Diagramet e lidhjes ME me disa ndërfaqe rrjeti. Diagramet e lidhjes ME

UNËështë një grup harduerësh dhe mjete softuerike në një kompjuter rrjeti që monitoron dhe filtron paketat e rrjetit që kalojnë përmes tij në përputhje me rregullat e specifikuara. Detyra kryesore- mbrojtja e rrjetit ose nyjeve të tij individuale nga aksesi i paautorizuar.

Kërkesat funksionale për ME: kërkesat për filtrim në nivelet e rrjetit dhe aplikacionit, për vendosjen e rregullave të filtrimit; kërkohet për serverët që përdorin vërtetimin e rrjetit; kërkesat për administrimin dhe zbatimin e revistave/kontabilitetit.

Efektiviteti i mbrojtjes së rrjetit të brendshëm me ndihmën e murit të zjarrit varet nga politika e zgjedhur e aksesit në shërbimet e rrjetit dhe burimet e brendshme të rrjetit, nga racionaliteti i zgjedhjes dhe përdorimit të përbërësve kryesorë të murit të zjarrit.

Ekzistojnë dy lloje kryesore të ME: LE e aplikuar dhe filtrimi i paketave, të cilat ofrojnë ekzekutimi i saktë veçoritë e sigurisë që bllokojnë trafikun e ndaluar.

niveli i aplikimit doe(ekranet proxy) - paketa softuerike të bazuara në një OS me qëllim të përgjithshëm (Windows dhe Unix) ose në platformën harduerike ME. Në një mur të tillë zjarri, çdo protokoll i lejuar ka modulin e vet të aksesit. Kur përdorni këtë ME, të gjitha lidhjet kalojnë përmes tij.

Firewall pranon lidhjen, analizon përmbajtjen e paketës dhe protokollit të përdorur dhe përcakton nëse trafiku i dhënë përputhet me rregullat e politikës së sigurisë.
Moduli i aksesit në murin e zjarrit pranon një lidhje hyrëse dhe përpunon komandat përpara se të dërgojë trafikun te marrësi, mbron sistemet nga sulmet e kryera nga aplikacionet. ME të tilla përmbajnë module aksesi për protokollet më të përdorura: HTTP, SMTP, FTP dhe telnet. Disa module aksesi mund të mungojnë, gjë që ndalon përdorimin e një protokolli të caktuar për t'u lidhur përmes murit të zjarrit.

MUA me filtrimin e paketave m b paketa softuerike të bazuara në një OS me qëllim të përgjithshëm ose në platforma harduerike të ME. Rregullat e politikave zbatohen përmes përdorimit të filtrave të paketave, të cilët ekzaminojnë paketat dhe përcaktojnë nëse trafiku lejohet sipas rregullave të politikës dhe gjendjes së protokollit (kontrolli i gjendjes). Kur përdorni një ME të tillë, lidhjet nuk ndërpriten në ME, por drejtohen drejtpërdrejt në sistemin fundor. Kur mbërrijnë paketat, muri i zjarrit kontrollon nëse paketa lejohet dhe gjendjen e lidhjes sipas rregullave të politikës. Nëse po, paketa transmetohet përgjatë rrugës së saj, përndryshe, paketa refuzohet ose hidhet. Mos përdorni module aksesi për protokoll ® Mund të përdoret me çdo protokoll që funksionon me IP. Në përgjithësi, ME-të me filtrim të paketave kanë aftësinë për të mbështetur më shumë trafik, pasi nuk kanë ngarkesën e krijuar nga procedurat shtesë të konfigurimit dhe llogaritjes që ndodhin në modulet e aksesit të softuerit.

Hibrid ME. Prodhuesit e shtresave të aplikacionit ME, për shkak të zhvillimit të shpejtë të IT, kanë arritur në përfundimin se është e nevojshme të zhvillohet një metodë për të mbështetur protokollet për të cilat nuk ka module specifike aksesi ® teknologjia e modulit të aksesit GSP. GSP siguron funksionimin e ME të aplikuar si ekrane me filtrim të paketave. Sot është praktikisht e pamundur të gjesh një ME, funksionimi i maces është ndërtuar ekskluzivisht në filtrimin e aplikuar ur ose paketash, sepse. lejon administratorët përgjegjës për sigurinë të konfigurojnë pajisjen për të punuar në kushte specifike.

