Межсетевые экраны | Курс "Компьютерные сети"

Рет қаралды 110,945

7 жыл бұрын

Видеолекция Межсетевые экраны. Лекции по курсу "Компьютерные сети" - goo.gl/0aIOuf
Страница курса - www.asozykin.ru/courses/networ...
Межсетевой экран - это устройств или программная система, предназначенное для отделения сетей друг от друга. Другое название межсетевого экрана: брандмауэр или firewall.
Межсетевые экраны используются для защиты сетей от проникновения злоумышленников.
Межсетевые экраны перехватывают все пакеты, которые поступают в сети, и проверяют их на соответствие политике безопасности по таблице правил.
Межсетевые экраны работают на сетевом и транспортном уровне, они анализируют заголовки пакетов протоколов этих уровней. Чаще всего используются IP-адреса, порты транспортного уровня, флаги, а также состояние соединение.
Преимуществом использования межсетевых экранов является увеличение безопасности.
Недостатки межсетевых экранов:
- Неправильная конфигурация может привести к неработоспособности сети.
- Возможно снижение производительности сети.
Мой канал с краткими и понятными объяснениями сложных тем в ИТ и компьютерных науках:
goo.gl/kW93MA

Пікірлер: 141

@nikewhite4471 7 жыл бұрын

Спасибо! Коротко, информативно, последовательно - так и должно быть.

@AndreySozykin 7 жыл бұрын

+Jon Belov, пожалуйста.

@user-yd4dt6iv2w 10 ай бұрын

Андрей, дай бог тебе здоровья) за курс лекций по сетям объяснил мне единственный понятным языком то, что я не мог понять всю жизнь и просто воспринимал как магию

@user-vc7ku2nj2s 4 жыл бұрын

Андрей, огромное вам спасибо. Это большой труд - создавать такие уроки.

@AndreySozykin 4 жыл бұрын

Пожалуйста!

@user-bx2fm5fy9u 2 жыл бұрын

Время идет, но я периодически возвращаюсь к Вашим курсам. Спасибо!

@eugeniatikhomirova7542 4 жыл бұрын

Большое спасибо! Теория, как всегда, на высоте. На мой взгляд, не хватает практического примера программно-аппаратной реализации. Понятно было только с брандмауэром на хосте.

@vechereet_uzhe 3 жыл бұрын

Очень интересно, помню, когда была совсем мелкая, от скуки лазила по компьютеру и изучала начинку, но значение слов брандмауэр и файрволл узнала только сейчас ахаха

@AndreySozykin 3 жыл бұрын

Это и есть life long learning, сейчас очень востребовано 😉

@user-og9mx1fi2z 3 жыл бұрын

Благодарю Вас за Ваши замечательные доступные объяснения!!!

@3scctvRu_camera 6 жыл бұрын

Спасибо за приятный стиль подачи информации...

@AndreySozykin 6 жыл бұрын

+3S-cctv.ru, пожалуйста! Рад, что нравится!

@user-kf4ze5er9p 2 жыл бұрын

Андрей, спасибо большое за информативность! Мы всем потоком сдали экзамен по сетям связи благодаря вашим видео! :)

@AndreySozykin 2 жыл бұрын

Спасибо за приятный отзыв! Какой университет?

@andreipomorev6292 3 жыл бұрын

Спасибо! Очень понятное изложение материала.

@Phi-Gnya 5 жыл бұрын

нет слов! ) великолепная подача материала. лаконично, понятно, информативно!

@AndreySozykin 5 жыл бұрын

Спасибо!

@kseniyasakki4382 3 жыл бұрын

Спасибо вам, Андрей!

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@nikolay_antipin 2 жыл бұрын

Андрей, огромное спасибо за Вашу работу! Изучал по Вашим урокам компьютерные сети, прошёл собеседование!!!

@w1tcherj 2 жыл бұрын

Что по зп?

