какое сетевое устройство можно использовать для предотвращения конфликтов в сети ethernet
Физика Ethernet для самых маленьких
Если не знаешь ответов на эти вопросы, а читать стандарты и серьезную литературу по теме лень — прошу под кат.
Кто-то считает, что это очевидные вещи, другие скажут, что скучная и ненужная теория. Тем не менее на собеседованиях периодически можно услышать подобные вопросы. Мое мнение: о том, о чем ниже пойдет речь, нужно знать всем, кому приходится брать в руки «обжимку» 8P8C (этот разъем обычно ошибочно называют RJ-45). На академическую глубину не претендую, воздержусь от формул и таблиц, так же за бортом оставим линейное кодирование. Речь пойдет в основном о медных проводах, не об оптике, т.к. они шире распространены в быту.
Технология Ethernet описывает сразу два нижних уровня модели OSI. Физический и канальный. Дальше будем говорить только о физическом, т.е. о том, как передаются биты между двумя соседними устройствами.
Технология Ethernet — часть богатого наследия исследовательского центра Xerox PARC. Ранние версии Ethernet использовали в качестве среды передачи коаксиальный кабель, но со временем он был полностью вытеснен оптоволокном и витой парой. Однако важно понимать, что применение коаксиального кабеля во многом определило принципы работы Ethernet. Дело в том, что коаксиальный кабель — разделяемая среда передачи. Важная особенность разделяемой среды: ее могут использовать одновременно несколько интерфейсов, но передавать в каждый момент времени должен только один. С помощью коаксиального кабеля можно соединит не только 2 компьютера между собой, но и более двух, без применения активного оборудования. Такая топология называется шина. Однако если хотябы два узла на одной шине начнут одновременно передавать информацию, то их сигналы наложатся друг на друга и приемники других узлов ничего не разберут. Такая ситуация называется коллизией, а часть сети, узлы в которой конкурируют за общую среду передачи — доменом коллизий. Для того чтоб распознать коллизию, передающий узел постоянно наблюдает за сигналов в среде и если собственный передаваемый сигнал отличается от наблюдаемого — фиксируется коллизия. В этом случае все узлы перестают передавать и возобновляют передачу через случайный промежуток времени.
Диаметр коллизионного домена и минимальный размер кадра
Теперь давайте представим, что будет, если в сети, изображенной на рисунке, узлы A и С одновременно начнут передачу, но успеют ее закончить раньше, чем примут сигнал друг друга. Это возможно, при достаточно коротком передаваемом сообщении и достаточно длинном кабеле, ведь как нам известно из школьной программы, скорость распространения любых сигналов в лучшем случае составляет C=3*10 8 м/с. Т.к. каждый из передающих узлов примет встречный сигнал только после того, как уже закончит передавать свое сообщение — факт того, что произошла коллизия не будет установлен ни одним из них, а значит повторной передачи кадров не будет. Зато узел B на входе получит сумму сигналов и не сможет корректно принять ни один из них. Для того, чтоб такой ситуации не произошло необходимо ограничить размер домена коллизий и минимальный размер кадра. Не трудно догадаться, что эти величины прямо пропорциональны друг другу. В случае же если объем передаваемой информации не дотягивает до минимального кадра, то его увеличивают за счет специального поля pad, название которого можно перевести как заполнитель.
Таким образом чем больше потенциальный размер сегмента сети, тем больше накладных расходов уходит на передачу порций данных маленького размера. Разработчикам технологии Ethernet пришлось искать золотую середину между двумя этими параметрами, и минимальным размером кадра была установлена величина 64 байта.