Skema të ndryshme përdoren për të lidhur ME. ME përdoret si një ruter i jashtëm, duke përdorur llojet e pajisjeve të mbështetura për t'u lidhur me një rrjet të jashtëm.

Ndonjëherë përdoret një skemë, por ajo duhet të përdoret vetëm si mjeti i fundit, sepse. Kërkohet konfigurim shumë i kujdesshëm i ruterave dhe gabime të vogla mund të krijojnë vrima serioze sigurie.

Më shpesh, lidhja bëhet përmes router i jashtëm, duke mbështetur dy ndërfaqe Ethernet (dy karta rrjeti në një kompjuter).

Ekziston vetëm një rrugë midis ruterit të jashtëm dhe murit të zjarrit, përmes së cilës kalon i gjithë trafiku. Ruteri është konfiguruar në mënyrë që muri i zjarrit të jetë makina e vetme e dukshme nga jashtë. Skema është më e preferueshme nga pikëpamja e sigurisë dhe besueshmërisë së mbrojtjes.

Me ME, vetëm një nënrrjet nga disa që dalin nga ruteri mbrohet. Në një zonë që nuk mbrohet nga DOE, shpesh ka serverë që janë të dukshëm nga jashtë (WWW, FTP, etj.).

Ka zgjidhje që ju lejojnë të organizoni një rrjet të tretë për serverët që janë të dukshëm nga jashtë; kjo ju lejon të kontrolloni aksesin në to, duke ruajtur nivelin e nevojshëm të mbrojtjes së makinave në rrjetin kryesor.

Për nivelin e sigurisë, përdorni disa mure zjarri në një rrjet, njëri pas tjetrit.

Termi anglisht i përdorur për ME është firewall. Prandaj, në literaturë, muret e zjarrit quhen ndonjëherë edhe firewall ose firewall (termi gjerman, analog me murin e zjarrit).

Siç u përmend tashmë, filtrimi bazohet në rregulla. Qasja më e sigurt në formimin e rregullave për ME është qasja "çdo gjë që nuk lejohet shprehimisht është e ndaluar". Në këtë rast, paketa e rrjetit kontrollohet për pajtueshmërinë me rregullat e lejimit dhe nëse nuk ka, ajo hidhet poshtë. Por në disa raste zbatohet parimi i kundërt: “çdo gjë që nuk është e ndaluar shprehimisht lejohet”. Pastaj bëhet një kontroll për pajtueshmërinë me rregullat e mohimit dhe nëse nuk gjenden rregulla të tilla, paketa do të anashkalohet.

Filtrimi mund të kryhet në nivele të ndryshme të modelit të referencës së rrjetit OSI. Mbi këtë bazë, ME-të ndahen në klasat e mëposhtme [ , ]:

• ruter mbrojtës;
• transporti mbrojtës (porta e nivelit të sesionit);
• shielding gateway (porta e shtresës së aplikimit).

Ruteri i Mburojës(ose filtri i paketës) funksionon shtresa e rrjetit Modeli OSI, por gjithashtu mund të përdorë informacion nga titujt e protokolleve të shtresave të transportit për të kryer kontrolle. Prandaj, filtrimi mund të kryhet nga adresat IP të dërguesit dhe marrësit dhe nga portat TCP dhe UDP. ME të tillë dallohen nga lart performancës dhe thjeshtësi relative - funksionalitet filtrat e paketave madje edhe ruterët më të thjeshtë dhe më të lirë të harduerit kanë tani. Në të njëjtën kohë, ata nuk mbrojnë nga shumë sulme, për shembull, ato që lidhen me zëvendësimin e pjesëmarrësve në lidhje.

Porta e nivelit të seancës operon në shtresën e sesionit të modelit OSI dhe gjithashtu mund të kontrollojë informacionin e rrjetit dhe shtresës së transportit. Prandaj, përveç mundësive të listuara më sipër, një mur i tillë zjarri mund të kontrollojë procesin e krijimit të një lidhjeje dhe të kontrollojë paketat kaluese për përkatësinë në lidhjet e lejuara.

Application Layer Gateway mund të analizojë paketat në të gjitha nivelet e modelit OSI nga rrjeti në aplikacion, i cili siguron nivelin më të lartë të mbrojtjes. Përveç atyre të listuara më parë, ekzistojnë veçori të tilla si vërtetimi i përdoruesit, analiza e komandave të protokollit të shtresës së aplikacionit, verifikimi i të dhënave të transmetuara (për praninë e viruset kompjuterike, pajtueshmërinë me politikën e sigurisë) etj.

