Jump to content

Брандмауэр приложений

Брандмауэр приложения это форма брандмауэра , которая контролирует ввод/вывод или системные вызовы приложения или службы. Он работает путем мониторинга и блокировки соединений на основе настроенной политики, как правило, с предопределенными наборами правил на выбор. Двумя основными категориями межсетевых экранов приложений являются сетевые и хостовые .

История [ править ]

Джин Спаффорд из Университета Пердью , Билл Чесвик из AT&T Laboratories и Маркус Ранум описали межсетевой экран третьего поколения, известный как межсетевой экран прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси , Брайаном Ридом и Джеффом Могулом, возглавила создание первого коммерческого продукта. Продукт был выпущен DEC и назван Джеффом Маллиганом DEC SEAL — Secure external Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.

В рамках более широкого контракта DARPA с TIS Маркус Ранум, Вэй Сюй и Питер Черчард разработали набор инструментов для межсетевого экрана (FWTK) и в октябре 1993 года предоставили его бесплатно по лицензии. [1] Целью выпуска свободно доступного, а не для коммерческого использования, FWTK было: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания с (на тот момент) 11-летним опытом использования формальных методов безопасности и отдельные лица с брандмауэром опыт работы, разработанное программное обеспечение межсетевого экрана; создать общую базу очень хорошего программного обеспечения межсетевых экранов, на которую смогут опираться другие (чтобы людям не приходилось продолжать «развертывать свои собственные» с нуля); чтобы «поднять планку» используемого программного обеспечения брандмауэра. Однако FWTK был базовым прокси-сервером приложения, требующим взаимодействия с пользователем.

В 1994 году Вэй Сюй расширил FWTK усовершенствованием ядра, включающим фильтр с отслеживанием состояния IP и прозрачность сокетов. Это был первый прозрачный брандмауэр, известный как начало брандмауэра третьего поколения , выходящий за рамки традиционного прокси-сервера приложений ( брандмауэр второго поколения ), выпущенный как коммерческий продукт, известный как брандмауэр Gauntlet. Брандмауэр Gauntlet считался одним из лучших межсетевых экранов для приложений с 1995 по 1998 год, когда он был приобретен компанией Network Associates Inc (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным брандмауэром в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в брандмауэре, позволяющую удаленный доступ к операционной системе и обходя средства контроля безопасности. [2] Стикли обнаружил вторую уязвимость, фактически положив конец доминированию брандмауэров Gauntlet в безопасности. Год спустя [3]

Описание [ править ]

Фильтрация прикладного уровня работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах на основе не только IP-адреса или портов источника/назначения, а также может использовать информацию, охватывающую несколько соединений для любого данного хоста.

Брандмауэры сетевых приложений [ править ]

Сетевые межсетевые экраны приложений работают на уровне приложений стека TCP/IP. [4] и может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), систему доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаружить злоупотребление разрешенным протоколом. [5]

Современные версии межсетевых экранов сетевых приложений могут включать в себя следующие технологии:

Брандмауэры веб-приложений (WAF) — это специализированная версия сетевого устройства, которое действует как обратный прокси-сервер , проверяя трафик перед его пересылкой на связанный сервер.

Межсетевые экраны приложений на базе хоста [ править ]

Межсетевой экран приложений на базе хоста отслеживает системные вызовы приложений или другие общие системные коммуникации. Это дает больше детализации и контроля, но ограничивается защитой только хоста, на котором он работает. Управление осуществляется путем фильтрации по каждому процессу. Обычно подсказки используются для определения правил для процессов, которые еще не получили соединение. Дальнейшую фильтрацию можно выполнить, проверив идентификатор процесса владельца пакетов данных. Многие межсетевые экраны приложений на базе хоста комбинируются или используются вместе с фильтром пакетов. [6]

Из-за технологических ограничений современные решения, такие как песочница, используются в качестве замены межсетевых экранов приложений на хосте для защиты системных процессов. [7]

Реализации [ править ]

Доступны различные брандмауэры приложений, включая как бесплатное программное обеспечение, так и программное обеспечение с открытым исходным кодом, а также коммерческие продукты.

[Mac OS

Начиная с Mac OS X Leopard, была включена реализация инфраструктуры MAC TrustedBSD (взятой из FreeBSD). [8] Структура MAC TrustedBSD используется для изолированной среды служб и обеспечивает уровень брандмауэра, учитывая конфигурацию служб общего доступа в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенные функциональные возможности, включая фильтрацию исходящих подключений по приложениям.

Линукс [ править ]

Это список пакетов программного обеспечения безопасности для Linux, позволяющих фильтровать взаимодействие приложений с ОС, возможно, по каждому пользователю:

Окна [ править ]

  • Портмастер

Сетевые устройства [ править ]

Эти устройства могут продаваться как аппаратное обеспечение, программное обеспечение или виртуализированные сетевые устройства.


Межсетевые экраны следующего поколения:


Брандмауэры веб-приложений/балансировщики нагрузки:


Другие:

См. также [ править ]

Ссылки [ править ]

  1. ^ «Выпуск инструментария брандмауэра V1.0» . Проверено 28 декабря 2018 г.
  2. ^ Кевин Пулсен (22 мая 2000 г.). «В брандмауэре NAI обнаружена дыра в безопасности» . www.securityfocus.com . Проверено 14 августа 2018 г.
  3. ^ Кевин Пулсен (5 сентября 2001 г.). «Зияющая дыра в брандмауэре Gauntlet NAI» . theregister.co.uk . Проверено 14 августа 2018 г.
  4. ^ Луис Ф. Медина (2003). Серия «Самое слабое звено безопасности» (1-е изд.). Вселенная. п. 54. ИСБН  978-0-595-26494-0 .
  5. ^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Облачная вспышка . Проверено 29 августа 2020 г.
  6. ^ «Программные межсетевые экраны: сделаны из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 29 июня 2010 г. Проверено 5 сентября 2013 г.
  7. ^ «Что такое песочница (тестирование и безопасность программного обеспечения)? — Определение с сайта WhatIs.com» . Поисковая безопасность . Проверено 15 ноября 2020 г.
  8. ^ «Структура обязательного контроля доступа (MAC)» . ДовереннаяBSD . Проверено 5 сентября 2013 г.
  9. ^ «Спасение портмастера» . safing.io . Проверено 4 ноября 2021 г.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6a9ed35089f8e7cdeb9d2226d2e76dee__1714419420
URL1:https://arc.ask3.ru/arc/aa/6a/ee/6a9ed35089f8e7cdeb9d2226d2e76dee.html
Заголовок, (Title) документа по адресу, URL1:
Application firewall - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)