n chain (-A)

2 inserarea unei noi reguli ntr-un chain pe o poziie oarecare (-I)

3 nlocuirea unei reguli dintr-un chain (-R)

4 tergerea unei reguli dintr-un chain (-D)

5 tergerea primei reguli care se potrivete dintr-un chain (-D)


18/34

Operaii pentru mascarea pachetelor (masquerading):

1 listarea conexiunilor curent mascate (-M L)

2 setarea valorilor de timeout pentru mascare (-M S)

Alte operatii:

verificarea daca un anumit pachet verifica vreo regula dintr-un chain (-C)

Pentru kernelurile 2.2 regulile de firewall se scriu n fiierul /etc/rc.d/rc.firewall, fiier care

este executat la iniializarea sistemului. Coninutul chain-urilor se poate ns manipula i

dinamic cu ajutorul instruciunilor ipchains.

Iat un exemplu de /etc/rc.d/rc.firewall:

#!/bin/sh

#

# rc.firewall

#

## Golim fiecare chain i ncepem de la zero

/sbin/ipchains -F input

/sbin/ipchains -F output

/sbin/ipchains -F forward

#accepta conexiuni de la 193.226.40.147

/sbin/ipchains -A input -s 193.226.40.147 -j ACCEPT

#refuza conexiuni TCP de la hosturile din clasa 193.226.40.0 i care au netmask-ul

#255.255.255.0 (24 de bii de 1)

/sbin/ipchains -A input -p tcp -s 193.226.40.0/24 -j DENY

#refuz conexiunile la serverul de X (portul 6000) de la hosturile din clasele#193.231.20.0/255.255.255.0, 193.226.40.0/255.255.255.0, 192.168.144.0/255.255.255.0

/sbin/ipchains -A output -p tcp -d 193.231.20.0/24 6000 -j DENY



#irc deny (toate pachetele care ies ctre orice destinaie pe porturile 60008000 sunt

#abandonate)/sbin/ipchains -A output -p tcp -d 0.0.0.0/0 6000:8000 -j REJECT


19/34

# accept conexiunea la proxy server de la orice adres din clasa 192.168.144.0

/sbin/ipchains -A input p tcp -s 192.168.144.0/25 8080 -j ACCEPT

# deny pentru pachetele care pleac ctre 194.149.31.110

/sbin/ipchains -A output -d 194.149.31.110 -j DENY

# deny pentru toate pachetele care pleac ctre 193.231.143.66

/sbin/ipchains -A output -d 193.231.143.66 -j DENY

# reject pentru dou hosturi

/sbin/ipchains -A input -s 192.168.144.161 -j REJECT/sbin/ipchains -A input -s 192.168.144.168 -j REJECT

Pentru distributiile mai noi de linux (RedHat 7.0,..) regulile de firewall se scriu in

fisierul /etc/sysconfig/ipchains.

Iptables este generatia noua de filtre de pachete pentru nucleele 2.4 Ea a fost creata

de Rusty Russell si pastreaza aproape in intregime filozofia ipchains, dar ofera in plus multe

functionalitati (extensii) mai ales pentru modificarea campurilor pachetelor care intra sau ies

printr-o masina linux. Inainte de a insira functionalitatile noi ale lui iptables voi enumera micidiferente de sintaxa a unor functionalitati care s-au transmis de la ipchains la iptables:

- numele lanturilor built-in se scriu acum cu litere mari nu cu litere mici ca la ipchains

- optiunea -i inseamna acum incoming interface (interfata pe care vin pachetele) si

functioneaza numai pentru lanturile INPUT si FORWARD. Regulile din FORWARD si

OUTPUT care foloseau optiunea -i trebuie sa foloseasca acum o (outgoing interface).

- porturile TCP si UDP trebuiesc acum specficate cu optiunile source-port/destination-

port sau sport/dport si trebuie plasate dupa optiunile -p tcp sau -p udp, deoareceacestea incarca extensiile TCP, respectiv UDP.

- flagul -y este acum syn si trebuie sa apara numai dupa -p tcp.

- tinta DENY este acum inlocuita cu DROP.

- zerorizarea unui lant in timpul listarii functioneaza cu iptables in timp ce cu ipchains, nu.