Витая пара и дуплексный режим рабты
Витая пара в качестве среды передачи отличается от коаксиального кабеля тем, что может соединять только два узла и использует разделенные среды для передачи информации в разных направлениях. Одна пара используется для передачи (1,2 контакты, как правило оранжевый и бело-оранжевый провода) и одна пара для приема (3,6 контакты, как правило зеленый и бело-зеленый провода). На активном сетевом оборудовании наоборот. Не трудно заметить, что пропущена центральная пара контактов: 4, 5. Эту пару специально оставили свободной, если в ту же розетку вставить RJ11, то он займет как раз свободные контакты. Таким образом можно использовать один кабели и одну розетку, для LAN и, например, телефона. Пары в кабеле выбраны таким образом, чтоб свести к минимуму взаимное влияние сигналов друг на друга и улучшить качество связи. Провода одной пару свиты между собой для того, чтоб влияние внешних помех на оба провода в паре было примерно одинаковым.
Для соединения двух однотипных устройств, к примеру двух компьютеров, используется так называемый кроссовер-кабель(crossover), в котором одна пара соединяет контакты 1,2 одной стороны и 3,6 другой, а вторая наоборот: 3,6 контакты одной стороны и 1,2 другой. Это нужно для того, чтоб соединить приемник с передатчиком, если использовать прямой кабель, то получится приемник-приемник, передатчик-передатчик. Хотя сейчас это имеет значение только если работать с каким-то архаичным оборудованием, т.к. почти всё современное оборудование поддерживает Auto-MDIX — технология позволяющая интерфейсу автоматически определять на какой паре прием, а на какой передача.
Возникает вопрос: откуда берется ограничение на длину сегмента у Ethernet по витой паре, если нет разделяемой среды? Всё дело в том, первые сети построенные на витой паре использовали концентраторы. Концентратор (иначе говоря многовходовый повторитель) — устройство имеющее несколько портов Ethernet и транслирующее полученный пакет во все порты кроме того, с которого этот пакет пришел. Таким образом если концентратор начинал принимать сигналы сразу с двух портов, то он не знал, что транслировать в остальные порты, это была коллизия. То же касалось и первых Ethernet-сетей использующих оптику (10Base-FL).
Зачем же тогда использовать 4х-парный кабель, если из 4х пар используются только две? Резонный вопрос, и вот несколько причин для того, чтобы делать это:
Не смотря на это на практике часто используют 2х-парный кабель, подключают сразу 2 компьютера по одному 4х-парному, либо используют свободные пары для подключения телефона.
Gigabit Ethernet
В отличии от своих предшественников Gigabit Ethernet всегда использует для передачи одновременно все 4 пары. Причем сразу в двух направлениях. Кроме того информация кодируется не двумя уровнями как обычно (0 и 1), а четырьмя (00,01,10,11). Т.е. уровень напряжения в каждый конкретный момент кодирует не один, а сразу два бита. Это сделано для того, чтоб снизить частоту модуляции с 250 МГц до 125 МГц. Кроме того добавлен пятый уровень, для создания избыточности кода. Он делает возможной коррекцию ошибок на приеме. Такой вид кодирования называется пятиуровневым импульсно-амплитудным кодированием (PAM-5). Кроме того, для того, чтоб использовать все пары одновременно для приема и передачи сетевой адаптер вычитает из общего сигнала собственный переданный сигнал, чтоб получить сигнал переданный другой стороной. Таким образом реализуется полнодуплексный режим по одному каналу.
Дальше — больше
10 Gigabit Ethernet уже во всю используется провайдерами, но в SOHO сегменте не применяется, т.к. судя по всему там вполне хватает Gigabit Ethernet. 10GBE качестве среды распространения использует одно- и многомодовое волокно, с или без уплотнением по длине волны, медные кабели с разъемом InfiniBand а так же витую пару в стандарте 10GBASE-T или IEEE 802.3an-2006.
40-гигабитный Ethernet (или 40GbE) и 100-гигабитный Ethernet (или 100GbE). Разработка этих стандартов была закончена в июле 2010 года. В настоящий момент ведущие производители сетевого оборудования, такие как Cisco, Juniper Networks и Huawei уже заняты разработкой и выпуском первых маршрутизаторов поддерживающих эти технологии.
