[Uneex] вопрос по фаерволлу
Vladimir Ivanov
ivlad на unixgods.net
Вт Фев 3 12:48:42 MSK 2004
On Mon, Feb 02, 2004 at 10:20:22AM +0300, Sergey Gladilin wrote:
> Я слышал, что Cisco PIX - это application level firewall, т.е. он
> разрывает соединения и открывает с другой стороны новые "от себя",
> как прозрачный прокси, но делает это не только для HTTP, а для кучи
> протоколов. Соответсвенно, интересно понять:
Он и для HTTP/FTP это делает только с помошью Cache Engine, AFAIK.
> - тип протокола он распознает по номеру порта или по содержимому
> данных? соответственно, как он относится к сервисам на
> нестандартных портах?
- по номеру порта
- fixup,
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278b.html
>
> - насколько такой подход к построению firewall имеет смысл? Зачем
> это нужно? Действительно ли уровень безопасности повышается?
- это лучше, чем ничего или чем просто фильтрация портов
- потому что тяжело написать прокси для всех мыслимых протоколов,
учитывая, что многие из них вообще не подразумевают проксирования
- определи "уровень безопасности" пожалуйста
>
> - можно ли реализовать то же самое на UN*X (с применением open
> source software, разумеется)?
- можно
>
> И еще - при чтении рекламы аппаратных firewall все время попадаются
> слова, что он защищает от кучи известных сетевых атак. Это реклама
> или для защиты от каких-то атак правда нужно какое-то
> специализированное под вид атаки программное обеспечение? Как с
> этим в UN*X?
- естественно, для защиты от определенного вида атаки, необходимы
определенные аппраратно-программые средства, в чем вопрос? ;)
- в UNIX с этим хорошо. Без этого - плохо.
--
Vladimir Ivanov
PGP fingerprint: E82A 17D6 1DD4 9E08 66DD ADA7 59C6 A25B AC40 0D02
Подробная информация о списке рассылки Uneex