- zerorizarea lanturilor built-in de asemenea goleste counterii.

- REJECT si LOG sunt acum tinte extinse, adica sunt module separate.

- numele de lanturi pot avea acum maxim 31 de caractere.


20/34

- MASQ este acum MASQUERADE si foloseste o sintaxa diferita. Tinta REDIRECT a

suferit de asemenea o schimbare de sintaxa.

- pachetele sunt trimise in userspace (pentru a fi prelucrate de utilizator) folosind tinta

QUEUE.

A avut loc si o schimbare de structura in trecerea de la ipchains la iptables. In iptables

pot fi definite mai multe tabele de reguli de firewall. Fiecare tabel contine un numar de

lanturi (chain-uri) built-in si pot contine si lanturi definite de utilizator. La fel ca si la

ipchains, fiecare lant poate contine mai multe reguli de filtrare.

Tinta unei reguli iptables poate fi ori un lant definit de utilizator ori una dintre tintele

speciale: ACCEPT, DROP, QUEUE, RETURN. ACCEPT lasa pachetul sa treaca departe.

DROP lasa pachetul sa cada (refuza pachetul). Tinta QUEUE transmite pachetul in

userspace daca kernelul suporta, pentru a fi prelucrat de programele utilizator. RETURN face

ca pachetul sa nu mai traverseze regulile din lantul curent ci sa revina la regulile din lantul

anterior (cel din care s-a ajuns in lantul curent). Daca se ajunge la sfarsitul unui lant built-in

sau o regula cu tinta RETURN dintr-un lant built-in este verificata, soarta pachetului va fi

determinata de politica lantului.

Exista 3 tabele independente de firewall; care tabele se afla in kernel la un moment dat

depinde de optiunile de configurare a kernelului si de modulele care sunt incarcate. Optiunea

-t, --table spune tabelul pe care va opera comanda iptables. Cele 3 tabele sunt:

1 filter: este tabelul de filtrare implicit; el contine 3 lanturi built-in : INPUT (pentru

pachetele destinate masinei locale), FORWARD (pentru pachetele care sunt rutate de

masina locala) si OUTPUT (pentru pachetele generate de masina locala).

2 nat(Network Address Translation): acest tabel este consultat cand este intalnit un pachet

care creeaza o noua conexiune; el contine lanturile PREROUTING (pentru modificarea

pachetelor inainte de a fi routate), OUTPUT .

CAPITOLUL 4

SERVERE PROXY


21/34

(Proxy servers)

Serverele Proxy sunt n general folosite pentru controlul i monitorizarea traficului.

Serverele Proxy lucreaz la nivelul aplicaie. Unele proxy-uri rein datele cerute ntr-o zon

de cache. Acest lucru scade traficul pe reea i totodat i cerinele pentru lime de band

(bandwidth). Exist doutipuri de servere proxy:

1. Proxy aplicaie care ateapt cereri de la clieni i le rezolv

2. Proxy SOCKS care face mapare de porturi

4.1. Proxy aplicaie

Cel mai bun exemplu este cnd o persoan face telnet pe un calculator i de acolo face

telnet n lumea exterioar. Cu ajutorul unui server proxy aplicaie acest lucru este

automatizat. Cnd dau telnet n lumea exterioar clientul meu mi trimite cererea nti la

proxy. Apoi proxy-ul se conecteaz la serverul din lumea exterioar cerut de mine i-mi

returneaz datele cerute.

Serverele proxy logheaz aciunile pe care le ntreprind. Exist http proxy-uri, ftp

proxy-uri care prelucreaz datele nainte de a le trimite clientului (scaneaz datele pentru

virui, filtreaz cuvinte nepotrivite, etc.). Serverele proxy aplicaie pot autentifica

utilizatorii. De asemenea ele se pot configura s accepte conexiuni de la anumite adrese i de

la altele, nu. Exemplu de server proxy aplicaie este Squid.

4.2. Proxy SOCKS

Unserver SOCKS routeaz conexiuni TCP. El lucreaz numai cu conexiuni TCP i nu

ofer servicii de autentificare.

Majoritatea serverelor SOCKS lucreaza doar cu conexiuni de tip TCP.Ca ifirewallurile de filtrare a pachetelor nu furnizeaza autentificarea user-ului. Pot s rein

adresa la care fiecare user s-a conectat.

