Kas ir firewall vai ugunssiena (ugunsmūris)?

"Ugunssiena" ir sistēma, kas aizliedz nesankcionētu datu plūsmu uz vai no privātā datortīkla, nepiederošu personu ielaušanos tam nepiederošā datortīklā, kas varētu novest pie konfidenciālu datu zudumiem, informācijas noplūdes vai pakalpojumu atteikumu (Denial of Service) uzbrukumiem.

Ugunssienas pēc uzbūves iedalāmas divos veidos:

Programmatūras ugunssienās:

Uz jau esošas operētājsistēmas (Windows, Linux u.c.) bāzes tiek izvietota programmatūra, kas ar dažādiem paņēmieniem (dažreiz modificējot atbildīgās instances operētājsistēmā par darbību ar datu sūtīšanu) iegūst iespēju kontrolēt atļautās un neatļautās darbības.
Aparatūras ugunssienas:

Aparatūras ugunssienām tiek atvēlēta atsevišķa iekārta, kura ir paredzēta tikai vienam mērķim - kalpot kā ugunsmūris. Šīm iekārtām parasti ir tikai divas vai vairākas tīkla vadu ieejas/izejas. Nereti aparatūras ugunssienas tiek izmantotas un ir paredzētas arī datu maršrutēšanai, datu apjoma uzskaitei, drošu datu kanālu izveidei starp diviem vai vairākiem pieslēguma punktiem u. tml. Aparatūras ugunssienām daļa datu apstrādes notiek integrēto, programmējamo loģisko shēmu līmenī, pārējais notiek programmatūras līmenī. Šādas aparatūras iegāde un uzturēšana gan prasa lielus izdevumus.

Ugunssienas bieži tiek izmantotas, lai aizliegtu neautorizētu pieeju privātajiem datortīkliem un resursiem tajos (serveriem, darbstacijām u.c.) pieslēgties pie interneta tīkla. Visi dati, ienākot vai izejot no ugunssienas, tiek pārbaudīti atbilstoši attiecīgā datortīkla drošības kritērijiem. Ja dati nesaskan ar datortīkla drošības kritērijiem, ir vairākas iespējas, atkarībā no ugussienas tipa: tos bloķēt; bloķēt un paturēt informāciju par drošības kritēriju pārkāpumu; atļaut; atļaut, bet paturēt informāciju par drošības kritēriju pārkāpumu; noklusējumā (default) paturēt informāciju par kritēriju pārkāpumu.
Ir dažādi atšķirīgi ugunssienu darbības veidi, tomēr to visu galvenais princips - aizliegt nesankcionētu pieeju privātajiem resursiem.

Pakešu filtri

Izplatītākais ugunssienu veids. Tiek izpētīta katra pakete, kas ienāk un iziet cauri ugunssienai. Darbojas pēc katram datortīklam atsevišķi izstrādātiem kritērijiem, ļoti efektīva, ja ir izvēlēti piemēroti kritēriji. Pakešu filtrus savukārt iedala vēl divos paveidos:
- Statiskie pakešu filtri
  
  Datu plūsma tiek pārbaudīta pēc kritērijiem, kuri ir un paliek nemainīgi. Piemēram, tiek aizliegta datu plūsma uz un no adreses a.b.c.d, tiek aizliegta datu plūsma uz noteiktiem TCP(1) datu pārraides protokola portiem. Statiskie pakešu filtri nevar dinamiski atvērt/aizvērt portus, vadoties pēc situācijas - ja visi TCP/citu protokolu porti ir atvērti, uzbrucējs bez lielām pūlēm var ielauzties, taču, ja visi porti ir aizvērti, ugunssiena ir tikai traucēklis tīklā, kas neļauj lietotājiem pilnvērtīgi izmantot resursus, kuri atrodas aiz ugunssienas.
- Dinamiskie pakešu filtri
  
  Atšķirībā no Statiskā pakešu filtra, Dinamiskais pakešu filtrs saglabā informāciju par pašlaik notiekošajām konekcijām/sesijām un atļauj sūtīt datus caur sesijai nepieciešamajiem portiem. Tiklīdz kāda no pusēm pārtrauc sesiju, Dinamiskais pakešu filtrs aizliedz jebkāda veida turpmākās konekcijas uz šo sesijai atvēlēto portu. Pateicoties šādai iespējai saglabāt informāciju par notiekošajām konekcijām, šis filtru veids uztur daudz lielāku tīkla drošību.

Pakešu filtra darbība notiek ISO OSI modeļa Tīkla (Network) slānī (layer) vai attiecīgi TCP/IP modeļa interneta protokola slānī.
Programmatūras ugunssienām ir kopējs interneta protokola slānis ar operētājsistēmu, taču daudzas reizes sarežģītākajām Aparatūras ugunssienām operētājsistēmas interneta protokola slānis ir atdalīts no ugunssienas interneta protokola slāņa, tādejādi aparatūras ugunssienas ir daudz drošākas par Programmatūras ugunssienām.

