[Uneex] вопрос по фаерволлу

Vladimir Ivanov ivlad на unixgods.net
Вт Фев 3 12:48:42 MSK 2004


On Mon, Feb 02, 2004 at 10:20:22AM +0300, Sergey Gladilin wrote:

>   Я слышал, что Cisco PIX - это application level firewall, т.е. он
>   разрывает соединения и открывает с другой стороны новые "от себя",
>   как прозрачный прокси, но делает это не только для HTTP, а для кучи
>   протоколов. Соответсвенно, интересно понять:

Он и для HTTP/FTP это делает только с помошью Cache Engine, AFAIK.

>    - тип протокола он распознает по номеру порта или по содержимому
>    данных? соответственно, как он относится к сервисам на
>    нестандартных портах?

- по номеру порта
- fixup,
  http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008017278b.html

>    
>    - насколько такой подход к построению firewall имеет смысл? Зачем
>    это нужно? Действительно ли уровень безопасности повышается?

- это лучше, чем ничего или чем просто фильтрация портов
- потому что тяжело написать прокси для всех мыслимых протоколов,
  учитывая, что многие из них вообще не подразумевают проксирования
- определи "уровень безопасности" пожалуйста

>    
>    - можно ли реализовать то же самое на UN*X (с применением open
>    source software, разумеется)?

- можно

> 
>    И еще - при чтении рекламы аппаратных firewall все время попадаются
>    слова, что он защищает от кучи известных сетевых атак. Это реклама
>    или для защиты от каких-то атак правда нужно какое-то
>    специализированное под вид атаки программное обеспечение? Как с
>    этим в UN*X?

- естественно, для защиты от определенного вида атаки, необходимы
  определенные аппраратно-программые средства, в чем вопрос? ;)
- в UNIX с этим хорошо. Без этого - плохо.

-- 
Vladimir Ivanov
PGP fingerprint: E82A 17D6 1DD4 9E08 66DD ADA7 59C6 A25B AC40 0D02


Подробная информация о списке рассылки Uneex