@dmphxzrche288 2 жыл бұрын

Куда устроились, как дальнейшие успехи?

@lester2496 5 жыл бұрын

Спасибо Андрей!

@AndreySozykin 5 жыл бұрын

Пожалуйста!

@sergeyshestakov607 5 жыл бұрын

Спасибо ! Очень полезный урок!

@AndreySozykin 5 жыл бұрын

Пожалуйста!

@andrewgering9005 3 жыл бұрын

Не первое ваше видео, очень здорово спасибо большое!

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@dinara9129 7 жыл бұрын

Супер, все понятно теперь! Спасибо :-)

@AndreySozykin 7 жыл бұрын

+Dinara Shadyarova, пожалуйста.

@Q_School 3 жыл бұрын

Спасибо. Qilgan bu yaxshi amallariyezni ajrini bersin.

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@user-pc2od2hn9s 5 жыл бұрын

спасибо за труды

@AndreySozykin 5 жыл бұрын

Пожалуйста!

@worseize 3 жыл бұрын

Спасибо первое видео по безопасности которое я понял .

@AndreySozykin 3 жыл бұрын

Отлично! Успехов в дальнейшем изучении!

@user-hi6er7jd3h 2 жыл бұрын

Спасибо, полезно и понятно. Отличное видео.

@AndreySozykin 2 жыл бұрын

Пожалуйста!

@user-vx2kx6oe6l Жыл бұрын

Большое спасибо ... 🙂

@user-fb3ti5zw2f 3 жыл бұрын

Спасибо что объясняете.

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@mindfulnessbeauty9175 3 жыл бұрын

Спасибо! Было интересно!

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@farhad189school8 3 жыл бұрын

Спасибо большое.

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@aleksanterikaansalo Жыл бұрын

Неплохо, чёрт возьми.

@Andrzej3935 Жыл бұрын

Спасибо!

@sergeykatovich4949 Жыл бұрын

Андрей спасибо, отличные лекции. Очень грамотная структурированность и подача информации. Почему не подключен сервис донатов? Я, как думаю и многие люди из комментариев отблагодарили бы.

@AndreySozykin Жыл бұрын

Спасибо за приятный отзыв! Сервис донатов есть, вот ссылка - pay.cloudtips.ru/p/45a4055b Не во все ранние видео успел прописать.

@user-xw6wz7ef2z 4 жыл бұрын

Вау, вот это очень интересный видос!

@AndreySozykin 4 жыл бұрын

Спасибо!

@user-dd7st2fn3p 3 жыл бұрын

Класс! Спасибо!!!

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@artur_kia 2 жыл бұрын

Спасибо

@AndreySozykin 2 жыл бұрын

Пожалуйста!

@user-lv5or8zy4s 3 жыл бұрын

Очень доступно.. Даже я тугодум всё понял с первого раза

@alex911kz Жыл бұрын

супер, что посоветуете из оьорудования железки - для малого бизнеса с поддержкой контроля на прикладной уровне?

@user-hh9xr4uj3o 3 жыл бұрын

спасибо!!!

@AndreySozykin 3 жыл бұрын

Пожалуйста!

@deniskoeppen 5 жыл бұрын

Было бы интересно увидеть типологию с внешними и внутренними МСЭ, DMZ. Что можно что нельзя при протоколах прикладного уровня. А так же отличие и/или размещение коммутатора и МСЭ.

@AndreySozykin 5 жыл бұрын

В этом я не специалист, к сожалению.

@deniskoeppen 5 жыл бұрын

@@AndreySozykin а чем отличается МСЭ от коммутатора?

@user-ex7vn8pl2l 3 жыл бұрын

Спасибо за лекцию ( на дистанционке это самое то) ps какие негодяя минусят- кому Вы зачёт не поставили)))

@AndreySozykin 3 жыл бұрын

Минусы обязательно нужны, всем нравится невозможно.