Le të shqyrtojmë tani çështjet që lidhen me instalimin e ME. Në fig. 6.1 tregon diagramet tipike të lidhjes ME. Në rastin e parë (Fig. 6.1), muri i zjarrit instalohet pas ruterit dhe mbron të gjithë rrjetin e brendshëm. Një skemë e tillë përdoret nëse kërkesat në fushën e mbrojtjes kundër aksesit të paautorizuar në internet janë afërsisht të njëjta për të gjitha nyjet e rrjetit të brendshëm. Për shembull, "Lejo lidhjet nga rrjeti i brendshëm në rrjetin e jashtëm dhe ndalo përpjekjet për t'u lidhur nga rrjeti i jashtëm në rrjetin e brendshëm." Në rast se kërkesat për nyje të ndryshme janë të ndryshme (për shembull, ju duhet të strehoni një server poste që mund të lidhet me "nga jashtë"), një skemë e tillë e instalimit të murit të zjarrit nuk është mjaft e sigurt. Nëse, në shembullin tonë, sulmuesi, si rezultat i një sulmi në rrjet, fiton kontrollin mbi të specifikuarin serveri i postës, përmes tij ai mund të hyjë në nyjet e tjera të rrjetit të brendshëm.

Në raste të tilla, ndonjëherë një segment i hapur i rrjetit të ndërmarrjes (6.1b) krijohet përballë FOE, dhe FOE mbron pjesën tjetër të rrjetit të brendshëm. Disavantazhi i kësaj skeme është se ME nuk kontrollon lidhjet me nyjet e segmentit të hapur.

Më e preferueshme në këtë rast është përdorimi i ME me tre ndërfaqe rrjeti (6.1c). Në këtë rast, muri i zjarrit është konfiguruar në atë mënyrë që rregullat e hyrjes në rrjetin e brendshëm të jenë më të rrepta sesa në segmentin e hapur. Në të njëjtën kohë, si ato ashtu edhe komponimet e tjera mund të kontrollohen nga DOE. Segmenti i hapur në këtë rast nganjëherë quhet "zona e çmilitarizuar" - DMZ.

Edhe më e besueshme është skema në të cilën përdoren dy ME të konfigurueshme në mënyrë të pavarur për të mbrojtur rrjetin me DMZ (6.1d). Në këtë rast, ME 2 zbaton një grup më të rreptë rregullash filtrimi në krahasim me ME1. Dhe madje edhe një sulm i suksesshëm në ME-në e parë nuk do ta bëjë rrjetin e brendshëm të pambrojtur.

Kohët e fundit, varianti i instalimit të softuerit ME direkt në kompjuterin e mbrojtur është përdorur gjerësisht. Ndonjëherë një ME e tillë quhet "personale". Një skemë e tillë ju lejon të mbroheni nga kërcënimet që vijnë jo vetëm nga rrjeti i jashtëm, por nga ai i brendshëm.

Pajisja e fshirësit

Makina mund të pajiset me fshirëse xhami SL-191A ose SL-191B, të cilat kanë fiksim të ndryshëm të levave të furçave. Për SL-191A, ato janë të lidhura me një pllakë pranvere, dhe për SL-191B, me një arrë. Fshirëset SL-191A përdorin motorin elektrik ME-241 dhe SL-191B ME241 ose ME-241A. Në vitet 1970-1972 U përdorën gjithashtu fshirëse xhami SL-191. Ata kishin një motor elektrik ME-241A dhe leva furçash të lidhura me një pllakë susta.

Në automjetet BA3-2103, përdoren fshirëse SL-193. Ato ndryshojnë nga fshirëset e xhamit të makinës VAZ-2101 në dimensionet e tyre të instalimit, levat e furçave dhe vetë furçat, të cilat kanë më pak rezistencë aerodinamike. Përveç kësaj, fshirësja SL-193 është disi e ndryshme në konfigurimin e zonës së xhamit që do të pastrohet. Këto fshirëse janë të pajisura me motorë elektrikë ME-241.

Në qarkun e kalimit të fshirëseve në një makinë BA3-2103, është shtuar një çelës në pompën e larjes së xhamit (shih Fig. 336, b).

