5 Firewall 151118192437 Lva1 App6892

Gerncia de Redes de
Computadores
- Firewalls -
Prof. Andr Peres

andre.peres@poa.ifrs.edu.br
Sobre este material
Vdeos da apresentao em:
https://www.youtube.com/watch?v=31OJvytBtsQ&feature=youtu.be
Este trabalho est licenciado sob uma Licena Creative Commons

Atribuio-NoComercial-SemDerivaes 4.0 Internacional. Para ver uma
cpia desta licena, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.
Firewalls
Arquitetura (HW e SW)

Objetivo:
Criao de permetro de segurana (barreira)
Anlise dos dados de cabealhos e PDU
Restrio ou liberao de trfego
Permite controlar a exposio de uma rede ou host
na rede
Tipos:
Firewalls de host internos ao servidor/estao
Firewalls de rede entre duas subredes
Firewalls
Objetivo:
Firewall de Rede Barreira lgica entre redes
Firewall de Host Barreira lgica entre host e rede

Firewalls
Objetivo:
Firewall de Rede Barreira lgica entre redes
Serve a todas as estaes
Controle centralizado por dados de cabealhos
Permetro lgico da rede
Firewall de Host Barreira lgica entre host e rede

Serve a um host
Controle por processo/dados de cabealho
Firewalls
Objetivo:
O termo firewall identifica uma estrutura, que pode
ser formada por diversos elementos:
Filtros de pacotes (layer 4)

Proxy de aplicaes (layer 7)
Esta estrutura deve ser aplicada de acordo com a

necessidade da rede
Firewalls
Filtro de pacotes:
Regras para o trfego
Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ao
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
UDP 0.0.0.0/0 53 10.1.0.0/24 * Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
TCP 0.0.0.0/0 80 10.1.0.0/24 * Permite
* * * * * Nega
Firewalls
Filtro de pacotes:
Stateless:
considera cada pacote de maneira independente
no existe correlacionamento de pacotes
viso antiga de filtros de pacotes
no aconselhvel seu uso !
Stateful:
correlaciona pacotes (aps um SYN SYN/ACK )
permite liberao apenas do primeiro pacote de uma
comunicao (TCP, UDP, ICMP, ...)
deve ser explicitamente configurado
Firewalls
Filtro de pacotes:
Regras para o trfego stateful
Exemplo
protocolo IP origem Porta Origem Ip Destino Porta Destino Ao
UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite
TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite
* * * * * Nega
Firewalls
Filtro de pacotes:
Exemplo de implementao: Arquitetura Netfilter do linux
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
Motivo de tantos conjuntos de regras:
organizao
cada grupo de regras responsvel por uma funo
especfica no filtro de pacotes
FILTER filtragem de pacotes

INPUT, FORWARD, OUTPUT
NAT redirecionamento (SNAT e DNAT)

PREROUTING e POSTROUTING
Firewalls
Filtro de pacotes:
Firewalls
Filtro de pacotes:
PREROUTING: Altera o endereo IP destino de um pacote
POSTROUTING: Altera o endereo IP origem de um pacote
INPUT: Filtra os pacotes que podem entrar no servidor local
OUTPUT: Filtra os pacotes que podem sair do servidor local
FORWARD: Filtra os pacotes que podem entrar e/ou sair

entre as redes
Firewalls
Exemplo de Filtro de Pacotes

Firewalls
Exemplo de Filtro de Pacotes

Firewalls
Proxy:
Servidor de aplicao intermedirio
Cliente se conecta ao proxy proxy se conecta ao servidor
Permite:
cache de dados para a rede
adaptao de dados de aplicao
anlise de dados para filtragem
Firewalls
Proxy:
cada protocolo de aplicao possui um proxy especfico
ex:
HTTP
FTP
SMTP (anti-spam)
Jogos
...
Firewalls
Proxy HTTP:
usurio especifica o endereo do proxy HTTP no navegador
navegador se conecta ao proxy e envia requisio HTTP
o proxy HTTP:
realiza cache global de objetos para todos os clientes
realiza operaes de filtragem por URL e contedo
Firewalls
Proxy HTTP:
Utiliza HTTP GET condicional (uso de cache)
Se o objeto no foi alterado, o servidor responde com cdigo 304 Not Modified
Se o objeto FOI alterado, o servidor responde com cdigo 200 (objeto na mensagem)
Firewalls
Exemplo de Soluo de Firewall (filtro+proxy)

5 Firewall 151118192437 Lva1 App6892

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

5 Firewall 151118192437 Lva1 App6892

Transféré par

Droits d'auteur :

Formats disponibles

Gerncia de Redes de

Prof. Andr Peres

Este trabalho est licenciado sob uma Licena Creative Commons

Arquitetura (HW e SW)

Firewall de Host Barreira lgica entre host e rede

Firewall de Host Barreira lgica entre host e rede

Filtros de pacotes (layer 4)

Esta estrutura deve ser aplicada de acordo com a

UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite

UDP 0.0.0.0/0 53 10.1.0.0/24 * Permite

TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite

TCP 0.0.0.0/0 80 10.1.0.0/24 * Permite

UDP 10.1.0.0/24 * 0.0.0.0/0 53 Permite

TCP 10.1.0.0/24 * 0.0.0.0/0 80 Permite

FILTER filtragem de pacotes

NAT redirecionamento (SNAT e DNAT)

POSTROUTING: Altera o endereo IP origem de um pacote

INPUT: Filtra os pacotes que podem entrar no servidor local

OUTPUT: Filtra os pacotes que podem sair do servidor local

FORWARD: Filtra os pacotes que podem entrar e/ou sair

Exemplo de Filtro de Pacotes

Exemplo de Filtro de Pacotes

navegador se conecta ao proxy e envia requisio HTTP

Exemplo de Soluo de Firewall (filtro+proxy)

Vous aimerez peut-être aussi