Wikipédia

„Tűzfal (számítástechnika)” változatai közötti eltérés

Laptörténet interaktív böngészése
[ellenőrzött változat][nem ellenőrzött változat]
← Régebbi szerkesztésÚjabb szerkesztés →
Tartalom törölve Tartalom hozzáadva
VizuálisWikiszöveges
a Visszaállítottam a lap korábbi változatát 188.143.71.160 (vita) szerkesztéséről Whitepixels szerkesztésére
Címke: Visszaállítás
Kibővítettem az elejét. Kijavítottam több helyes írási hibát. Hozzátettem egy új forrás linket ahonnan másoltam dolgokat. A működése résznél kijavítottam egy egész elírt mondatot. Az egész csoportosítás fület töröltem mivel értelmetlen volt.
1. sor:
{{egyért2|a számítástechnikai védelemről|Tűzfal (egyértelműsítő lap)}}
A '''tűzfal''' (angolul ''firewall'') célja a számítástechnikában annak biztosítása, hogy a [[számítógép-hálózat|hálózaton]] keresztül egy adott [[számítógép]]be ne történhessen illetéktelen behatolás. Szoftver- és hardverkomponensekből áll. Hardverkomponensei olyan hálózatfelosztó eszközök, mint a [[router]] vagy a [[proxy]]. A szoftverkomponensek ezeknek az alkalmazási rendszerei tűzfalszoftverekkeltűzfal szoftverekkel, beleértve ezek csomag- vagy proxyszűrőit is. A tűzfalak általában folyamatosan jegyzik a forgalom bizonyos adatait, a bejelentkező gépek és felhasználók azonosítóit, a rendkívüli és kétes eseményeket, továbbá riasztásokat is adhatnak.
 
A számítástechnika során a tűzfal olyan hálózati biztonsági rendszer, amely felügyeli és szabályozza a bejövő és kimenő hálózati forgalmat előre meghatározott biztonsági szabályok alapján.
 
A tűzfal jellemzően akadályt képez egy megbízható belső hálózat és egy bizonytalan külső hálózat között.
 
A tűzfalakat gyakran hálózat tűzfalaknak vagy host-alapú tűzfalaknak kategorizálják.
 
A hálózati tűzfalak kettő vagy több hálózat közötti forgalmat szűrnek és hálózati hardvereken futnak.
 
A gazdaalapú tűzfalak a gazda számítógépen futnak, és ellenőrzik a hálózati forgalmat a számítógépeken belül és kívül.
 
== Működése ==
A tűzfal megpróbálja a privát [[számítógép-hálózat|hálózatot]] ill. amegvédeni hálózatinem szegmenst a nemkívántkívánt támadásoktól megóvni. Szabályozza a különböző megbízhatósági szintekkel rendelkező [[számítógép-hálózat]]ok közti forgalmat. Tipikus példa erre az internet, ami semmilyen megbízhatósággal nem rendelkezik és egy belső hálózat, ami egy magasabb megbízhatósági szintű zóna. Egy közepes megbízhatósági szintű zóna az ún. „határhálózat” vagy [[demilitarizált zóna (DMZ)]], amit az internet és a megbízható belső hálózat között alakítanak ki.
Megfelelő beállítás nélkül egy tűzfal gyakran értelmetlenné válik. A biztonsági szabványok „alapértelmezett-letiltás” tűzfal-szabálycsoportot határoznak meg, amelyben csakis azok a hálózatok vannak engedélyezve, amiket már külsőleg engedélyeztünk. Sajnos egy ilyen beállításhoz részletesen ismerni kell a hálózati eszközöket és azokat a végpontokat, amik a vállalat mindennapi működéséhez szükségesek. Sok vállalatnál hiányzik ez az ismeret, és ezért egy „alapértelmezett-engedélyezés” szabályt alkalmaznak, amiben minden forgalom engedélyezve van, amíg konkrétan nem blokkolják. Az ilyen beállítások kéretlen hálózati kapcsolatokat és rendszer veszélyeket okoznak.
A szabálymegszegéseket leszámítva, egy tűzfal funkciója nem abból áll, hogy veszélyeket felismerjen és akadályozzon. Főleg abból áll, hogy a meghatározott kommunikációs kapcsolatokat engedélyezze, a forrás- vagy célcímek és a használt szolgáltatások alapján. A támadások felkutatásáért az ún. behatolás-felismerő rendszerek a felelősek, amelyet akár a tűzfalra is lehet telepíteni, de ezek nem tartoznak a tűzfalhoz.
 