4.3. Configurarea unui Proxy Server


22/34

Programul SOCKS are nevoie de dou fiiere de configurare, separate. Unul pentru

accesul permis si unul pentru a ruta (devia) cererile spre proxy serverul alocat. Fiierul de

acces trebuie gzduit pe server. Fiierul cu rutele ar trebui localizat pe orice main UNIX.

Fierul de acces

Cu pachetul socks4.2 Beta fiierul de acces se numete sockd.conf i ar trebui s

conin 2 linii una pentru permisiuni i una pentru respingere; fiecare linie avnd cte 3

intrri

- identificatorul (permit/deny)

- adresa IP (in notaia tipic ex. : 192.168.1.0)

- modificatorul de adrese e o adres de IP care funcioneaz ca o masc pentru

net. Dac bitul este 1 atunci bitul corespunztor din adresa care e verificat

trebuie s corespund cu bitul din cmpul de adrese IP.

Exemple:

permit 192.168.1.23 255.255.255.255

permite adresa IP 192.168.1.3

permit 192.168.1.0 255.255.255.0

permite adresele IP: de la 192.168.1.0 pn la 192.169.1.255.

permit 192.168.1.0 0.0.0.0

permite orice adres.

permit 192.168.1.0 255.255.255.0

deny 0.0.0.0 0.0.0.0

permite adresele dorite si le v-a respinge pe toate celelalte.

Unor utilizatori specificai le poate fi oferit accesul sau le poate fi respins. Aceasta se

realizeaz prin autentificarea identat. Nu toate sistemele suport identarea., inclusiv Trumpet

Winsock.

Fiierul de rutare


23/34

Fiierul de rutare a fost denumit "socks.conf". El spune clienilor SOCKS cnd s

foloseasc socks i cnd nu. In reeaua local, de ex. nu voi folosi socks la comunicarea intre

dou calculatoare. Exist o legatura direct prin Ethernet.

Exist 3 intrari:

- deny

- direct

- sockd

Deny ii spune SOCKS-ului cnd s resping o cerere; aceasta intrare are aceleai trei

cmpuri ca i in sockd.conf, fiierul de acces, cmpul de modificare e setat la 0.0.0.0 .

Intrarea direct ne spune pentru care adrese nu trebuie folosit socks.

Acestea sunt toate adresele care pot fi accesate fr a folosi proxy server-ul. Vom avea trei

campuri: identificator, adresa si modificator.

Exemplu:

direct 192.168.1.0 255.255.255.0

oricine din reeaua locala va avea acces

Intrarea sockd i spune calc. care gazd are daemon-ul socks server pe el. Sintaxa este:

sockd @=

@=entry permite setarea adreselor IP a unei liste de proxy servere. Mai multe servere permit

o mai buna ncrcare i pentru redundan in caz de esec.

4.4. Lucrul cu proxy server

UNIX

Pentru ca aplicaiile s lucreze cu proxy server ele trebuie s fie sock-fiate. Este

nevoie de dou telneturi diferite, unul pentru directarea comunicaiilor, unul pentru

comunicaii prin proxy server. SOCK-urile vin cu instruciuni de SOCK-fiere a unui program,

precum i cteva programe pre-SOCK-fiate. Dac se folosete versiunea SOCK-fiat pentru a

ajunge direct undeva, SOCK-urile vor schimba pe versiunea directa. Din aceasta cauz se vor

redefini toate programele; "finger" devine "finger.orig" , "telnet" devine 'telnet.orig".Acest

lucru se realizeaz prin fiierul include/socks.h.


24/34

Anumite programe vor manipula rutele i propriile sock-eturi. Netscape e unul dintre

acestea. Se poate folosi proxy server sub Netscape prin introducerea unei adrese de server n

cmpul de SOCK de sub proxies.

MSWindows cu Trompet Winsock

Trompet Winsock vine cu capabilitati de proxy inglobate. In meniul de setup se

introduce adresa IP a server-ului, i ale tuturor calculatoarelor care pot fi accesate direct.

Trumpet se va ocupa de pachetele de ieire.

