Содержание
- 2. История развития межсетевых экранов Packet filters Stateful firewall iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j
- 3. Настройка межсетевого экрана Разрешить пользователям доступ к web Разрешить директору все iptables -A FORWARD -m conntrack
- 4. Настройка межсетевого экрана Разрешить пользователям доступ к web Запретить вконтакте и одноклассники Разрешить директору все iptables
- 5. Настройка межсетевого экрана Разрешить пользователям доступ к web Запретить вконтакте и одноклассники Разрешить техподдержке TeamViewer Разрешить
- 6. Порты для Skype for Business
- 7. Настройка межсетевого экрана Разрешить пользователям доступ к web Запретить вконтакте и одноклассники Разрешить отделу продаж Skype
- 8. Настройка межсетевого экрана Разрешить пользователям доступ к web Запретить вконтакте и одноклассники Разрешить отделу продаж Skype
- 9. Deep packet inspection Deep packet inspection – осуществляет анализ содержимого трафика на 4-7 уровнях модели OSI.
- 10. Deep packet inspection Приложение Skype - бесплатное проприетарное программное обеспечение с закрытым кодом, обеспечивающее текстовую, голосовую
- 11. Интеграция DPI в межсетевой экран
- 12. Проблема: концепция работы протокола TCP
- 13. Как устроен DPI Решения детектора: EXCLUDE MATCH NEED NEXT PACKET Результат классификации: Текущий классифицированный движком протокол.
- 14. Изменена общая структура правил Было Стало Если сетевой поток был уже заблокирован, то пакет тоже блокируется.
- 15. Правила по классифицированным протоколам Логика работы разрешающих определенный протокол правил: Если классифицированный движком DPI протокол для
- 16. Таблица истинности для правил
- 17. Пример работы разрешающих правил -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP
- 18. -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP –j ACCEPT Default rule
- 19. -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP –j ACCEPT Default rule
- 20. -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP –j ACCEPT Default rule
- 21. Пример работы запрещающих правил -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP
- 22. -dpi-drop-mark DROP ! -dpi-result-change -m conntrack --ctstate ESTABLISHED -j ACCEPT -dpi-protocol-accept HTTP –j ACCEPT Default rule
- 23. Правила по классифицированным приложениям Для работы правил по классифицированным приложениям необходима следующая информация: Текущее классифицированное движком
- 24. Пошаговая логика работы разрешающих определенное приложение правил: Если классифицированное движком DPI приложение для текущего пакета совпадает
- 25. Таблица истинности для правил
- 27. Скачать презентацию