Fshirësja përbëhet nga një motor elektrik, një mekanizëm levë, furça me leva dhe është instaluar nën kapuç në kutinë e marrjes së ajrit (Fig. 331). Forca e shtypjes së furçave në xhami është 400-500 gf, dhe frekuenca e lëkundjes së levave të furçave është në intervalin 50-70 goditje të dyfishta në minutë. Akset e levave të furçave rrotullohen në tufa metalike qeramike të ngopura me vaj dhe nuk kërkojnë lubrifikim gjatë funksionimit.

Motor elektrik ME-241

(Fig. 332) - rrymë e drejtpërdrejtë me ngacmim nga magnet të përhershëm. Një kuti ingranazhi me krimba është e kombinuar në një njësi me një motor elektrik.

Oriz. 330. Qarku elektrik i stafetës PC528 për ndezjen e sinjaleve të zërit në një makinë BA3-2103

Oriz. 331. Pamje e përgjithshme e motorit të fshirësit të instaluar në makinë: .1 - motor elektrik; 2 - mbulesa e kutisë së shpejtësisë; 3 - prizë

Oriz. 333. Motor elektrik ME-241A: 1 - mbulesë; 2 - panel; 3 - shtytës i ndërprerësit; 4 - disku i kontaktit të ndërprerësit; 5 - kamera; 6 - reduktues i ingranazheve; 7 - strehimi i kutisë së shpejtësisë; 8 - boshti; 9 - maniak; 10 - bosht armature; 11 - mbajtës i shtytjes; 12 - trupi; 13 - dredha-dredha e statorit; 14 - shtylla e statorit; 15 - spirancë; 16 - mbajtës i furçës; 11 - unazë e ndjerë; 18 - tufa; 19 - rondele me shtytje; 20 - vidhos bashkuese

Motori elektrik ka një strehë çeliku të stampuar 16, brenda së cilës dy magnet të përhershëm 11 janë të fiksuar me mbajtëse susta, duke formuar një stator së bashku me strehën. Në brazdat e bërthamës së armaturës, të bërë nga pllaka çeliku, vendoset një dredha-dredha e valës, përfundimet e seksioneve të së cilës janë ngjitur në pllakat e bakrit të kolektorit.

Boshti i armaturës 12 rrotullohet në dy tufa qeramike-metalike 15. Rreth tufave vendosen unaza felt 13 të ngopura me vaj. Prandaj, gjatë funksionimit, kushinetat e boshtit të armaturës nuk kërkojnë lubrifikim. Forca boshtore që vepron në boshtin e armaturës nga ingranazhi i krimbit perceptohet nga rondele tekstoliti 14, kundrejt së cilës mbështetet pjesa e pasme e boshtit. Fundi i përparmë i boshtit shtypet nga një mbajtës shtytës 6 me një susta.

Trupi i motorit elektrik mbyllet nga mbulesa 4, e cila është edhe karteri i kutisë së shpejtësisë. Në pjesën e brendshme, një mbajtëse furçesh plastike 9 me dy furça grafiti është ngjitur në kapakë, dhe në kutinë e marsheve ka një ingranazh plastik krimbi 3 me një kamerë 8. Ingranazhi shtypet në boshtin 5. Fundi tjetër i boshti ka një sipërfaqe konike të përdredhur, mbi të cilën vihet maniveli dhe fiksohet me arrë. Boshti rrotullohet në një tufë metalike qeramike të shtypur në kapakë.

Rondelet prej çeliku dhe tekstoliti janë instaluar midis ingranazhit dhe karterit. Jashtë, boshti është i vulosur me një unazë gome, më pas ndodhet një rondele tekstoliti dhe një rondele e valëzuar elastike prej çeliku. Më pas janë instaluar unaza e deflektorit të ujit dhe unaza e këputjes. Raporti i shpejtësisë së reduktimit është 51:1.