Lucrul cu pachete UDP a serverelor proxy

Pachetele SOCKs lucreaz cu pachete TCP nu UDP,pe UDP fcndu-le mai puin

folositoare. Multe programe cum ar fi talk si Archie folosesc UDP. Acesta este un pachet

constuit pentru a putea fi folosit ca un proxy server pentru pachete UDP numite UDPrelay.

Din nefericire deocamdata incompatibile cu Linux.

Inconveniene cu Proxy Server

Proxy serverul e, mai presus de orice, un mecanism de securitate. Folosit pentru a

mri accesul la Internet cu un numr de adrese de IP limitate, are anumite inconveniene. Un

proxy server va permite un mai bun acces din interiorul unei reele protejate spre exterior dar

va face ca ceea ce este n interior s fie complet inaccesibil celor din afar. Aceasta nseamn

c nu vor exista talk-uri ntre servere sau conectare la arhive sau mail-uri directe spre

calculatoarele din interior.

FTP cauzeaz alte probleme cu un server proxy. Cnd dm un ls, serverul FTPdeschide un socket pe maina client i transmit informaiile prin acesta. Un server proxy nu

permite asta deci FTP-ul nu va funciona.

Serverele proxy funcioneaz ncet din cauza suprancrcrilor, orice alt modalitate

de accesare va fi mult mai rapid.

Dac avei o adresa IP i nu avei probleme cu securitatea, e preferabil s nu folosii

firewall-uri sau servere proxy. Dac nu avei adres de IP si nici probleme de securitate, se

poate folosi un emulator de IP cum ar fi Term, Slirp sau TIA. Aceste pachete vor funcionamai rapid permitnd o conectare mai bun i permind un nivel de acces mai bun din


25/34

Internet spre interiorul reelei. Serverele proxy sunt potrivite pentru acele reele care vor avea

mai multe host-uri care vor dori s se conecteze la Internet ct mai uor, cu un singur setup si

puin efort dup aceea.

4.5. Configurarea avansat

S presupunem c vrem s punem n reea un site.Avem 50 de calculatoare si o

subreea de 32(5 biti) de adrese de IP. Dorim diverse nivele de acces n reea pentru a le

spune angajailor diferite lucruri si pentru a proteja unele pari din reea de restul.

Nivelurile sunt:

1.Nivel extern. Acesta este un nivel care va fi accesat de toata lumea.2.Nivel intermediar. Acesta e nivelul celor care au ajuns dincolo de nivelul extern.

3.Nivel intern. n acest nivel e reinut toata informaia secret.

4.6. Setarea reelei

Numerele de IP sunt aranjate:

- 1 numar e 192.168.1.250

- 23 din cele 32 de adrese IP 23 sunt alocate la 23 de maini care vor fi accesibile n Internet.

- 1 adres e rezervat cutiei Linux de pe acea reea

- 2 adrese IP la router

- 4 sunt lsate afar

- reelele protejate au ambele adrese 192.168.1.xxx

Apoi sunt construite dou reele separate, fiecare n diferite camere, ele sunt rutate prin

Ethernet-ul infrared (care funcioneaz ca un Ethernet normal ) i sunt invizibile celor din

afar.

Aceste reele sunt fiecare conectate la una din cutiile Linux cu o extra-adresa IP.

Exist i un fisier server care conecteaz cele dou reele protejate.Fiierul server

reine adresa 192.168.1.17 pentru reeaua de nivel intermediar i 192.168.1.23 pentru reeaua

de nivel intern. Trebuie s fie dou adrese de IP diferite din cauz c trebuie sa fie 2 carduri

Ethernet diferite. Rutarea de pe acestea este nchis. Rutarea IP de pe ambele cutii Linux e

nchisa. Router-ul nu va trimite pachete la adresele 192.168.1.xxx dect dac i se spune

explicit, astfel c cei din afar nu vor putea s intre. Motivul pentru care e nchis rutarea IP


26/34

aici este c pachetele de la un nivel al reelei (intern) s nu ajung la altul (intemediar) i

invers.

Serverul NFS poate fi setat s ofere fiiere diferite, diferitelor reele. Acest lucru e

uor de realizat iar cu puin mecherie cu legturile simbolice se pot share-ui toate fiierele

comune. Folosind acest setup i un alt cart Ethernet acest fiier de server poate fi oferit

tuturor celor trei reele.