@pavellevap4178 6 жыл бұрын

Анрдей, можно вас попросить рассказать про WAF IPS IDS поподробнее, если у вас есть таковые знания, буду очень признателен

@AndreySozykin 6 жыл бұрын

К сожалению, в этих темах я не очень разбираюсь. Поэтому вряд ли смогу сделать хорошие лекции.

@WhiteBear141981 5 жыл бұрын

Добрый день, Андрей! Спасибо! Вопрос: не является ли третье правило в таблице правил доступа излишним?

@AndreySozykin 5 жыл бұрын

Которое про запретить все? Для обработки пакетов используется первое найденное подходящее правило. Если никакое правило найдено не будет, то пакет передается дальше.

@WhiteBear141981 5 жыл бұрын

@@AndreySozykin спасибо! То есть работает правило: всё, что не запрещено, разрешено.

@AndreySozykin 5 жыл бұрын

Да.

@user-gd6il5zb8l 4 жыл бұрын

Я думал, это зависит от конкретной реализации фаервола, нет?

@danilghost6817 7 жыл бұрын

Алексей, подскажите когда следует использовать цепочки forward, output и input при построении ip tables на линукс

@AndreySozykin 7 жыл бұрын

+Danil Ghost, надеюсь вопрос ко мне, хотя меня зовут Андрей :) В iptables цепочка output - для исходящих пакетов, input - для входящих пакетов. Цепочка forward используется на программных маршрутизаторах, в ней обрабатываются пакеты, не предназначенные для локального компьютера. Наша Linux-машина маршрутизатор принимает такие пакеты и передает дальше.

@danilghost6817 7 жыл бұрын

Сорри за ошибку с именем)) Спасибо за ответ

@user-rk3ti5ex5r 2 жыл бұрын

Андрей, возникло затруднение в понимании на моменте 6:44 "межсетевой экран их пропустит, наш сервис их будет отбрасывать" - всё-таки пропустит или будет отбрасывать? Просто прозвучали две противоречивые фразы друг за другом. Вроде эти пакеты удовлетворяют правилу 2 в таблице.

@user-hu2ji2lw7v 2 жыл бұрын

спасибо|

@andreypolevoy5311 3 жыл бұрын

СПС!

@user-gd6il5zb8l 4 жыл бұрын

Правильно ли я понимаю, что если я - провайдер, я могу использовать межсетевой экран для того, чтобы ограничивать доступ моим клиентам к некому списку IP адресов (например, вебсерверов, запрещенных РКН), а обойти это можно будет с помощью прокси на прикладном уровне, ведь запрос будет осуществляться к разрешенному IP-адресу прокси-сервера, а он уже будет отправлять запрос на запрещенный сайт? P. S. Наконец-то я начал понимать все эти фаерволы, брандмауэры и iptables. Оказалось проще и приятнее, чем казалось со стороны, когда еще не знал ничего.

@FF-ne2qz 3 жыл бұрын

5:53 но ack же будет только от клиента к серверу (о подтверждении получения данных), то есть правило 2 не будет работать, как рассказывается?

@Monkeylust 3 жыл бұрын

допустим в первом правиле клиент отправил запрос на установку соединения syn (флаг любой), а во втором правиле пришло подтверждение соединения syn-ack (так как в нем есть флаг ack его пропустили), далее по первому правилу клиент устанавливает соединение с сервером и начинается передача от сервера к клиенту. А так как злоумышленникам необходимо установить соединение с клиентом им не остается выхода как кинуть пакет только с syn и как раз таки он и не пройдет по второму правилу так как в первом пакете отсутствует флаг ack, фух. Я как то так понял.

