Suhesi (informatika)
Wikipedia(e)tik
Suhesia (edo firewall ingelesez) konputagailu sare batean erabiltzen den software edo hardware elementua da, sarearen erantzule den erakundeak definitutako sare politikaren arabera komunikazioak debekatu edo baimentzeko erabiltzen dena. Funtzionatzeko modua RFC 2979 gomendioak jarraituz definitua da, zeinek portaera ezaugarriak eta interoperabilitate eskakizunak definitzen dituen.
Suhesi baten ideia sare bateko sarrera eta irteera trafikoaren kontrol puntu bat sortzea da. Erakundearen sare lokala kanpoko sarearekin konektatzen den puntuan kokatzen da eskuarki suebakia. Horrela, sare lokaleko sistemak Internetetik datozen baimenik gabeko sarkinetik babesten dira.
Ohikoa da, hala ere, beste hirugarren sare batetara suebakia konektatzea, DMZ deritzonera (desmilitartutako gunea), non kanpotik atzigarri utzi behar diren zerbitzariak kokatzen diren.
Egoki konfiguratutako suhesia sistema aproposa da instalazio informatiko bati babesa gehitzeko, baina inolaz ere ezin da nahikotzat eman. Segurtasun informatikoak esparru gehiago eta lan eta babes maila gehiago biltzen ditu.
Eduki-taula |
[aldatu] Suhesi motak
[aldatu] Sare mailako suhesia edo pakete iragazketa
IP paketeen iragazki bezala funtzionatzen du protokolo pilaren (TCP/IP) sare mailan (3. mailan). Maila honetan IP paketeen araberako iragazketak egin daitezke: IP jatorri helbidea edota IP helburu helbidearen arabera. Sarritan, suhesi mota honetan,jatorri eta helburu portuaren arabera ere iragazketa egin daiteke, hau da garraio mailako (4. maila) eremuen araberako iragazketa. Lotura mailan (2. mailan) MAC helbideari begiratuz ere iragazketa erregelak sor ditzakegu.
[aldatu] Aplikazio mailako suhesia
Aplikazio mailan (7. maila) egiten du lan. Modu honetan iragazketak maila honetako protokoloen ezaugarri propioen arabera moldatu daitezke. Adibidez, HTTP trafikoaz ari bagara atzitu nahi den URL-aren araberako iragazketak egin daitezke. Proxy bezala ezagutzen da normalean HTTP garraioko 7. mailako suhesia eta erakunde baten konputagailuak internet atzitzeko aukera izatea ahalbidetzen du modu kontrolatu batean.
[aldatu] Suhesi baten abantailak
- Sarkinetatik babestu. Sareko zerbitzarietarako sarrera onartutako makinetatik bakarrik egin daiteke.
- Informazio pribatua babestu. Informazioa atzitzeko maila ezberdinak defini daitezke. Modu honetara, erakunde batean definitutako erabiltzaile talde bakoitzak beharrezkoa duen informazio eta zerbitzuetarako atzipena izango du soilik.
[aldatu] Suhesi baten politikak
Suhesi baten ezarpena egiterakoan oinarrizko bi politika daude, gure erakundearen segurtasun filosofiaren arabera aukeratuko dugu bata edo bestea:
- Politika murriztailea: esplizituki baimenduta dagoen trafikoa ezik, beste guztia galarazten da. Suhesiak trafiko guztia ostopatzen du eta espreski gaitu edo baimendu behar da beharrezkoak diren zerbitzuen trafikoa.
- Politika haizukorra: esplizituki ukatuta dagoen trafikoa ezik, beste guztia onartzen da. Arriskutsuak diren zerbitzuak banan-banan isolatu beharko dira, gainontzeko trafikoa ez da iragazia izango.
Politika murriztailea seguruena da, potentzialki arriskutsua den trafikoa errorez baimentzea zailago delako, politika haizukorrean berriz, posible baita arriskutsua den trafikoa aurreikusi ez izatea eta defektuz onartua izatea.
[aldatu] Kanpo loturak
Request for Comment 2979 - Interneteko suhesien portaera eta eskakizunak
Kaspersky Antihacker- Enterasys Networks Dragon IDS
- Sygate Personal Firewall Pro
- Tiny Firewall 2005 Pro
- eBox Platform Beste modu batzuetan: live cd, pakete indibidualak o iturri-kodea
- Firewall konparatibak [1] [2] [3]