В заключении стоит упомянуть о перспективной технологии Terabit Ethernet. Боб Меткалф, создатель предположил, что технология будет разработана к 2015 году, и так же сказал:
Чтобы реализовать Ethernet 1 ТБит/с, необходимо преодолеть множество ограничений, включая 1550-нанометровые лазеры и модуляцию с частотой 15 ГГц. Для будущей сети нужны новые схемы модуляции, а также новое оптоволокно, новые лазеры, в общем, все новое
UPD: Спасибо хабраюзеру Nickel3000, что подсказал, про то что разъем, который я всю жизнь называл RJ45 на самом деле 8P8C.
UPD2:: Спасибо пользователю Wott, что объяснил, почему используются контакты 1,2,3 и 6.
Что роняет Ethernet-сеть
Являясь относительно простым, протокол Ethernet позволяет снизить стоимость сетевого оборудования и одновременно обладает достаточной гибкостью, постоянно развиваясь и удовлетворяя требованиям современных сетевых приложений. Однако неправильно выбранное на этапе проектирования оборудование или архитектура будут неспособны удовлетворить поставленным задачам, а легкомысленный подход к настройке коммутаторов может привести к полному отказу сети. Очевидно, что при построении систем безопасности это совершенно неприемлемо.
Общие проблемы
Для начала рассмотрим общие проблемы построения Ethernet-сетей, о которых должен знать каждый. Атакже способы избежать их.
Для решения применяем всем известную технологию VLAN. Разделение сети на VLAN особенно необходимо в тех сетях, где присутствует трафик систем безопасности. Это не только значительно снижает риск несанкционированного доступа к оборудованию, но и предотвращает нежелательное распространение широковещательных пакетов или трафика multicast. Если системы безопасности подключены к коммутаторам локальной сети предприятия, то отсутствие VLAN (плоская сеть) фактически позволит любым пользователям получать потоки видео с камер наблюдения или прослушивать сообщения по громкоговорящей спецсвязи.
Разбиение сети на VLAN должно быть тщательно продумано еще на этапе проектирования Какие конкретно узлы следует изолировать друг от друга и каким образом будет осуществляться обмен трафика между ними, решается отдельно для каждого конкретного случая.
Широковещательный шторм
Проблема возникновения широковещательного шторма известна практически любому сетевому инженеру или системному администратору. Суть ее заключается в том, что в сети распространяется огромное количество широковещательных (или multicast) пакетов, перегружающих каналы и ресурсы сетевого оборудования, что в итоге приводит к сбою в работе сети. Чаще всего причиной шторма является коммутационная петля, которая может быть организована случайно или злонамеренно. В более редких случаях причиной может являться неисправное или неправильно настроенное оборудование, подключаемое к сети.
Эффективная проработка архитектуры сети на стадии проектирования позволит избежать возникновения широковещательного шторма Можно использовать совместно настройки VLAN, STP и Broadcast Storm Control:
Настройки STP
Существует заблуждение, что STP сам по себе достаточен для того, чтобы избежать возникновения шторма. Рассмотрим простой пример (рис. 1).
Предположим, к нашей сети подключается сеть сторонней организации, которая состоит из нескольких простейших неуправляемых коммутаторов. Как только в такой сети возникнет коммутационная петля, широковещательный шторм будет беспрепятственно попадать в нашу сеть. Даже несмотря на то что у нас применяется STP, эта петля не будет обнаружена нашими коммутаторами, поскольку используется только одно соединение между сетями. STP блокирует трафик только тогда, когда будет обнаружен альтернативный путь прохождения кадров через разные порты. Соответственно в таких случаях обязательно нужно использовать Broadcast Storm Control.