Oriz. 334. Qarku elektrik i motorit elektrik ME-241A: 1 - spirancë; 2 - spirale devijim i mbështjelljes së statorit; 3 - spiralja e frenave të mbështjelljes së statorit; 4 - spiralja serike e mbështjelljes së statorit; 5 - ndërprerësi i motorit elektrik Emërtimi i ngjyrës së telave: G - blu; GB - blu me vija të bardha; MS - blu me vija të zeza; 3 - jeshile; K - e kuqe

Karteri i kutisë së marsheve mbyllet me një panel plastik 2 dhe një mbulesë 1. Paneli përmban shtylla kontakti, në të cilat janë ngjitur telat dhe një pllakë pranvere 7 është ngjitur me kontaktet e çelësit që ndalojnë motorin kur furçat janë në pozicionin e poshtëm. Kontaktet e pllakës së pranverës shtypen në shtyllën e poshtme (në figurë) të lidhur me burimin e energjisë. Kur zgjatja e kamerës së ingranazhit është kundër pllakës, ajo e shtrëngon atë nga rafti i poshtëm dhe e shtyp kundër raftit të sipërm të lidhur me tokën.

Motori elektrik ME-241A (Fig. 333) ka një ngacmim të përzier elektromagnetik.

Trupi 12 i motorit elektrik është prej tub çeliku. Brenda tij, dy shtylla çeliku 14 me mbështjellje dredha-dredha 13 të statorit janë të fiksuara me vida. Njëra (seri) spirale 4 (Fig. 334) është e lidhur në seri me mbështjelljen e armaturës, dhe tjetra (shunt) 2 është paralele me të. Për më tepër, ekziston një spirale tjetër - frena 3, e vendosur së bashku me spiralen serike në një shtyllë. Ai ndizet vetëm kur motori elektrik është i fikur, krijon një fluks magnetik të drejtuar kundër rrjedhës së spirales serike dhe, në këtë mënyrë, siguron një ndalim të shpejtë të armaturës.

Kanalet e armaturës janë spirale, dhe kolektori ndodhet në anën e kapakut të pasmë. Lëvizja boshtore e boshtit 10 (shih Fig. 333) e armaturës eliminohet duke përdorur një kushineta shtytëse najloni 11 me një pranverë. Krimbi i ingranazhit është me dy drejtime dhe raporti i marsheve është 34:1.

Manivalja 9 është ngjitur në boshtin e ingranazhit 8, dhe çift rrotullimi nga ingranazhi në bosht transmetohet përmes kamerës së stampuar të çelikut 5.

Një rondele çeliku është instaluar midis ingranazhit dhe karterit, dhe një tekstolit, dy çeliku dhe një rondele prej çeliku të valëzuar janë vendosur midis karterit dhe karterit.

Çelësi i motorit elektrik përbëhet nga një shtytës 3 me një disk kontakti 4 dhe dy kontakte të ngjitura në panelin 2. Disku i kontaktit shtypet kundër kontakteve nga një susta dhe i mbyll ato. Kur cam 5 shtyp shtytësin, disku i kontaktit largohet dhe hap kontaktet.

Releja e fshirësit (Fig. 335) përdoret për të marrë funksionimin me ndërprerje të fshirësit. Ndodhet nën panelin e instrumenteve në anën e majtë.

Stafetë ka një shtresë elastike plastike dhe një bazë getinax, në të cilën është gozhduar një bërthamë 3 me një dredha-dredha dhe një zgjedhë elektromagneti 4. Një mbështetëse plastike me dy palë kontakte fikse i ngjitet zgjedhës nga njëra anë me një vidë dhe nga ana tjetër, në zgjedhë lëkundet një armaturë 2. Pllaka e armaturës me rrymë mbyll palën e sipërme ose të poshtme të kontakteve. Susta e largon armaturën nga bërthama, dhe për këtë arsye çifti i sipërm i kontakteve është normalisht i mbyllur, dhe ai i poshtëm është normalisht i hapur.

Oriz. 335. Diagrami elektrik i stafetës RS514 Përcaktimi i ngjyrës së telave: G - blu; GB - blu me vija të bardha; Zh - e verdhë; K - e kuqe

Një ndërprerës 1 është gjithashtu i fiksuar në bazë, i cili ka një pllakë bimetalike me një dredha-dredha prej teli nikrom. Një rezistencë 5 është instaluar nën bazën, e krijuar për të zvogëluar ndezjen midis kontakteve të ndërprerësit.

1. Dual Homed

Firewall në këtë opsion lidhje kryen ndarjen fizike dhe logjike të dy rrjeteve, duke marrë një vendim për mundësinë e vendosjes së një lidhjeje ndërmjet tyre.