Pārraides Kontroles Protokola (turpmāk tekstā PKP, - TCP) vārteja:

kontrolē PKP sesijas izveides pieprasījumus, darbojas līdzīgi Dinamiskajam pakešu filtram, taču, ja PKP sesijas izveides pieprasījums ir atļauts (Pakešu filtrs ir atļāvis paketei turpināt ceļu), PKP vārteja pārraksta pieprasījumu izsūtījušo adresi par citu, tā paslēpjot īsto sesijas pieprasītāju. Darbojas līdzīgi Tīkla Adrešu Translācijai (NAT).
PKP vārtejas darbība notiek ISO OSI modeļa Transporta līmenī vai attiecīgi TCP/IP modeļa TCP/UDP protokolu līmenī.

PKP vārteja pārsvarā kalpo privātā tīkla uzbūves vai resursu slēpšanai, PKP vārteja nefiltrē paketes.

Aplikāciju vārteja

Atšķirībā no pakešu filtra Aplikāciju vārteja kalpo kā starpnieks: sesijas pieprasījums tiek apstrādāts, ja tas atbilst noteiktiem kritērijiem, pati vārteja atver sesiju uz pieprasījuma galamērķi un visa turpmākā informācija tiek filtrēta. Ja tiek konstatēti nesankcionēti dati, sesija tiek pārtraukta un, atkarībā no vārtejas programmatūras veida, vārteja paziņo vai nepaziņo lietotājam, ka sesija ir pārtraukta sakarā ar konstatēto pārkāpumu.
Informācijas filtrēšana notiek ISO OSI un TCP/IP modeļu Aplikācijas līmenī.

Aplikāciju vārteja veiks datu satura filtrēšanu tikai aplikācijām, kurām ir uzstādīta atbilstoša Aplikāciju vārteja. Atkarībā no ugunssienas darbības veida, Aplikāciju vārtejas filtrēšana var būt lietotājam redzama vai neredzama. Aplikāciju vārtejas filtrēšanas veids tomēr ir lēnāks par citiem ugunssienu veidiem.