@AvariaMax 5 жыл бұрын

Объясните, в какой точке правильно устанавливать маршрутизатор? В большинстве случае в интернете представлены следующие схемы: 1) внутренняя защищаемая сеть->межсетевой экран->маршрутизатор->внешняя сеть но ведь в таком случае маршрутизатор оказывается за пределами защиты МСЭ. Конечно маршрутизатор можно защитить его собственными средствами безопасности, но этих средств всё равно меньше чем у МСЭ. И таким образом злоумышленники могут просто положить маршрутизатор, и пользователь останется без доступа во внешнюю сеть. Логичнее выглядит следующая схема 2) внутренняя защищаемая сеть->маршрутизатор->межсетевой экран->внешняя сеть почему же по второму варианту схемы встречаются крайне редко? какая из них является правильной или какая является предпочтительной по каким-либо причинам? Я проектирую сети энергетики, во внутренних руководящих документах ПАО "Россети" строго сказано, что сегменты сети должны быть разделены МСЭ и это видится логичным, но почему же в интернете во всяческих учебных лекциях всегда указывается схема по первому варианту или изредка встречается схема по второму?

@AndreySozykin 5 жыл бұрын

Алексей, однозначного ответа нет, все зависит от условий. 1. Сейчас многие маршрутизаторв содержат в себе встроенные межсетевые экраны и могут обеспечить достаточно серьезную защиту. 2. Нужно смотреть, как осуществляется подключение к интернет. Возможно, по требованиям должен сначала идти маршрутизатор, а к межсетевому экрану подключиться не получится. 3. В зависимости от архитектуры сети возможна более сложная схема: в дополнение к внутреннему и внешнему сегменту может использоваться демилитаризованная зона, в которой находятся серверы компании, к которым разрешен доступ из интернет. Я не являюсь специалистом по информационной безопасности и не могу сказать точно, как будет правильно и в каком случае.

@w1tcherj 5 жыл бұрын

замечу, что некоторые провайдеры разрешают свой канал(пачкорд) воткнуть только в роутер(шлюз который), а дальше как клиент хочет, может в этом дело?

@AndreySozykin 5 жыл бұрын

Да, провайдеры обычно только канал в Интернет предоставляют. Но у некоторых есть дополнительные сервисы - защита от DDos атак и т.п. Однако в большинстве случаев свою сеть придется защищать самостоятельно.

@user-te3ny1jh3b Жыл бұрын

Здравствуйте, Андрей, спасибо за очередную отличную лекцию. у меня возникли вопросы, которые хотелось бы прояснить прежде чем переходить к следующему уровню. 1) хосты находящиеся в одной подсети, то есть равную маску IP. Как они связаны на канальном уровне? Они должны находиться близко? Или могут быть в разных городах к примеру 2)как связаны хосты подсети с маршрутизатором на канальном уровне?

@user-ii3xb8tm4m Жыл бұрын

1) на канальном уровне все устройства в широковещательные домене взаимодействуют на уровне Mac-адресов, коммутация пакетов. Обычно используются коммутаторы L2, L3. Расстояние зависит от возможностей канального уровня и технологии ethernet. Максимальная длина кабеля между 2-мя сегментами utp (витая пара) с ethernet 10,100, 1000, 1GBase-T = 100 метров, для ethernet 1000Base-LX (оптоволокно) = 5 км. Чтобы построить свою подсеть в разных городах без маршрутизаторов, чисто на канальном уровне, тебе нужно протянуть между ними несколько физических кабельных линий с коммутаторами, хабами и репитерами. Эл. сигнал затухает при прохождении по кабелю. Потому на технологии наложены ограничения на максимальную длину кабеля. В современном мире, благодаря VLAN, можно свои линии не тянуть, но здесь без сетевого уровня и маршрутизатора никак. 2) Они взаимодействуют на сетевом уровне с помощью инкапсуляции и протокола ARP.

@user-te3ny1jh3b Жыл бұрын

@@user-ii3xb8tm4m спасибо большое!