Рассмотрим простейшую схему: 2 хоста обмениваются друг с другом трафиком через 2 коммутатора, включенных последовательно. Оба хоста имеют скорость подключения к коммутаторам 1 Гбит/с. Между коммутаторами используется агрегированный канал из двух соединений 100 Мбит/с. Предположим, один хост пытается передать другому данные с максимальной скоростью. Максимальная пропускная способность агрегированного канала между коммутаторами при этом все равно не будет превышать 100 Мбит/с, поскольку трафик будет передаваться только через одно из физических соединений. При детальном изучении принципа работы данной технологии можно увидеть, что распределение трафика между физическими каналами происходит статически и зависит от IP- и МАС-адресов в заголовках передаваемых пакетов. То есть для каждой пары хостов трафик всегда будет передаваться только через один из каналов. Этот факт нужно обязательно учитывать при проектировании сетей.
Согласование скорости и дуплекса
Часто при подключении сетевых устройств по витой паре специалисты вручную устанавливают режимы скорости и дуплекса на портах, будучи уверенными, что «так будет лучше» Такой подход действительно был актуален более десяти лет назад, когда после появления технологии автоматического согласования (Auto Negotiation) сетевое оборудование разных производителей часто не могло «договориться» между собой, в результате чего производительность сети резко снижалась, и администраторы сети действительно были вынуждены устанавливать скорость и дуплекс вручную. Сейчас такой подход, скорее, является еще одним заблуждением, поскольку со временем технология автоматического согласования претерпела изменения, и производители сетевого оборудования уже давно придерживаются единого стандарта. На сегодня с этим может быть связана распространенная проблема: когда на порту оборудования скорость и дуплекс настроены вручную, а на другом конце канала оборудование использует автоматическое согласование, может наблюдаться снижение скорости передаваемого трафика, сопровождаемое потерями кадров. Это связано с тем, что если порт, на котором настроено автоматическое согласование, не получает информации о режимах скорости и дуплекса от своего «соседа», то он самостоятельно сможет определить скорость передачи, но при этом всегда будет использовать полудуплексный режим. Соответственно, если с противоположной стороны вручную установлен полнодуплексный режим, то на данном соединении постоянно будут возникать коллизии, приводящие к потере скорости передачи данных. Так что, если в сети используется относительно новое оборудование, лучше оставить автоматическое согласование, которое, как правило, настроено по умолчанию, и успешно работает.
Проблемы передачи multicast
IP multicast является одной из ключевых технологий при построении сетей для систем безопасности. При этом необходимость использования multicast накладывает дополнительные требования к архитектуре сети в целом, поскольку используются специальные протоколы, а оборудование должно обладать соответствующей функциональностью. Рассмотрим далее особенности, которые следует учитывать при использовании IP multicast в сетях Ethernet, и какие проблемы могут быть сними связаны.
Адресация
По аналогии с IP-протоколом, кадры Ethernet определяются как multicast по МАС-адресу назначения, указанному в заголовке. Причем МАС-адрес формируется в соответствии с используемым IP-адресом multicast, и здесь важно помнить, что из IP-адреса в МАС-адрес копируется только часть битов. В результате каждому МАС-адресу формата multicast соответствуют 32 адреса IP multicast, и при использовании нескольких потоков с разными IP-адресами и единым для них МАС-адресом может возникнуть ситуация, когда сетевое оборудование, принимающее хотя бы один из потоков, будет вынуждено также производить обработку пакетов и для остальных потоков, которые к нему попадают.
IGMP snooping
Практически во всех современных моделях управляемых коммутаторов Ethernet есть возможность контролировать распространение потоков multicast с помощью функции отслеживания пакетов IGMP (IGMP snooping). В этом случае коммутатор отслеживает передаваемые хостами и маршрутизаторами внутри сети пакеты IGMP и отправляет потоки для каждой из групп multicast только в те порты, через которые были получены соответствующие запросы IGMP report от хостов или пакеты IGMP query от маршрутизаторов.
Но с использованием IGMP snooping также может быть связана распространенная проблема. Предположим, что источники и приемники потоков multicast находятся в одном широковещательном домене (VLAN) и соединены через цепочку коммутаторов с включенным IGMP snooping. Если в этом домене отсутствует маршрутизатор, который рассылал бы пакеты IGMP query, то на портах, через которые коммутаторы соединены между собой, передача потоков будет блокироваться. Для решения этой проблемы на коммутаторах существует настройка IGMP querier, которая позволяет коммутаторам самим рассылать пакеты IGMP query и таким образом разблокировать порты для передачи потоков (рис. 2).