== Csoportosítás ==
=== Külső tűzfal ===
* a teljes helyi hálózatot részben elválasztja az internettől
=== Belső tűzfal ===
* a helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől (így az internettől is)
 
Bármilyen tűzfalmegoldást alkalmazunk is, a szakma által elfogadott alapmódszer a következő: minden tilos, kivéve, amit szabad. A vállalat igényeit pontosan ismerő rendszergazda sokat profitálhat abból, hogy pontosan csak annyit engedjen, amennyi feltétlenül szükséges.
 
== Fajták, Típusok ==
22 ⟶ 24 sor:
 
'''Gyakorlati szabályok például:'''
* a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as, kvázi szabvány http porton a vállalat saját weboldalát. Ezt általában elegendő az internetvonal(ak) megosztását (NAT) végző gépen tűzfalszabálykénttűzfal szabályként alkalmazni.
* a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as http porton és 443-as biztonságos https porton tetszőleges weboldal. Ezt szintén elegendő a NAT-olást végző gép(ek)en tűzfalszabálykénttűzfal szabályként alkalmazni.
* a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve egyes szolgáltatásokat, mint a http(s), dns, pop3, smtp, egyebek. Ezt a NAT-olást végző számítógépen az egyes szolgáltatásokhoz tartozó kimenő portok engedélyezésével tehetjük meg.
* a vállalat belső hálózatán levő számítógépek egymás közötti hálózati kapcsolatépítésének korlátozása csak engedélyezett szolgáltatásokra: ilyenkor vagy vállalati switchen kell csomagszűrést alkalmazni (például a gépek között mindent letiltunk, kivéve a 137, 138, 139 portokat a fájlmegosztások elérésére), vagy ugyanezt a módszert minden egyes számítógépen alkalmazni kell egy tűzfalprogrammaltűzfal programmal.
 
=== Állapot szerinti szűrés ===
31 ⟶ 33 sor:
 
=== Alkalmazásszintű tűzfal ===
{{bővebben|Alkalmazásszintű tűzfal}}
Egy alkalmazásszintű tűzfal a tisztán csak a forgalomhoz tartozó, mint a forrás, cél és szolgáltatás adatokon kívül a hálózati csomagok tartalmát is figyeli. Ez lehetővé teszi az ún. dedikált proxy-k alkalmazását is, amik egy specializált tartalomszűrést vagy egy Malware-szkennelést is lehetővé tesznek.
Egy népszerű félreértéssel ellentétben egy alkalmazásszintű tűzfal alapszintű feladata nem abból áll, hogy meghatározott alkalmazások (programok) hálózathoz való hozzáférését engedélyezze vagy megtiltsa. Egyébként egy áramkör szintű proxy-t lehet egy ilyen tűzfalra létesíteni, ami egy protokollfüggetlen port- és címszűrés mellett egy lehetséges hitelesítés a kapcsolat felépítésének támogatásához. E nélkül egy alkalmazás számára nem lehetséges egy külső hálózattal (internettel) történő kommunikálás.
 
=== Proxy / Anonymous proxyProxyik ===
Az alkalmazás-szintű tűzfal integrált proxyt használ, ami a munkamenetének helytállóságahelytálltsága alapján építi fel a kliensekkel és a célrendszerekkel a kapcsolatot. A szervernek csak a [[proxy]] IP-címe lesz látható mint feladó, nem pedig a kliensé. Így a helyi hálózat struktúrája nem lesz felismerhető az internet felől. Tehát megakadályozza a közvetlen kommunikációt a külső és a védett hálózat között. Közvetítő szerepet játszik a kettő között: a belülről érkező kéréseket feldolgozza, majd azokkal azonos értelmű kérést küld a külső szerver felé, az azokra érkező válaszokat pedig ugyanilyen módon továbbítja a belső hálózat felé. Elég biztonságosnak mondható és általában egyszerűen konfigurálható. Hátránya viszont, hogy kizárólag olyan kommunikációra használható, melynek értelmezésére képes. Magukba foglalhatnak tartalmi gyorsítótárat, így néhány esetben jelentős mértékben csökkenthetik a kifelé irányuló forgalmat.
Minden magasabb kommunikációs protokollnak ([[HTTP]], [[FTP]], [[Domain Name System|DNS]], [[SMTP]], [[POP3]], MS-RPC, stb.) van egy saját, dedikált proxy-ja. Egyetlen alkalmazás-szintű tűzfalon több dedikált proxy is futhat egyszerre.
'''''Anonim proxy:''''' Az eredeti webező identitásának elrejtésére, a webszerver és a böngésző közti kommunikációba harmadik félként beépül olyan módon, hogy valójában ő tölti le a kiszolgálóról a kliens által kért weblapokat. Ezeket továbbítja, így a tényleges kliens identitása (IP-címe) a szerver elől rejtve marad.
48 ⟶ 49 sor:
* bizalmas céginformációk kiszűrése (például: Mérleg-adatok)
* kulcsszavak alapján nem kívánt [[weboldal]]ak zárolása
* nem kívánt alkalmazás-protokollok (például: filemegosztásifilm megosztás) blokkolása
 