@user-st7uu4jj7v Жыл бұрын

@@user-ii3xb8tm4m Благодарю за развернутый ответ. Но на 2-ой вопрос я не совсем понял ответ. Либо вопрос был задан не корректно. Я так понимаю, использование маршрутизатора в подсети для связи хостов не целесообразно, только как коммутатор LAN - портов в подсети и выхода их во внешнюю сеть провайдера и интернет. Это имеет место только для домашнего роутера. Понятно, что роутер по определению предназначен для работы на сетевом уровне для связи сетей между собой. Вопрос: под инкапсуляцией вы имеете ввиду соотнесение MAC - адрес порта роутера с IP-пакета по ARP?

@user-ii3xb8tm4m Жыл бұрын

@@user-st7uu4jj7v @Александр Черданцев Это разные вещи. Инкапсуляции это основа сетей, технологии ethernet и модели OSI. Всё завязано на инкапсуляции ip-пакета во фрейм при отправке и декапсуляции из фрейма в пакет при получении. Это базовая логика работы передачи данных, которой безукоризненно следуют и хосты (ПО на ПК) и сетевые устройства. Нельзя отправить ip-пакет, не упакован его во фрейм. И нельзя отправить фрейм без ip-пакета. Особенность коммутации: Фрейм может пересылаться только ближайшем физическому устройству. ARP-таблица нужна маршрутизатору для понимания кому из напрямую подключённых соседей предназначен фрейм.

@KosmoKiit 4 жыл бұрын

Норм преподаватель))))

@AndreySozykin 4 жыл бұрын

Спасибо!

@SuperPurpleguitar 4 жыл бұрын

Спасибо за лекции! Очень доступно и интересно ! Мне немного не хватало информации о том как применять брандмауэр и нат вместе . Если у меня уже есть нат , нужен ли мне брэндмауэр?

@AndreySozykin 4 жыл бұрын

Да, нужен. NAT и межсетевой экран - дополняющие друг друга технологии. Чаще всего они реализованы в одном устройстве.

@gheocom 7 жыл бұрын

privet!

@coconut_punker 3 жыл бұрын

Правильно ли я понял что межсетевые экраны могут быть встроены в маршрутизатор ли конфигурируются администратором сети?

@AndreySozykin 3 жыл бұрын

Да, так часто бывает.

@coconut_punker 3 жыл бұрын

@@AndreySozykin спасибо за урок!

@sergeyufimtsev711 7 жыл бұрын

А разве firewall не может пасть от атаки "Отказ в обслуживании"?

@AndreySozykin 7 жыл бұрын

+Sergey Ufimtsev, да может. Но обычно для этого гораздо больше ресурсов нужно.

@Das.Kleine.Krokodil 4 жыл бұрын

4:44 в брэнмауэре win8 не нашел порядка у правил

@OleksandrVoitiuk 6 жыл бұрын

Нарешті почав розуміти як функціонують SPI. Дякую.

@eugenepashch5213 2 жыл бұрын

Solid.

@user-xe9kv1kl7k 4 жыл бұрын

Андрей я так и не понял, как злоумвшленник сможет узнать внутренний айпи адрес хоста и его внутренний порт, чтобы сконструировать тот самый поддельный пакет? Ведь как мы знаем из лекции о НАТ - те, кто за прелелами сети видят айпи адрес и порты устройства НАТ а не хоста из лок сети, то есть по сути такая атака получается невозможна в принципе. Так или нет? 🤷‍♂️

@user-xe9kv1kl7k 4 жыл бұрын

Или злой парень в своем сконструированном пакете укажет порт и айпи устройства НАТ, а оно уже транслирует эти данные во внутренний айппи и порт хоста и далее пакет плохого парня идет в мсэ? Так получается? Тогда НАТ должен стоять перед мсэ.

@AndreySozykin 4 жыл бұрын

Межсетевой экран не обязательно использовать вместе с NAT. Экран может отделять два сегмента сети друг от друга. Или во внутренней сети компании могут быть несколько устройств с внешними адресами. Наример, веб-серверы.