1.1. Zonë e Çmilitarizuar (DMZ)

Në disa raste, muri i zjarrit lejon përdorimin e disa përshtatësit e rrjetit me politika të ndryshme sigurie të vendosura. Për këtë, përdoret një DMZ.

Në mënyrë tipike, një DMZ pret shërbime që duhet të jenë të disponueshme si për klientët e rrjetit të jashtëm ashtu edhe për klientët e rrjetit të mbrojtur. Meqenëse qasja në shërbimet DMZ duhet të kryhet nga rrjet i hapur, atëherë DMZ përcakton kërkesa më pak të rrepta për sigurinë e rrjetit, por të mjaftueshme për të organizuar mbrojtjen kundër kërcënimeve. Nëse rrjeti përdor grupe përdoruesish me një dallim të qartë midis shërbimeve të disponueshme ose niveleve të ndryshme të konfidencialitetit të informacionit të përpunuar, atëherë muri i zjarrit mund të kontrollojë rrjedhat e rrjetit jo vetëm në rrjetet e jashtme, por edhe midis segmenteve të brendshme të rrjetit. Shpërndarja e DMZ, si dhe mbështetja për ndërfaqe të shumta të rrjetit, lejon menaxhimin e centralizuar të mbrojtjes burimet e rrjetit me politika të ndryshme të miratuara të sigurisë.

Shembull: Le të ketë një ueb server të korporatës që publikon të dhënat e kompanisë në rrjetin e korporatës. Këto të dhëna merren nga serveri në internet nga një server i brendshëm i bazës së të dhënave. Qasja në serverin e bazës së të dhënave lejohet vetëm në rrjetin e brendshëm. Për të siguruar funksionimin e ndërfaqes së sistemit të menaxhimit të bazës së të dhënave në internet, është e nevojshme të lejohet qasja nga serveri në internet në serverin e bazës së të dhënave. Pastaj, kur hyjmë në serverët e ueb-it, ne mund të aksesojmë lehtësisht serverin e bazës së të dhënave.

Përkushtimi i një serveri në internet në DMZ jo vetëm që zgjidh problemin e mbrojtjes nga kërcënimet e jashtme, por gjithashtu minimizon mundësinë e depërtimit në rrjetin lokal.

1.2. Lejo rrugëzimin ndërmjet ndërfaqeve të rrjetit

Në shumicën e rasteve, rutimi lejohet ndërmjet ndërfaqeve të rrjetit në nivel sistemi operativ, ndërsa mekanizmat e filtrimit dinamik dhe statik kontrollohen nga trafiku. Gjatë procesit të nisjes/rindezjes së sistemit operativ, ka një moment të shkurtër kohor kur stack-i i rrjetit me shërbimin e ngarkuar të rrugëzimit është i aktivizuar, por muri i zjarrit me rregullat e tij të filtrimit nuk është ngarkuar ende.

Kur muri i zjarrit përdor vetëm proxies të aplikacionit, nuk ka nevojë të drejtohen paketat. Në këtë rast, përfaqësuesit e aplikacionit ndërmjetësojnë midis klientit dhe serverit pa mbështetje për drejtimin anësor të OS. Në këtë rast, kursimi ndërmjet ndërfaqeve të rrjetit mund të çaktivizohet.

1.4. Firewall në lokale rrjeti kompjuterik

Një mur zjarri mund të përdoret për të segmentuar një rrjet të zonës lokale në mënyrë që të rritet niveli i tij siguria e informacionit dhe mbrojtjen e segmenteve individuale të rrjetit. Segmentimi në rrjet lokal përdoret atëherë:

Kur ka grupe funksionale në rrjetin lokal që përpunojnë informacione me nivele të ndryshme aksesi,

Kur është e nevojshme të sigurohet akses i kontrolluar në shërbimet e aplikacioneve dhe shërbimeve,

Kur është e nevojshme të kontrollohet shkëmbimi i flukseve të informacionit ndërmjet grupeve të ndryshme funksionale.

2. Mburoja e ekranit

Ndryshe nga një mur zjarri me shumë ndërfaqe që ndan dy ose më shumë rrjete, një mur zjarri (host bastion) është i lidhur vetëm me rrjetin e brendshëm dhe ka një ndërfaqe rrjeti. Në këtë skemë, tregohet kujdes i madh për të konfiguruar tabelat e rrugëzimit në mënyrë që i gjithë trafiku në hyrje të dërgohet në ndërfaqen e murit të zjarrit dhe në rrjetin e brendshëm, adresa IP e murit të zjarrit të specifikohet si portë.