A legtöbb rendszer csak nagyon egyszerű szabály-definíciókat engedi meg. Az elsődleges probléma nagyon bonyolult és előfordulhat, hogy a koncepció meg sem valósítható technikailag. Mert, ha például tényleg teljességgel ki kell szűrnie az engedélyezett rendszereknek az adatforgalomból a bizalmas információkat, ehhez először meg kellene oldani azt a technikai problémát, hogy bizalmas [[szteganográfia]]i vagy kódolt információkat fel lehessen ismerni és ki lehessen szűrni.
Az aktuális tűzfalrendszerekben létező egyszerű szabályok ellenére ezek kivitelezése sokrétű lehet. Gyakran külön csomagokat kell összefűzni, amivel a vizsgált adatforgalom egészként felismerhető, átvizsgálható és alkalmanként megváltoztatható. Végül az adatforgalmat ismét különálló csomagokra kell bontani és továbbküldeni.
 
=== Behatolásfelismerő és -megelőző rendszerek ===
58 ⟶ 56 sor:
 
=== Hálózati címfordítás ===
Lehetővé teszi belső hálózatra kötött saját nyilvános IP-cím nélküli gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel. Vagyis, hogy több számítógépet egy routeren keresztül kössünk az internetre. Az elsődleges cél ez esetben az, hogy egy nyilvános IP-címen keresztül több privát IP-című (privát címtartomány: [[RFC:1918|RFC 1918]]) számítógép csatlakozhasson az internethez. A belső gépekről érkező csomagok feladójaként saját magát tünteti fel a tűzfal (így elrejthető a védett host igazi címe), a válaszcsomagok is hozzá kerülnek továbbításra, amiket – a célállomás címének módosítása után – a belső hálózaton elhelyezkedő eredeti feladó részére továbbít. Egy proxy-val ellentétben itt a csomagokat csak továbbküldik és nem analizálják a tartalmukat.
'''(angolul ''[[Network Address Translation]]'', NAT)'''
 
Lehetővé teszi belső hálózatra kötött saját nyilvános IP-cím nélküli gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külső gépekkel. Vagyis, hogy több számítógépet egy routeren keresztül kössünk az internetre. Az elsődleges cél ez esetben az, hogy egy nyilvános IP-címen keresztül több privát IP-című (privát címtartomány: [[RFC:1918|RFC 1918]]) számítógép csatlakozhasson az internethez. A belső gépekről érkező csomagok feladójaként saját magát tünteti fel a tűzfal (így elrejthető a védett host igazi címe), a válaszcsomagok is hozzá kerülnek továbbításra, amiket – a célállomás címének módosítása után – a belső hálózaton elhelyezkedő eredeti feladó részére továbbít. Egy proxy-val ellentétben itt a csomagokat csak továbbküldik és nem analizálják a tartalmukat.
 
=== Internet Connection Firewall (ICF) ===
A Windows XP és a Windows Server 2003 beépített tűzfalprogramjatűzfal programja, amely az internetre kapcsolódó számítógépeket védi a külső támadások ellen.
 
=== Átjáró ===
86 ⟶ 82 sor:
* http://support.microsoft.com/kb/321050
* http://www.pc-help.org/www.nwinternet.com/pchelp/security/firewalls.htm
*http://pcseged.hu/t%C5%B1zfal.html
 
{{Portál|Informatika|i }}
A lap eredeti címe: „https://hu.wikipedia.org/wiki/Tűzfal_(számítástechnika)