4.7. Setarea proxy-ului

Pentru c toate cele trei nivele vor s monitorizeze reeua pentru propriile lor scopuri,

vor trebui s aibe acces la reea. Reeaua extern are acces direct la Imternet, ramnnd doar

reelele interne (de nivel intermediar i de nivel intern) dup firewall, deci va trebui s setm

proxy-ul aici. Ambele reele vor fi setate similar , ele avnd acelai tip de adres de IP

alocat. Nici una dintre ele nu va putea folosi fiierul server pentru acces la Internet. Asta ar

face ca fiierul s fie expus viruilor. Iar reeaua de nivel intermediar nu dorim sa aibe acces

la World Wide Web.

Astfel, fiierul sockd.conf de pe maina Linux a reelei intermediare va avea linia:

deny 192.168.1.17 255.255.255.255Iar de pe masina reelei interioare:

deny 192.168.1.23 255.255.255.255

Iar masina de la nivelul intemediar va avea i linia

deny 0.0.0.0 0.0.0.0 eq 80

adic va nega accesul tuturor mainilor care vor ncerca s acceseze portul 80, portul http,

permind alte servicii, ns refuznd accesul la Web.

Apoi ambele fiiere vor avea:Permit 192.168.1.0 255.255.255.0

aceasta permite tuturor calculatoarelor de pe reeaua 192.168.1.xxx s foloseasc acest proxy

server cu excepia celor crora le-a fost deja refuzat accesul.

Astfel fisierul sockd.conf a reelei intermediare va arta astfel:

deny 192.168.1.17 255.255.255.255

deny 0.0.0.0 0.0.0.0 eq 80permit 192.168.1.0 255.255.255.0


27/34

Astfel fisierul sockd.conf al mercenarilor va arta astfel:

deny 192.168.1.23 255.255.255.255

permit 192.168.1.0 255.255.255.0

In concluzie , intrebarea este:Ce "poate" i ce "nu poate" s fac un firewall?

Un firewall poate s:

- monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun

monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare;

- blocheze la un moment dat traficul n i dinspre Internet;

- selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.

- permit sau interzic accesul la reeaua public, de pe anumite staii specificate;

- i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele

dou.

De asemeni, o aplicaie firewall nu poate:

- interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii

rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);

- interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce

nu trece prin router);

- apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a

datelor n reea (USB Stick, dischet, CD, etc.)

- preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii,

precum i punctele slabe ce decurg din exploatarea acestor greeli.


28/34

CAPITOLUL 5

SOLUTI E : FIREWALL EXTERN

5.1.Outpost Firewall Pro 2010

Pentru acest proiect am ales ca soluie software Outpost Firewall Pro 2010

1.1 Instalarea si configurarea unui astfel de program pe sisteme Windows este relativ usoar.

Continum cuNextpn cand instalarea va incepe in directorul de instalare default:

C:\Program Files\Agnitum\Outpost Firewall Pro

In timpul instalrii vor aparea 2 ferestre de genul urmator:


29/34

Bifati si instalati i aceste componente aditionale, necesare soft-ului.

2. Configurare

2.1. Dupa finalizarea instalrii programul v va oferi o ferestra de configurare a

Firewall ului prin 2 metode.

1. ModulNormal: este recomandat majorittii utilizatorilor ntruct nu cere cunostinte foarte

avansate de configurare.

2. ModulAdvanced:

Vor aprea cateva optiuni de configurare pentru modulul anti-spyware al programului peste

care vom trece:

Clic peNextsi expertul de configurare a incheiat instalarea.

Restartam sistemul.

Dupa restartarea sistemului n-i se va cere o cheie de inregistrare.

Introducem cheia de inregistrare a produsului.

Odat ce produsul a fost inregistrat, deschidem Settings si vedem cu ce optiuni de

configurare avansat avem.


30/34

In partea stang observm sub modul firewall 3 module de reea pe care firewall ul, prin

reguli specifice le controleaz astfel:

Firewall policy (general vorbind reprezint o regul de comportare a fi

Documents

Firewall Extern