1. Nënrrjet mburojë

Konfigurimi i nënrrjetit të mbrojtjes shton një shtresë shtesë sigurie në konfigurimin e mburojës duke prezantuar një segment rrjeti për të përmirësuar izolimin e rrjetit mbrojtës.

teknologjitë ME

1. Përkthimi i adresës së rrjetit (NAT).

Kur përdorni NAT, muri i zjarrit vepron si një ndërmjetës midis dy nyjeve IP, duke organizuar 2 kanale të transmetimit të të dhënave. Në këtë rast, një mur zjarri që përdor NAT ndërvepron me një host të jashtëm IP në emër të një të brendshme, por duke përdorur adresën e vet IP.

Llojet e adresave IP të LAN:

1. 10.0.0.0 – 10.255.255.255
2. 172.16.0.0 – 172.31.255.255
3. 192.168.0.0 – 192.168.255.255

NAT ofron siguri të thjeshtë dhe të besueshme duke vendosur atë që njihet si "drejtimi i njëanshëm" kur paketat e rrjetit transmetohet përmes firewall-it vetëm nga rrjeti i brendshëm. Përkthimi i adresës së rrjetit kryhet në tre mënyra:

Dinamik

Statike

Të kombinuara.

Bëhet gjithashtu një dallim midis përkthimit të adresës burimore dhe përkthimit të adresës së destinacionit. NAT zbatohet në rastet e mëposhtme:

1. Politika e sigurisë kërkon fshehjen e hapësirës së brendshme të adresave të rrjetit

2. Ndryshimi i adresave të hostit në rrjet nuk është i mundur

3. Duhet të lidhni rrjetin me sasi e madhe hostet, por me një numër të kufizuar adresash IP statike

Transmetim dinamik

Në modalitetin dinamik, i quajtur përkthim i portit, muri i zjarrit ka një adresë të jashtme. Të gjitha thirrjet në rrjetin publik nga klienti i rrjetit të brendshëm bëhen duke përdorur këtë adresë. Muri i zjarrit, kur një klient i qaset atij, cakton një port unik të protokollit të transportit për adresën IP të jashtme. Numri i porteve: 65000

Shembull: LAN përdor një rrjet të padrejtuar me një hapësirë ​​adresash prej 10.0.0.0. Klienti LAN dëshiron të krijojë një lidhje me serverin në internet 207.46.130.149.

Sistemi operativ gjeneron paketa të rregullta IP dhe i dërgon ato në rrjet. Kur paketat kalojnë nëpër murin e zjarrit, ky i fundit ndryshon adresën e burimit në adresën e ndërfaqes së jashtme, dhe portin e transportit të burimit në portin e parë të lirë nga grupi i porteve të papërdorura dhe rillogarit shumën e kontrollit. Për një server në internet, klienti është një host me një adresë IP prej 200.0.0.1, domethënë ME. Serveri i përgjigjet klientit në mënyrë normale.

Përkthim dinamik me kampionim dinamik të adresës IP

Në modalitetin dinamik me kampionim dinamik, adresat IP të jashtme ndahen në mënyrë dinamike nga një grup adresash të jashtme. Ashtu si me përkthimin dinamik, një port transporti përdoret për çdo lidhje. Dallimi është se kur i gjithë grupi i portit është shteruar, ndahet adresa IP e jashtme tjetër.

Përkthimi statik i adresës

Në përkthimin statik, ndërfaqes së jashtme të murit të zjarrit i caktohet aq adresa IP të regjistruara sa ka hoste në rrjetin e brendshëm.

Shembull:

1. Klienti i segmentit publik hyn në serverin e uebit në 200.0.0.21. 2. Doe gjen rregullin përkatës në tabelën e tij të rrugëtimit dhe zëvendëson adresën e destinacionit me 10.0.0.21.

3. Serveri kthen një paketë përgjigjeje me adresën e burimit 10.0.0.21.

4. Me daljen nga rrjeti lokal, ME zëvendëson adresën e tij me 200.0.0.21.

Përkthim statik me kampionim dinamik të adresës IP

Ky lloj përkthimi nuk përdor porte transporti dhe çdo klienti i caktohet në mënyrë dinamike një adresë IP nga një grup adresash të jashtme.