Hvordan en brannmur skiller seg fra en ACL?

Hvordan en brannmur skiller seg fra en ACL?


Tilgangskontroll lister og brannmurer gi ulik grad av nettverkssikkerhet og kan arbeide sammen for å hindre uautorisert og uønsket trafikk fra å komme inn en bedrifts nettverk. En ACL gir enkel pakkefiltrering, undersøke individuelle datapakker for å bestemme om du vil tillate dem nettverkstilgang. Mens ACL gi raske dataflyten behandling med lav etterspørsel på nettverksressurser, de mangler den avanserte sikkerhetsfunksjoner brannmurer tilby, noe som gjør stole på ACL alene for nettverkssikkerhet en risikofylt forslag.

ACL Capabilities

En nettverksadministrator setter tilgangsregler når han konfigurerer en ACL, bevegelig hvilke adresser kan få tilgang til eller få tilgang fra nettverket. ACL blokker noen pakker som kommer fra en adresse som er unoterte i ACL, samtidig som det hindrer nettverksbrukere får tilgang unoterte nettsteder. Administratorer kan bruke ACL å sette brukertillatelser, fra lese- og skriveegenskapene til enkel tilgang til en fil eller et program i nettverket. Administratoren kan gjelde en regel satt til en bestemt gjenstand eller tildele tillatelser til en gruppe av objekter.

Typer av ACL

En pakke header inneholder en rekke felt som gir identifikasjon og informasjon om hvor en pakke opprinnelse, sin tiltenkte destinasjon og protokollen den bruker for transport. En standard-tilgangsliste er en type ACL som tillater eller forbyr nettverkstilgang basert utelukkende på data i kildefeltet pakken header, som identifiserer pakken opprinnelse. Utvidet tilgangslister har en strengere grad gransket; de er i stand til å definere tilgangsregler basert på pakkens kilde og destinasjon, samt portnumre og protokoll pakken bruker.

brannmur~~POS=TRUNC funksjoner~~POS=HEADCOMP

Brannmurer referere til ACL for å bestemme hvilken trafikk til at i nettverket, og de kan ansette Stateful Packet Inspection å gi ekstra sikkerhet. En SPI-brannmur undersøker en pakkedata i tillegg til informasjonen i overskriften, noe som gjør det mer i stand til å oppdage skadelige pakker enn en frittstående ACL. SPI-aktivert brannmurer også opprettholde statlige tabeller som logger informasjon om tilkoblingsstatus av enhetene engasjert i datautveksling og kan fremskynde overføring av data som et nettverk brukerspurt fra et sted utenfor nettverket. Hvis brannmuren ikke kan finne en sammenheng mellom en innkommende pakke og en oppføring i sin tilstand bord, refererer det til nettverkets ACL for å avgjøre om du vil godta eller avvise pakken.

Ulemper av Brannmurer

Stateful brannmurer undersøke hver innkommende pakke, forbruker relativt store mengder systemressurser sjekke pakkedata mot nettverkstilgangsregler i forhold til en ACL. Denne prosessen krever mer tid enn en ACL trenger for å utføre enkle pakkefiltrering, potensielt gjør nettverket utsatt for et tjenestenektangrep, der en hacker flommer brannmuren med innsynsbegjæringer, bogging ned nettverket og blokkerer legitime brukere får tilgang systemet.