Сравнительные характеристики
Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов
прикладного уровня относительно друг друга.
К положительным качествам пакетных фильтров следует отнести следующие:
относительно невысокая стоимость
гибкость в определении правил фильтрации
небольшая задержка при прохождении пакетов
Недостатки у данного типа брандмауэров следующие :
локальная сеть видна ( маршрутизируется ) из INTERNET
правила фильтрации пакетов трудны в описании, требуются очень хорошие знания
технологий TCP и UDP
при нарушении работоспособности брандмауэра все компьютеры за ним становятся
полностью незащищенными либо недоступными
аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга
(атакующая система выдает себя за другую, используя ее IP-адрес)
отсутствует аутентификация на пользовательском уровне
К преимуществам серверов прикладного уровня следует отнести
следующие:
локальная сеть невидима из INTERNET
при нарушении работоспособности брандмауэра пакеты перестают
проходить через брандмауэр, тем самым не возникает угрозы
для защищаемых им машин
защита на уровне приложений позволяет осуществлять большое количество дополнительных
проверок, снижая тем самым вероятность взлома с использованием дыр в программном
обеспечении
аутентификация на пользовательском уровне
может быть реализована система немедленного
предупреждения о попытке взлома.
Недостатками этого типа являются:
более высокая, чем для пакетных фильтров стоимость;
невозможность использовании протоколов RPC и UDP;
производительность ниже, чем для пакетных фильтров.
Содержание раздела