Сеть системы безопасности должна быть безопасной!
Как и любые другие широко используемые стандартные протоколы, Ethernet предоставляет злоумышленникам множество способов реализовать свои коварные планы. Инженеры, проектирующие сеть для систем безопасности, должны уделить особое внимание тому, чтобы и сетевое оборудование, и оборудование самих систем безопасности было защищено от сетевых вторжений. Для этого в коммутаторах производители предусматривают различные возможности по защите от несанкционированного доступа и перехвата данных. Отметим наиболее часто используемые функции обеспечения сетевой безопасности в коммутаторах Ethernet.
Еще одной мерой по защите от сетевых угроз является привязка IP-адреса к МАС-адресу, а также отслеживание нелегитимных пакетов протоколов ARP (ARP inspection) и DHCP (DHCP snooping). Данные настройки позволят предотвратить подмену МАС-адреса в пакетах ARP и DHCP внутри сети и таким образом защититься от перехвата данных злоумышленником.
Выбор оборудования
Наличие разнообразных функций и настроек зависит от конкретных моделей коммутаторов, поэтому при выборе оборудования следует внимательно изучить их возможности.
Кроме перечисленных функций следует уделить внимание возможностям QoS для маркировки и приоритезации кадров. Это особенно важно в сетях систем безопасности, поскольку перегрузка каналов не будет влиять на потоки реального времени и другой приоритетный трафик. Следует также внимательно изучить показатели производительности и ресурсов коммутаторов. Например, обладая достаточной функциональностью, выбранная модель коммутатора может при этом не поддерживать необходимое количество VLAN. Кроме того, нужно учитывать и общую пропускную способность коммутатора, которая на недорогих моделях может быть значительно меньше суммарной максимальной пропускной способности всех портов.
Урок 7. Сетевые устройства
В сети работают множество устройств. Каждое устройство выполняет определенное действие и работает на определенном уровне модели OSI.
Работает на физическом уровне, служит только в качестве усилителя сигнала. Никакой анализ заголовков не проводится. Хаб состоит из нескольких портов, обычно не более 8.
Хабы используются только в локальной сети и соединят в одну сеть несколько компьютеров.
Принцип работы основан на том, что при поступлении кадра на один из портов происходит усиление сигнала кадра и последующая передача данного кадра на все оставшиеся порты
То есть хабы не анализируют принятые и передаваемые данные, а просто копируют принятый кадр и передают данные копии на всех имеющиеся порты.
Благодаря данному принципу работы хаб осуществляет передачу данных в полудуплексном режиме (half-duplex).
Что это означает полудуплексный режим?
Это значит, что 2 и более узлов не могут одновременно передавать данные. Только один узел передает в определенный момент времени, в то время как остальные только слушают и принимают данные.
В настоящее время хабы практически не используются.
Работает на канальном уровне, однако существуют модели, которые работают и на сетевом уровне, то есть работают в качестве маршрутизатора. Такие коммутаторы называются L3 Switch.
Помимо усиления сигнала коммутатор анализирует заголовок кадра и перенаправляет кадры определенным хостам на основе адреса канального уровня, то есть устройство знает к какому порту подключено то или иное устройство и не отправляет кадры на все порты, как это делает хаб.
Ниже представленные рисунки иллюстрируют принцип работы коммутаторов.
Но как коммутатор может знать какое устройство подключено к его портам?
Коммутатор содержит таблицу адресов и периодически ее обновляет. Вот как выглядит таблица коммутации (Cam table)
Могут ли хосты, подключенные к коммутатору одновременно передавать и принимать данные?
Конечно, коммутаторы практически предоставляют выделенный канал для каждого хоста, то есть они работают в полнодуплексном режиме (full-duplex).
В чем отличие моста от коммутатора?