Jaunumi Datu Drošības tehnoloģijas: IT drošības audits Drošs e-pasts Konfidenciālu datu glabāšana Uzbrukumu atklāšanas sistēma (IDS/IPS) Datorsistēmu apsardze Pakalpojumu cenas Datoru apkalpe: Datoru serviss Problēmu diagnostika Datu rezerves kopēšana Pakalpojumu cenas Interneta pakalpojumi: Biznesa Internets Mājas Internets Ātruma pārbaude Drosiba.lv priekšrocības Televīzijas pakalpojumi: Virszemes TV Satelītu TV Interneta TV kabeļu TV Klientiem Vakances Pakalpojumu saraksts Kontakti	Kas ir firewall vai ugunssiena (ugunsmūris)? "Ugunssiena" ir sistēma, kas aizliedz nesankcionētu datu plūsmu uz vai no privātā datortīkla, nepiederošu personu ielaušanos tam nepiederošā datortīklā, kas varētu novest pie konfidenciālu datu zudumiem, informācijas noplūdes vai pakalpojumu atteikumu (Denial of Service) uzbrukumiem. Ugunssienas pēc uzbūves iedalāmas divos veidos: Programmatūras ugunssienās: Uz jau esošas operētājsistēmas (Windows, Linux u.c.) bāzes tiek izvietota programmatūra, kas ar dažādiem paņēmieniem (dažreiz modificējot atbildīgās instances operētājsistēmā par darbību ar datu sūtīšanu) iegūst iespēju kontrolēt atļautās un neatļautās darbības. Aparatūras ugunssienas: Aparatūras ugunssienām tiek atvēlēta atsevišķa iekārta, kura ir paredzēta tikai vienam mērķim - kalpot kā ugunsmūris. Šīm iekārtām parasti ir tikai divas vai vairākas tīkla vadu ieejas/izejas. Nereti aparatūras ugunssienas tiek izmantotas un ir paredzētas arī datu maršrutēšanai, datu apjoma uzskaitei, drošu datu kanālu izveidei starp diviem vai vairākiem pieslēguma punktiem u. tml. Aparatūras ugunssienām daļa datu apstrādes notiek integrēto, programmējamo loģisko shēmu līmenī, pārējais notiek programmatūras līmenī. Šādas aparatūras iegāde un uzturēšana gan prasa lielus izdevumus. Ugunssienas bieži tiek izmantotas, lai aizliegtu neautorizētu pieeju privātajiem datortīkliem un resursiem tajos (serveriem, darbstacijām u.c.) pieslēgties pie interneta tīkla. Visi dati, ienākot vai izejot no ugunssienas, tiek pārbaudīti atbilstoši attiecīgā datortīkla drošības kritērijiem. Ja dati nesaskan ar datortīkla drošības kritērijiem, ir vairākas iespējas, atkarībā no ugussienas tipa: tos bloķēt; bloķēt un paturēt informāciju par drošības kritēriju pārkāpumu; atļaut; atļaut, bet paturēt informāciju par drošības kritēriju pārkāpumu; noklusējumā (default) paturēt informāciju par kritēriju pārkāpumu. Ir dažādi atšķirīgi ugunssienu darbības veidi, tomēr to visu galvenais princips - aizliegt nesankcionētu pieeju privātajiem resursiem. Pakešu filtri Izplatītākais ugunssienu veids. Tiek izpētīta katra pakete, kas ienāk un iziet cauri ugunssienai. Darbojas pēc katram datortīklam atsevišķi izstrādātiem kritērijiem, ļoti efektīva, ja ir izvēlēti piemēroti kritēriji. Pakešu filtrus savukārt iedala vēl divos paveidos: Statiskie pakešu filtri Datu plūsma tiek pārbaudīta pēc kritērijiem, kuri ir un paliek nemainīgi. Piemēram, tiek aizliegta datu plūsma uz un no adreses a.b.c.d, tiek aizliegta datu plūsma uz noteiktiem TCP(1) datu pārraides protokola portiem. Statiskie pakešu filtri nevar dinamiski atvērt/aizvērt portus, vadoties pēc situācijas - ja visi TCP/citu protokolu porti ir atvērti, uzbrucējs bez lielām pūlēm var ielauzties, taču, ja visi porti ir aizvērti, ugunssiena ir tikai traucēklis tīklā, kas neļauj lietotājiem pilnvērtīgi izmantot resursus, kuri atrodas aiz ugunssienas. Dinamiskie pakešu filtri Atšķirībā no Statiskā pakešu filtra, Dinamiskais pakešu filtrs saglabā informāciju par pašlaik notiekošajām konekcijām/sesijām un atļauj sūtīt datus caur sesijai nepieciešamajiem portiem. Tiklīdz kāda no pusēm pārtrauc sesiju, Dinamiskais pakešu filtrs aizliedz jebkāda veida turpmākās konekcijas uz šo sesijai atvēlēto portu. Pateicoties šādai iespējai saglabāt informāciju par notiekošajām konekcijām, šis filtru veids uztur daudz lielāku tīkla drošību. Pakešu filtra darbība notiek ISO OSI modeļa Tīkla (Network) slānī (layer) vai attiecīgi TCP/IP modeļa interneta protokola slānī. Programmatūras ugunssienām ir kopējs interneta protokola slānis ar operētājsistēmu, taču daudzas reizes sarežģītākajām Aparatūras ugunssienām operētājsistēmas interneta protokola slānis ir atdalīts no ugunssienas interneta protokola slāņa, tādejādi aparatūras ugunssienas ir daudz drošākas par Programmatūras ugunssienām. Pārraides Kontroles Protokola (turpmāk tekstā PKP, - TCP) vārteja: kontrolē PKP sesijas izveides pieprasījumus, darbojas līdzīgi Dinamiskajam pakešu filtram, taču, ja PKP sesijas izveides pieprasījums ir atļauts (Pakešu filtrs ir atļāvis paketei turpināt ceļu), PKP vārteja pārraksta pieprasījumu izsūtījušo adresi par citu, tā paslēpjot īsto sesijas pieprasītāju. Darbojas līdzīgi Tīkla Adrešu Translācijai (NAT). PKP vārtejas darbība notiek ISO OSI modeļa Transporta līmenī vai attiecīgi TCP/IP modeļa TCP/UDP protokolu līmenī. PKP vārteja pārsvarā kalpo privātā tīkla uzbūves vai resursu slēpšanai, PKP vārteja nefiltrē paketes. Aplikāciju vārteja Atšķirībā no pakešu filtra Aplikāciju vārteja kalpo kā starpnieks: sesijas pieprasījums tiek apstrādāts, ja tas atbilst noteiktiem kritērijiem, pati vārteja atver sesiju uz pieprasījuma galamērķi un visa turpmākā informācija tiek filtrēta. Ja tiek konstatēti nesankcionēti dati, sesija tiek pārtraukta un, atkarībā no vārtejas programmatūras veida, vārteja paziņo vai nepaziņo lietotājam, ka sesija ir pārtraukta sakarā ar konstatēto pārkāpumu. Informācijas filtrēšana notiek ISO OSI un TCP/IP modeļu Aplikācijas līmenī. Aplikāciju vārteja veiks datu satura filtrēšanu tikai aplikācijām, kurām ir uzstādīta atbilstoša Aplikāciju vārteja. Atkarībā no ugunssienas darbības veida, Aplikāciju vārtejas filtrēšana var būt lietotājam redzama vai neredzama. Aplikāciju vārtejas filtrēšanas veids tomēr ir lēnāks par citiem ugunssienu veidiem.
(c) 2000.—2012. Datu Drošība Tālr: 67620176, Fakss: 67620177, datudrosiba.lv

Kas ir firewall vai ugunssiena (ugunsmūris)?

Programmatūras ugunssienās:

Aparatūras ugunssienas:

Pakešu filtri

Statiskie pakešu filtri

Dinamiskie pakešu filtri

Pārraides Kontroles Protokola (turpmāk tekstā PKP, - TCP) vārteja:

Aplikāciju vārteja