@user-xe9kv1kl7k 4 жыл бұрын

@@AndreySozykin а если во внутренней сети имеются хосты с внешним айпи то они выходят в инет через нат или минуя нат? Или через нат, но нат им айпи не меняет?

@AndreySozykin 4 жыл бұрын

Обычно, NAT реализован на маршрутизаторе. Поэтому маршрутизатор для таких адресов NAT не применяет. Но могут быть более сложные подключения. Тогда трафик от таких адресов идет миную NAT.

@bodik1111 5 жыл бұрын

а можно ли как то просмотреть таблицу правил доступа?

@MegaCorbon 5 жыл бұрын

Ну если ты ее составляешь, наверное и посмотреть можешь!)) А извне только понять разрешен конкретно тебе доступ в эту сеть или нет

@w1tcherj 5 жыл бұрын

да и изнутри, если ты не администратор старший какой-нибудь, хрен посмотришь)

@yz1725 3 жыл бұрын

"МЭ отделяет сети друг от друга." Возможно, что он объединяет сети по определенным правилам?

@AndreySozykin 3 жыл бұрын

Можно сказать и так. Но основное устройство объединения сетей - это маршрутизатор.

@KomarovPavel-if8ud 3 жыл бұрын

у кого-то стакан наполовину полон, а у кого-то наполовину пуст)

@gheocom 7 жыл бұрын

A ato ne acces list?

@AndreySozykin 7 жыл бұрын

+gheocom, на маршрутизаторе это может быть access list.

@pie4928 Жыл бұрын

Как сконструировать пакет ?!

@AndreySozykin Жыл бұрын

Пакеты вручную конструировать не нужно. Вместо прямого создания пакетов для передачи данных используется интерфейс сокетов.

@pie4928 Жыл бұрын

@@AndreySozykin спасибо

@pie4928 Жыл бұрын

@@AndreySozykin а если я хочу сконструировать пакет RST и отправить?

@olimpus6482 5 жыл бұрын

злоумышленник может подключиться модему использовать трафик клиента.

@w1tcherj 5 жыл бұрын

что

@MrEmityushkin 2 жыл бұрын

+Plus

@BalynOmavel 5 жыл бұрын

Слайд 12. Для проверки наличия соединения, fw использует таблицу соединений. Но как мы сможем установить ПЕРВОЕ соединение, если все пакеты с ACK флагом без соединения отбрасываются согласно 2-му правилу fw? Ведь для установки соединения, необходимо пропустить как минимум один SYN-ACK от удаленного сервера

@w1tcherj 5 жыл бұрын

хороший вопрос, в инете нашёл о SPI, который может запомнить и атрибуты каждого соединения. Конечно же ответ на твой вопрос хотелось бы получить, но, как мне кажется, fw просто "запомнит" что был SYN и будет "ждать" ACK.

@user-gd6il5zb8l 4 жыл бұрын

Правило, которое пропускает только пакеты с проставленным ACK, действует только для входящих пакетов. То есть если кто-то извне попытается инициировать соединение без нашего желания, у него не получится. А вот мы инициировать соединение можем, ведь такого же требования для флага ACK для исходящих пакетов не стоит. В итоге извне будут приходить только те пакеты, которые являются ответами в рамках TCP-соединения, которое мы инициировали сами.

@user-wo4ej1ty6i 3 жыл бұрын

По 7 уровень забыли(

@w1tcherj 5 жыл бұрын

09:40 а как он определит, что я скачиваю видео, вот пришло ему 1500байт, хер же поймёшь, что там внутри, а все пакеты собирать-места не хватит.

@AndreySozykin 5 жыл бұрын

Обычно межсетевые экраны отслеживают установку соединения. Продвинутые могут определить, какая именно операция используется в этом соединении. После этого достаточно определить, к какому соединению относится пакет, не обязательно хранить все предыдущие пакеты. Часто для этого этой цели используется технология DPI - ru.wikipedia.org/wiki/Deep_packet_inspection