Коммутаторы обладают и другими полезными особенностями. Они способны проверить поступивший кадр на наличие ошибок, обеспечивают безопасность сети на уровне порта. То есть, если к нему подключить не авторизованное устройство, например, ноутбук, злоумышленника, то коммутатор сможет это определить и отключить порт.
Коммутаторы используются в локальной сети и объединяют в одну сеть компьютеры, принтеры, серверы и другие устройства.
Маршрутизатор работает на сетевом уровне и оперирует IP адресами. Он способен перенаправлять пакеты через сотни сетевых устройств, находящиеся в разных частях света.
То есть маршрутизаторы знают где в сети может находится определенный хост?
Нет, маршрутизаторы этого знать не могут. Они используют IP адреса самой сети для маршрутизации, потому что с ними легче работать, чем с адресами хостов.
Маршрутизаторы используются как в локальных, так и в глобальных сетях.
Принцип работы заключается в следующем. Каждый маршрутизатор содержит таблицу маршрутизации, в которой хранятся записи об адресах сетей (не хостов) и локальных портах, через которые нужно перенаправить пакеты, чтобы они достигли своего адресата. После того, как пакет передан через локальный порт другому маршрутизатору, текущего маршрутизатора больше не заботит судьба переданного пакета. Маршрут пакетов может проходить через десятки маршрутизаторов и каждый маршрутизатор выполняет одни и те же действия, то есть проверяет таблицу маршрутизации и если адрес получателя присутствует в таблице, то передает пакеты через определенный локальный порт. И так до тех пор, пока пакет не достигнет конечного маршрутизатора.
А что произойдет, если в маршрутизаторе нет записи об адресе получателя, то есть он не знает куда отправить пакет?
Тогда пакет будет уничтожен, а маршрутизатор cгенерирует ICMP сообщение Сеть недостижима (Destination net unreachable) и отправит его отправителю пакета.
Вот как выглядит упрощенный алгоритм работы маршрутизатора
А откуда берется сама таблица маршрутизации?
Работает на сетевом, транспортном и прикладном уровнях. Основные его функции разрешить или заблокировать входящий/исходящий трафик на основе адресов получателя/отправителя и портов TCP/UDP, то есть фильтрация трафика.
Фаерволы (иначе сетевые экраны или пакетные фильтры) работают в локальных сетях и устанавливаются сразу после граничного маршрутизатора, который напрямую подключен к провайдеру/интернету. Такой тип фаервола называется сетевым (Network-based Firewall).
Однако сетевые экраны можно установить и на компьютере. В данном случае имеет место программная разработка. Такие фильтры называются хостовые экраны или брандмауэры (Host-based Firewall).
Фаерволы по сути являются заслоном между локальной и глобальной сетями, препятствуя проникновению в локальную сеть нежелательного трафика
Межсетевые фильтры блокируют/пропускают трафик на основе явно задаваемых правил:
Например, рассмотрим 2 правила.
1) заблокировать входящий Telnet трафик с сервера 20.134.35.90
2) разрешить любой входящий HTTP трафик с любого сервера
Вот как будет выглядеть первое правило:
deny tcp host 20.134.35.90 any eq telnet
А так выглядит второе правило
accept tcp any any eq http
То есть за основу блокирования или разрешения трафика берутся следующие данные с IP и TCP/UDP заголовков:
— IP адрес получателя
— IP адрес отправителя
— порт получателя
— порт отправителя
Таких правил можно написать десятки и сотни.
Существуют 3 типа фаерволов:
— с сохранением состояния (stateful firewall)
— без сохранения состояния (stateless firewall)
— с инспекцией передаваемой полезной нагрузки
Рассмотрим сначала фаервол с сохранением состояния. Представим себе фаервол, который блокирует весь входящий трафик.
Как же пользователи смогут работать в интернете, если фаервол блокирует весь входящий трафик?
