(це повинно бути дозволений користувач і в дозволене для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентификации. Вона задається при описі чи користувачів груп користувачів і може проводитися такими способами: *
Unix-пароль; *
програма S/Key генерації одноразових паролів; *
картки SecurID з апаратною генерацією одноразових паролів.
ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТІВ, ДИНАМІЧНЕ ЕКРАНУВАННЯ
UDP-протоколи, що входять до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створена безліч додатків. З іншого боку, усі вони є протоколами “без стану”, що приводить до відсутності розходжень між запитом і відповіддю, що приходить мережі, що ззовні захищається.
Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань поверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP-пакетів (читай: незаконних запитів), оскільки їхні параметри зберігаються в пам'яті FireWall-1.
Слід зазначити, що дана можливість присутня в дуже деяких програмах екранування, розповсюджуваних у даний момент.
Помітимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, зв'язані з динамічним виділенням портів для сеансів зв'язку, що FireWall-1 відслідковує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки “законний” обмін даними.
Дані можливості пакета Solstice FireWall-1 різко виділяють його серед всіх інших міжмережевих екранів. Уперше проблема забезпечення безпеки вирішена для усіх без винятку сервісів і протоколів, що існують у Internet.
МОВА ПРОГРАМУВАННЯ
Система Solstice FireWall-1 має власний убудований об’єктно орієнтовану мову програмування, застосовуваний для опису поводження модулів - Фільтрів системи. Власне кажучи, результатом роботи графічного інтерфейсу адміністратора системи є сценарій роботи саме на цій внутрішній мові. Він не складний для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично усе, що потрібно.
ПРОЗОРІСТЬ І ЕФЕКТИВНІСТЬ
FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережних швидкостях передачі інформації, що обумовлено компіляцією сценаріїв роботи перед підключенням їхній безпосередньо в процес фільтрації.
Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, типовим для багатьох організацій образом, працюючи на швидкостях звичайного Ethernet у 10 Мб/сек, забирають на себе не більш 10% обчислювальної потужності процесора SPARCstation 5,85 Мгц чи комп'ютера 486DX2-50 з операційною системою Solaris/x86.
Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж і їхніх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.
Solstice FireWall-1 забезпечує високорівневу підтримку політики безпеки організації стосовно всіх протоколів сімейства TCP/IP.
Solstice FireWall-1 характеризується прозорістю для легальних користувачів і високою ефективністю.
По сукупності технічних і вартісних характеристик Solstice FireWall-1 займає лідируючу позицію серед міжмережевих екранів.
Обмеження доступу в WWW серверах
Розглянемо два з них:*
Обмежити доступ по IP адресах клієнтських машин;*
ввести ідентифікатор одержувача з паролем для даного виду документів.
Такого роду введення обмежень стало використовуватися досить часто, тому що багато хто прагнуть у Internet, щоб використовувати його комунікації для доставки своєї інформації споживачу. За допомогою такого роду механізмів по розмежуванню прав доступу зручно робити саморозсилання інформації на одержання якої існує договір.
Обмеження по IP адресах
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи IP адреси конкретних чи машин сіток, наприклад:
123.456.78.9
123.456.79.
У цьому випадку доступ буде дозволений (чи заборонений у залежності від контексту) для машини з IP адресою 123.456.78.9 і для всіх машин під сітки 123.456.79.
Обмеження по ідентифікаторі одержувача
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи привласнене ім'я і пароль конкретному користувачу, причому пароль у явному виді ніде не зберігається.
Розглянемо такий приклад: Агентство печатки надає свою продукцію, тільки своїм передплатникам, що уклали договір і оплатили підписку. WWW Сервер знаходиться в мережі Internet і загальнодоступний.
Малюнок 7
Малюнок 7 Приклад списку вісників видавництва.
Виберемо Вісник наданий конкретному передплатнику. На клієнтському місці передплатник одержує повідомлення:
Малюнок 8
Малюнок 8 Вікно введення пароля.
Якщо він правильно написав своє ім'я і пароль, то він допускається до документа, у противному випадку - одержує повідомлення:
Малюнок 9
Малюнок 9 Вікно неправильного введення пароля.