Исходящий трафик не блокируется, поэтому пользователь инициирует соединение. Фаервол запоминает, что это внутренний пользователь инициировал соединение, а не удаленный сайт в интернете. Он также знает адрес удаленного сайта, порт и протокол, на котором и осуществляется сеанс связи. Поэтому когда от удаленного сайта поступает ответ на запрос соединения, то фаервол пропускает входящие трафик. Фаервол следит за всем процессом сессии, включая и завершение сеанса связи. После завершения соединения удаленный сайт уже не сможет “пробиться” через фаервол.
Подобные фаерволы анализируют и контрольные биты TCP, которые используются при установлении и завершении соединений.
Фаервол заносит информацию о запросе, а именно:
— адрес отправителя
— адрес получателя
— порт получателя
— порт отправителя
— время отправки пакета
— состояние соединения, в данном случае по биту SYN делает вывод, что это начало 3-х этапного квитирования.
Исходя из этого фаервол ожидает от сервера www.mysite.com пакет с установленными битами SYN/ACK. Пакеты с любыми другими комбинациями битов (кроме RST) фаервол будет блокировать.
После получения этих пакетов фаервол обновит свою таблицу. Работает такой фаервол на сетевом и транспортном уровнях.
Фаервол без сохранения состояния не запоминает кто (внутренний или внешний узлы) устанавливает соединение и вообще не следит за всем процессом сеанса связи. Поэтому, если весь входящий трафик блокируется, то пользователи не смогут получить доступ в интернет и вообще нормально работать.
Поэтому в данном случае лучше явно задавать необходимые правила, чтобы все пользователи имели доступ в интернет.
Работает такой фаервол также на сетевом и транспортном уровнях.
Фаервол на прикладном уровне анализирует тип трафика и передаваемых данных. Поэтому такой тип является наиболее гибким.
Работает на прикладном уровне и используется для фильтрации веб-трафика. Помимо фильтрации веб-трафика поддерживает функции фаервола и преобразования сетевых адресов NAT (Network Address Translation). Фаервол в данном случае называется WAF (Web Application Firewall).
Принцип работы заключается в следующем
Кроме того, прокси способен блокировать запросы на подозрительные сайты, которые могут навредить компьютеру пользователя.
Прокси-серверы могут устанавливаться как в локальной, так и в глобальной сетях. Глобальные прокси-серверы нередко используют, когда хотят скрыть свой адрес при посещении закрытого ресурса. Часто их используют офисные работники для обхода корпоративного фаервола, когда хотят посетить заблокированный системным администратором сайт, например Facebook, ВКонтакте или Youtube.
Оба устройства являются сетевым фильтром и работают на прикладном уровне. Устройства способны заглянуть внутрь передаваемых данных и на основе шаблонов сетевых атак (сигнатур) смогут информировать об атаке и даже заблокировать ее.
То есть по сути, данное устройство ищет аномалии в принимаемом и передающем трафике по заранее заданным критериям и условиям. Без явного указания шаблонов или сигнатур аномального трафика IDS/IPS не способно фильтровать трафик.
В чем же отличие фаерволов от IDS/IPS?
Чтобы понять различия, проведем некоторую аналогию с face control на входе в роскошный клуб.
Среди гостей могут быть люди с неадекватным поведением, например, пьяные, буйные. Второй охранник следит за поведением людей и если ему покажется, что их поведение не соответствует нормам клуба, то он может предупредить полицию или выставит их за дверь. Здесь прослеживается аналогия с сигнатурами IDS/IPS.
IDS/IPS устанавливаются сразу после фаервола. Для всех сетевых устройств IDS/IPS являются невидимыми, так как не маршрутизирует и не коммутирует трафик, не уменьшает TTL.
Большой популярностью служат SNORT IDS/IPS. SNORT является специальным языком, с помощью которого пишут сигнатуры. Он является абсолютно бесплатным и поэтому любой сможет настроить свою IDS/IPS на основе SNORT.
В настоящее время граница между фаерволами и системами обнаружения вторжений постепенно стирается, так как появляются фаерволы с функциями IDS/IPS.
Итак, подведем итоги по основным устройствам сети: