वितरित फ़ायरवॉल: Difference between revisions
(Created page with "{{Short description|Type of computer firewall}} एक वितरित फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क...") |
No edit summary |
||
Line 1: | Line 1: | ||
{{Short description|Type of computer firewall}} | {{Short description|Type of computer firewall}} | ||
'''डिस्ट्रिब्यूटेड फ़ायरवॉल''' एक नेटवर्क के [[होस्ट (नेटवर्क)]] मशीन पर एक सुरक्षा एप्लीकेशन है जो अवांछित आक्षेप के विपरीत अपने एंटरप्राइस के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक [[फ़ायरवॉल (कंप्यूटिंग)]] एक सिस्टम या सिस्टम का समूह [[राउटर (कंप्यूटिंग)]], [[प्रॉक्सी सर्वर]], या [[गेटवे (दूरसंचार)]] है है जो "बाहरी" नेटवर्क से "अंदर" नेटवर्क की सुरक्षा के लिए दो नेटवर्क के बीच अभिगम नियंत्रण प्रयुक्त करने के लिए सुरक्षा नियमों का एक सेट प्रयुक्त करता है। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क के ध्यान किए बिना फ़िल्टर करते हैं। सामान्य रूप से पारंपरिक फ़ायरवॉल के पीछे परिनियोजित, है। वे सुरक्षा की दूसरी परत प्रदान करते हैं। डिस्ट्रिब्यूटेड फ़ायरवॉल के लाभ सुरक्षा नियमों ([[सुरक्षा नीति]]) को परिभाषित करने और एंटरप्राइस-व्यापी आधार पर पुश की स्वीकृति देते हैं, जो बड़े एंटरप्राइस के लिए आवश्यक है। | |||
== | == मौलिक कार्य == | ||
डिस्ट्रिब्यूटेड फ़ायरवॉल प्रायः [[कर्नेल (ऑपरेटिंग सिस्टम)|(ऑपरेटिंग सिस्टम)]] कर्नेल-मोड एप्लीकेशन होते हैं जो ऑपरेटिंग सिस्टम में ओएसआई मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की ध्यान किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को प्रतिकूल मानते हैं। वे अलग-अलग मशीन की उसी तरह सुरक्षा करते हैं जैसे कि पेरीमीटर फ़ायरवॉल समग्र नेटवर्क की सुरक्षा करता है। डिस्ट्रिब्यूटेड फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है: | |||
* एक नीति भाषा जो बताती है कि किस प्रकार के | * एक नीति भाषा जो बताती है कि किस प्रकार के संयोजन की स्वीकृति है या निषिद्ध है, | ||
* | * माइक्रोसॉफ्ट के [[Microsoft समापन बिंदु कॉन्फ़िगरेशन प्रबंधक|माइक्रोसॉफ्ट समापन बिंदु कॉन्फ़िगरेशन प्रबंधक]] या एएसडी जैसे कई सिस्टम प्रबंधन उपकरण, और | ||
* | * इंटरनेट प्रोटोकॉल सुरक्षा, [[इंटरनेट प्रोटोकॉल]] (टीसीपी, यूडीपी, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र होता है। | ||
मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में | मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में डिस्ट्रिब्यूटेड करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है। | ||
== सुविधाएँ == | == सुविधाएँ == | ||
* | * योजनाओ को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली, | ||
* इन | * इन योजनाओ को प्रसारित करने के लिए एक संचरण प्रणाली, और | ||
* क्लाइंट एंड पर डिज़ाइन की गई | * क्लाइंट एंड पर डिज़ाइन की गई योजनाओ का कार्यान्वयन। | ||
=== केंद्रीय प्रबंधन प्रणाली === | === केंद्रीय प्रबंधन प्रणाली === | ||
डिस्ट्रिब्यूटेड फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि निरंतर सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में सहायता करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता डिस्ट्रिब्यूटेड सुरक्षा को व्यावहारिक बनाती है। डिस्ट्रिब्यूटेड फ़ायरवॉल की यह सुविधा दो तरह से सहायता करती है। सबसे पहले, दूरस्थ एंड-उपयोगकर्ता मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो मेलिसियस कोड द्वारा आक्षेप को रोकते हैं और संरक्षित सर्वर को विस्तारित आक्षेपों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं। | |||
=== | === नीति संचरण प्रणाली === | ||
नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में | नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में पुल किया जा सकता है, या आवश्यकता पड़ने पर पुश किया जा सकता है। | ||
==== तकनीक | ==== पुल तकनीक ==== | ||
पुल तकनीक में, | पुल तकनीक में, होस्ट, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर प्रारंभ और सक्रिय है या नहीं है। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन योजनाओ का अनुरोध करता है जिन्हें इसे प्रयुक्त करना चाहिए। केंद्रीय प्रबंधन सर्वर तब होस्ट को अपनी सुरक्षा नीतियां प्रदान करता है। | ||
==== पुश तकनीक ==== | ==== पुश तकनीक ==== | ||
पुश तकनीक का उपयोग तब किया जाता है जब | पुश तकनीक का उपयोग तब किया जाता है जब योजनाओ को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि होस्ट के पास सदैव किसी भी समय अपडेट नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड संयोजन की स्वीकृति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई स्टैक के एप्लिकेशन स्तर पर नीतियां प्रयुक्त कर रहे हों। | ||
=== होस्ट-एंड कार्यान्वयन === | === होस्ट-एंड कार्यान्वयन === | ||
पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर | पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर निर्भर करते हैं, या अधिक परिशुद्ध रूप से, इस धारणा पर निर्भर करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर निर्भर किया जाना है, और दूसरी तरफ कोई भी व्यक्ति कम से कम संभावित रूप से एक विरोधी है। डिस्ट्रिब्यूटेड फायरवॉल अवांछित आक्षेप को प्रतिबंधित करने के लिए अन्य प्रकार के ट्रैफिक को प्रतिबंधित करने वाली मशीन में केवल आवश्यक ट्रैफिक को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा योजनाओ को भी होस्ट द्वारा प्रयुक्त किया जाना है। डिस्ट्रिब्यूटेड फ़ायरवॉल का होस्ट-एंड भाग योजनाओ के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा प्रयुक्त किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की स्वीकृति देता है। | ||
=== [[एंड-टू-एंड एन्क्रिप्शन]] === | === [[एंड-टू-एंड एन्क्रिप्शन]] === | ||
एंड-टू-एंड एन्क्रिप्शन पारंपरिक | एंड-टू-एंड एन्क्रिप्शन पारंपरिक फायरवॉल के लिए खतरा है, क्योंकि फ़ायरवॉल में सामान्य रूप से एन्क्रिप्शन के माध्यम से देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं। वितरित फ़ायरवॉल कार्यान्वयन तकनीक का उपयोग प्रारंभ से अंत तक इंटरनेट प्रोटोकॉल सुरक्षा करते हैं।<ref name="Bellovin">Bellovin, M. Steven "Distributed Firewalls", login, November 1999, pp. 39–47 https://www.cs.columbia.edu/~smb/papers/distfw.pdf</ref> इंटरनेट प्रोटोकॉल सुरक्षा एक [[क्रिप्टोग्राफिक प्रोटोकॉल]] सूट है, जिसे हाल ही में [[इंटरनेट इंजीनियरिंग टास्क फोर्स|इंटरनेट अभियांत्रिक कार्य दल]] द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा शुद्धता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण प्रमाण है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना अन्तःक्षेप करने में सक्षम होने पर आक्षेप कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अतिरिक्त, कई साइटें कुछ प्रकार के विभागीकरण प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र सम्मिलित नहीं है। एंड-टू-एंड इंटरनेट प्रोटोकॉल सुरक्षा में, प्रत्येक आने वाला [[नेटवर्क पैकेट]] एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है।<ref name="Bellovin"/> यदि प्रमाणपत्र का नाम अलग है, या कोई इंटरनेट प्रोटोकॉल सुरक्षा सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक प्रबल डिस्ट्रिब्यूटेड फ़ायरवॉल में अभिगम अधिकार प्रमाणपत्र, पहुँच से परिबद्ध हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।<ref name="Bellovin"/> | ||
स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।<ref name="Bellovin"/> | |||
=== [[नेटवर्क टोपोलॉजी]] === | === [[नेटवर्क टोपोलॉजी]] === | ||
डिस्ट्रिब्यूटेड फ़ायरवॉल उन होस्ट की सुरक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के अंदर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक होस्ट पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत होस्ट द्वारा नीति प्रयुक्त की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति प्रयुक्त कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक आक्षेपक देता है जो पहले से ही एक अनधिकृत सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क पारंपरिक फ़ायरवॉल के लिए, वास्तविक ऑडियो जैसे प्रोटोकॉल को प्रोसेस करना कठिन होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है।<ref name="Bellovin"/> बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल अत्यधिक बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेजी से बढ़ रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और फ़ायरवॉल के माध्यम से पारित होने वाले डेटा की मात्रा में अत्यधिक वृद्धि हुई है और संभवतः मूर के नियम से आगे बढ़ना जारी रहेगा। | |||
== प्रभावशीलता == | == प्रभावशीलता == | ||
=== | === सेवा जोखिम और पोर्ट क्रमवीक्षण === | ||
डिस्ट्रिब्यूटेड फ़ायरवॉल अनुपयुक्त सेवाओं के लिए संयोजन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे सामान्य रूप से ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस प्रेषित कर सकते हैं, जिसमें अनुरोध किया गया है कि संयोजन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध पैकेट फिल्टर पर बने पारंपरिक फायरवॉल के विपरीत, जो कुछ "स्टील्थ स्कैन" को बहुत अच्छी तरह से अस्वीकार नहीं कर सकते, वितरित फायरवॉल एक पोर्ट स्कैनर से पैकेट को पुनः जोड़ेंगे और फिर इसे अस्वीकार कर देंगे। | |||
=== [[आईपी पता]] स्पूफिंग === | === [[आईपी पता|आईपी एड्रैस]] स्पूफिंग === | ||
इन | इन आक्षेपों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ डिस्ट्रिब्यूटेड फायरवॉल द्वारा होस्ट पर निर्धारित किया जा सकता है। डिस्ट्रिब्यूटेड फ़ायरवॉल जाली आईपी एड्रैस के आधार पर आक्षेपों को प्रतिबंधित करने के लिए [[क्रिप्टोग्राफी]] तंत्र का उपयोग कर सकते हैं, इस धारणा के अंतर्गत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय [[सूचना भंडार]] स्वयं में समझौता करने के अधीन नहीं है। | ||
=== | === मेलिसियस सॉफ़्टवेयर === | ||
डिस्ट्रिब्यूटेड फ़ायरवॉल की रूपरेखा और नीति भाषा, जो एप्लीकेशन स्तर पर नीतिगत निर्णय लेने की स्वीकृति कर देती है, एप्लीकेशन में रहने वाले विभिन्न प्रकार के जोखिमों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को अलग कर सकती है। जटिल, संसाधन-क्षय स्थितियों में जहां [[जावा (प्रोग्रामिंग भाषा)]] जैसे कोड पर निर्णय लिया जाना चाहिए, डिस्ट्रिब्यूटेड फ़ायरवॉल इस शर्त के अंतर्गत जोखिमों को कम कर सकते हैं कि ऐसे संचार पैकेट की वस्तु को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का [[स्टेटफुल फ़ायरवॉल]] इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में सूक्ष्म [[ग्रैन्युलैरिटी (समानांतर कंप्यूटिंग)|ग्रैन्युलैरिटी (पैरेलेल कंप्यूटिंग)]] की स्वीकृति देता है। डिस्ट्रिब्यूटेड फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब मेलिसियस कोड वस्तु पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क पेरीमीटर पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है। | |||
=== | === आक्षेप का पता लगाना === | ||
डिस्ट्रिब्यूटेड फ़ायरवॉल आक्षेप के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई होस्ट पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय स्थल से विकृत संयोजन के समय होती है। प्रभावी रूप से समन्वित आक्षेपों का जोखिम भी है, जिससे केंद्रीय मशीन के विपरीत सेवा से अस्वीकृत किया जा सकता है। | |||
=== | === अनधिकृत आक्षेप === | ||
सांंस्थितिक प्रतिबंध पर एक डिस्ट्रिब्यूटेड फ़ायरवॉल की स्वतंत्रता योजनाओ के प्रवर्तन का समर्थन करती है, फिर होस्ट समग्र नीति डोमेन के सदस्य हों या बाहरी हो। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अतिरिक्त, एक वैध उपयोगकर्ता या आक्षेपक द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से दुर्बल नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की परिणियोजित संचार ट्रैफिक के खोजी आक्षेप को प्रतिबंधित करती है जिसमें आक्षेप मशीन सम्मिलित नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा प्रगहण कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही नष्ट हो सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना अधिकतम आसानी से की जा सकती है, और एक पेरीमीटर फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले यादृच्छिक ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की स्वीकृति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उपयुक्त ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अतिरिक्त, इस तथ्य को देखते हुए कि एक आक्षेप को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और विश्वास नहीं किया जा सकता है। | |||
=== उपयोगकर्ता सहयोग === | === उपयोगकर्ता सहयोग === | ||
पहली नज़र में, | पहली नज़र में, डिस्ट्रिब्यूटेड फ़ायरवॉल की सबसे बड़ी दुर्बलता उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। डिस्ट्रिब्यूटेड फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर द्वारा वास्तविक आक्षेपों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी अभिगम देने के अतिरिक्त होती है। यह योजनाओ के आकस्मिक विकृत को प्रतिबंधित करने के लिए कुछ प्रयास करने योग्य भी है। योजनाओ को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अद्वितीय-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक प्रबल सुरक्षा के लिए, नीति प्रवर्तन को विकृत-प्रतिरोधी नेटवर्क कार्ड में सम्मिलित किया जा सकता है। | ||
== संदर्भ == | == संदर्भ == | ||
Line 87: | Line 85: | ||
=== श्वेत पत्र और रिपोर्ट === | === श्वेत पत्र और रिपोर्ट === | ||
#डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क | #डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क आक्षेपों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव | ||
#बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994। | #बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994। | ||
#Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस। | #Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस। |
Revision as of 13:53, 22 May 2023
डिस्ट्रिब्यूटेड फ़ायरवॉल एक नेटवर्क के होस्ट (नेटवर्क) मशीन पर एक सुरक्षा एप्लीकेशन है जो अवांछित आक्षेप के विपरीत अपने एंटरप्राइस के नेटवर्क के सर्वर और उपयोगकर्ता मशीनों की सुरक्षा करता है। एक फ़ायरवॉल (कंप्यूटिंग) एक सिस्टम या सिस्टम का समूह राउटर (कंप्यूटिंग), प्रॉक्सी सर्वर, या गेटवे (दूरसंचार) है है जो "बाहरी" नेटवर्क से "अंदर" नेटवर्क की सुरक्षा के लिए दो नेटवर्क के बीच अभिगम नियंत्रण प्रयुक्त करने के लिए सुरक्षा नियमों का एक सेट प्रयुक्त करता है। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क के ध्यान किए बिना फ़िल्टर करते हैं। सामान्य रूप से पारंपरिक फ़ायरवॉल के पीछे परिनियोजित, है। वे सुरक्षा की दूसरी परत प्रदान करते हैं। डिस्ट्रिब्यूटेड फ़ायरवॉल के लाभ सुरक्षा नियमों (सुरक्षा नीति) को परिभाषित करने और एंटरप्राइस-व्यापी आधार पर पुश की स्वीकृति देते हैं, जो बड़े एंटरप्राइस के लिए आवश्यक है।
मौलिक कार्य
डिस्ट्रिब्यूटेड फ़ायरवॉल प्रायः (ऑपरेटिंग सिस्टम) कर्नेल-मोड एप्लीकेशन होते हैं जो ऑपरेटिंग सिस्टम में ओएसआई मॉडल के नीचे स्थित होते हैं। वे सभी ट्रैफ़िक को उसके मूल-इंटरनेट या आंतरिक नेटवर्क की ध्यान किए बिना फ़िल्टर करते हैं। वे इंटरनेट और आंतरिक नेटवर्क दोनों को प्रतिकूल मानते हैं। वे अलग-अलग मशीन की उसी तरह सुरक्षा करते हैं जैसे कि पेरीमीटर फ़ायरवॉल समग्र नेटवर्क की सुरक्षा करता है। डिस्ट्रिब्यूटेड फ़ायरवॉल फ़ंक्शन तीन धारणाओं पर आधारित है:
- एक नीति भाषा जो बताती है कि किस प्रकार के संयोजन की स्वीकृति है या निषिद्ध है,
- माइक्रोसॉफ्ट के माइक्रोसॉफ्ट समापन बिंदु कॉन्फ़िगरेशन प्रबंधक या एएसडी जैसे कई सिस्टम प्रबंधन उपकरण, और
- इंटरनेट प्रोटोकॉल सुरक्षा, इंटरनेट प्रोटोकॉल (टीसीपी, यूडीपी, आदि) के लिए नेटवर्क-स्तरीय एन्क्रिप्शन तंत्र होता है।
मूल विचार सरल है। एक संकलक नीति भाषा को कुछ आंतरिक प्रारूप में अनुवादित करता है। सिस्टम प्रबंधन सॉफ़्टवेयर इस नीति फ़ाइल को उन सभी होस्ट में डिस्ट्रिब्यूटेड करता है जो फ़ायरवॉल द्वारा सुरक्षित हैं। और प्रत्येक प्रेषक की नीति और क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दोनों के अनुसार आने वाले पैकेट को प्रत्येक अंदर के होस्ट द्वारा स्वीकार या अस्वीकार कर दिया जाता है।
सुविधाएँ
- योजनाओ को डिजाइन करने के लिए एक केंद्रीय प्रबंधन प्रणाली,
- इन योजनाओ को प्रसारित करने के लिए एक संचरण प्रणाली, और
- क्लाइंट एंड पर डिज़ाइन की गई योजनाओ का कार्यान्वयन।
केंद्रीय प्रबंधन प्रणाली
डिस्ट्रिब्यूटेड फायरवॉल की सुरक्षा नीति को केंद्रीय रूप से परिभाषित किया गया है, और नीति का प्रवर्तन प्रत्येक समापन बिंदु (होस्ट, राउटर, आदि) पर होता है। केंद्रीकृत प्रबंधन सर्वर और अंतिम-उपयोगकर्ता मशीनों को पॉप्युलेट करने की क्षमता है, ताकि निरंतर सुरक्षा को कॉन्फ़िगर और पुश किया जा सके। नीतियां, जो सीमित संसाधनों को अधिकतम करने में सहायता करती हैं। रिपोर्ट एकत्र करने और अपडेट को केंद्रीय रूप से बनाए रखने की क्षमता डिस्ट्रिब्यूटेड सुरक्षा को व्यावहारिक बनाती है। डिस्ट्रिब्यूटेड फ़ायरवॉल की यह सुविधा दो तरह से सहायता करती है। सबसे पहले, दूरस्थ एंड-उपयोगकर्ता मशीनों को सुरक्षित किया जा सकता है। दूसरे, वे नेटवर्क पर महत्वपूर्ण सर्वरों को सुरक्षित करते हैं जो मेलिसियस कोड द्वारा आक्षेप को रोकते हैं और संरक्षित सर्वर को विस्तारित आक्षेपों के लिए लॉन्चपैड के रूप में उपयोग नहीं करने देते हैं।
नीति संचरण प्रणाली
नीति, या सुरक्षा नियमों का वितरण भिन्न हो सकता है और कार्यान्वयन के साथ बदलता रहता है। इसे या तो सीधे एंड सिस्टम में पुल किया जा सकता है, या आवश्यकता पड़ने पर पुश किया जा सकता है।
पुल तकनीक
पुल तकनीक में, होस्ट, बूट करते समय, केंद्रीय प्रबंधन सर्वर को यह जाँचने के लिए सूचित करते हैं कि केंद्रीय प्रबंधन सर्वर प्रारंभ और सक्रिय है या नहीं है। यह केंद्रीय प्रबंधन सर्वर के साथ पंजीकृत होता है और उन योजनाओ का अनुरोध करता है जिन्हें इसे प्रयुक्त करना चाहिए। केंद्रीय प्रबंधन सर्वर तब होस्ट को अपनी सुरक्षा नीतियां प्रदान करता है।
पुश तकनीक
पुश तकनीक का उपयोग तब किया जाता है जब योजनाओ को नेटवर्क व्यवस्थापक द्वारा केंद्रीय-प्रबंधन की ओर से अपडेट किया जाता है, और होस्ट को तुरंत अपडेट करना होता है। यह पुश तकनीक यह सुनिश्चित करती है कि होस्ट के पास सदैव किसी भी समय अपडेट नीतियां हों। नीति भाषा परिभाषित करती है कि नेटवर्क नीति डोमेन के किसी भी घटक पर कौन से इनबाउंड और आउटबाउंड संयोजन की स्वीकृति है, और नेटवर्क की किसी भी परत पर नीतिगत निर्णयों को प्रभावित कर सकती है, चाहे वे कुछ पैकेटों को अस्वीकार कर रहे हों या पास कर रहे हों या ओएसआई स्टैक के एप्लिकेशन स्तर पर नीतियां प्रयुक्त कर रहे हों।
होस्ट-एंड कार्यान्वयन
पारंपरिक फ़ायरवॉल कार्य करने के लिए प्रवेश बिंदुओं को नियंत्रित करने पर निर्भर करते हैं, या अधिक परिशुद्ध रूप से, इस धारणा पर निर्भर करते हैं कि प्रवेश बिंदु के एक तरफ हर कोई - फ़ायरवॉल - पर निर्भर किया जाना है, और दूसरी तरफ कोई भी व्यक्ति कम से कम संभावित रूप से एक विरोधी है। डिस्ट्रिब्यूटेड फायरवॉल अवांछित आक्षेप को प्रतिबंधित करने के लिए अन्य प्रकार के ट्रैफिक को प्रतिबंधित करने वाली मशीन में केवल आवश्यक ट्रैफिक को सक्षम करके काम करते हैं। केंद्रीय प्रबंधन सर्वर से प्रेषित सुरक्षा योजनाओ को भी होस्ट द्वारा प्रयुक्त किया जाना है। डिस्ट्रिब्यूटेड फ़ायरवॉल का होस्ट-एंड भाग योजनाओ के कार्यान्वयन को नियंत्रित करने के लिए नेटवर्क व्यवस्थापक के लिए कोई प्रशासनिक नियंत्रण प्रदान नहीं करता है। होस्ट अपने द्वारा प्रयुक्त किए गए सुरक्षा नियमों के आधार पर ट्रैफ़िक की स्वीकृति देता है।
एंड-टू-एंड एन्क्रिप्शन
एंड-टू-एंड एन्क्रिप्शन पारंपरिक फायरवॉल के लिए खतरा है, क्योंकि फ़ायरवॉल में सामान्य रूप से एन्क्रिप्शन के माध्यम से देखने के लिए आवश्यक कुंजियाँ नहीं होती हैं। वितरित फ़ायरवॉल कार्यान्वयन तकनीक का उपयोग प्रारंभ से अंत तक इंटरनेट प्रोटोकॉल सुरक्षा करते हैं।[1] इंटरनेट प्रोटोकॉल सुरक्षा एक क्रिप्टोग्राफिक प्रोटोकॉल सूट है, जिसे हाल ही में इंटरनेट अभियांत्रिक कार्य दल द्वारा मानकीकृत किया गया है, जो पैकेट गोपनीयता, प्रमाणीकरण, डेटा शुद्धता, रीप्ले सुरक्षा और स्वचालित कुंजी प्रबंधन जैसी नेटवर्क-परत सुरक्षा सेवाएँ प्रदान करता है। यह फ़ायरवॉल परिनियोजन का एक विरूपण प्रमाण है: आंतरिक ट्रैफ़िक जिसे फ़ायरवॉल द्वारा नहीं देखा जाता है, उसे फ़िल्टर नहीं किया जा सकता है; परिणामस्वरूप, आंतरिक उपयोगकर्ता अन्य उपयोगकर्ताओं और नेटवर्क पर फ़ायरवॉल के बिना अन्तःक्षेप करने में सक्षम होने पर आक्षेप कर सकते हैं। बड़े नेटवर्क में आज बड़ी संख्या में प्रवेश बिंदु होते हैं। इसके अतिरिक्त, कई साइटें कुछ प्रकार के विभागीकरण प्रदान करने के लिए आंतरिक फायरवॉल का उपयोग करती हैं। यह व्यावहारिक दृष्टिकोण से और नीतिगत स्थिरता के संबंध में प्रशासन को विशेष रूप से कठिन बना देता है, क्योंकि कोई एकीकृत और व्यापक प्रबंधन तंत्र सम्मिलित नहीं है। एंड-टू-एंड इंटरनेट प्रोटोकॉल सुरक्षा में, प्रत्येक आने वाला नेटवर्क पैकेट एक प्राधिकरण प्रमाणपत्र के साथ जुड़ा हुआ है; उस पैकेट को दी गई पहुँच उस प्रमाणपत्र को दिए गए अधिकारों द्वारा निर्धारित की जाती है।[1] यदि प्रमाणपत्र का नाम अलग है, या कोई इंटरनेट प्रोटोकॉल सुरक्षा सुरक्षा नहीं है, तो पैकेट को अनधिकृत के रूप में छोड़ दिया जाएगा। यह देखते हुए कि एक प्रबल डिस्ट्रिब्यूटेड फ़ायरवॉल में अभिगम अधिकार प्रमाणपत्र, पहुँच से परिबद्ध हैं स्वीकृत प्रमाणपत्रों के सेट को बदलकर अधिकारों को सीमित किया जा सकता है। केवल नए प्रमाणपत्र वाले होस्ट को ही अंदर माना जाता है; यदि परिवर्तन संस्थापित नहीं है, तो मशीन के पास कम विशेषाधिकार होंगे।[1]
नेटवर्क टोपोलॉजी
डिस्ट्रिब्यूटेड फ़ायरवॉल उन होस्ट की सुरक्षा कर सकते हैं जो नेटवर्क टोपोलॉजी सीमा के अंदर नहीं हैं। सिस्टम प्रबंधन पैकेज का उपयोग अलग-अलग मशीनों को प्रशासित करने के लिए किया जाता है, इसलिए सुरक्षा प्रशासक होस्ट पहचानकर्ताओं के संदर्भ में सुरक्षा नीति को परिभाषित करते हैं और प्रत्येक व्यक्तिगत होस्ट द्वारा नीति प्रयुक्त की जा सकती है। पारंपरिक फ़ायरवॉल केवल उस ट्रैफ़िक पर एक नीति प्रयुक्त कर सकता है जो इसे पार करता है, इसलिए संरक्षित नेटवर्क में नोड्स के बीच ट्रैफ़िक का आदान-प्रदान नियंत्रित नहीं किया जा सकता है, जो एक आक्षेपक देता है जो पहले से ही एक अनधिकृत सूत्र है या किसी तरह फ़ायरवॉल को बायपास कर सकता है और एक नया, अनधिकृत प्रवेश बिंदु स्थापित कर सकता है। व्यवस्थापक के ज्ञान और सहमति के बिना नेटवर्क पारंपरिक फ़ायरवॉल के लिए, वास्तविक ऑडियो जैसे प्रोटोकॉल को प्रोसेस करना कठिन होता है, क्योंकि पारंपरिक फ़ायरवॉल में निश्चित ज्ञान का अभाव होता है जो एंडपॉइंट सुरक्षा पर आसानी से उपलब्ध होता है।[1] बढ़ती लाइन गति और अधिक संगणना-गहन प्रोटोकॉल के कारण जो एक फ़ायरवॉल को समर्थन देना चाहिए, पारंपरिक फ़ायरवॉल अत्यधिक बिंदु बन जाते हैं। प्रसंस्करण और नेटवर्किंग गति के बीच यह अंतर बढ़ने की संभावना है, क्योंकि जैसे-जैसे कंप्यूटर (और इसलिए फायरवॉल) तेजी से बढ़ रहे हैं, अधिक जटिल प्रोटोकॉल का संयोजन और फ़ायरवॉल के माध्यम से पारित होने वाले डेटा की मात्रा में अत्यधिक वृद्धि हुई है और संभवतः मूर के नियम से आगे बढ़ना जारी रहेगा।
प्रभावशीलता
सेवा जोखिम और पोर्ट क्रमवीक्षण
डिस्ट्रिब्यूटेड फ़ायरवॉल अनुपयुक्त सेवाओं के लिए संयोजन अनुरोधों को अस्वीकार करने में उत्कृष्ट हैं। वे सामान्य रूप से ऐसे अनुरोधों को होस्ट पर छोड़ देते हैं, लेकिन वैकल्पिक रूप से, वे बदले में एक प्रतिक्रिया वापस प्रेषित कर सकते हैं, जिसमें अनुरोध किया गया है कि संयोजन को प्रमाणित किया जाए, जो बदले में होस्ट के अस्तित्व की सूचना देता है। शुद्ध पैकेट फिल्टर पर बने पारंपरिक फायरवॉल के विपरीत, जो कुछ "स्टील्थ स्कैन" को बहुत अच्छी तरह से अस्वीकार नहीं कर सकते, वितरित फायरवॉल एक पोर्ट स्कैनर से पैकेट को पुनः जोड़ेंगे और फिर इसे अस्वीकार कर देंगे।
आईपी एड्रैस स्पूफिंग
इन आक्षेपों को नेटवर्क नीति डोमेन के अंदर से पैकेटों को हटाने के लिए संबंधित नियमों के साथ डिस्ट्रिब्यूटेड फायरवॉल द्वारा होस्ट पर निर्धारित किया जा सकता है। डिस्ट्रिब्यूटेड फ़ायरवॉल जाली आईपी एड्रैस के आधार पर आक्षेपों को प्रतिबंधित करने के लिए क्रिप्टोग्राफी तंत्र का उपयोग कर सकते हैं, इस धारणा के अंतर्गत कि सभी आवश्यक प्रमाण-पत्रों से युक्त विश्वसनीय सूचना भंडार स्वयं में समझौता करने के अधीन नहीं है।
मेलिसियस सॉफ़्टवेयर
डिस्ट्रिब्यूटेड फ़ायरवॉल की रूपरेखा और नीति भाषा, जो एप्लीकेशन स्तर पर नीतिगत निर्णय लेने की स्वीकृति कर देती है, एप्लीकेशन में रहने वाले विभिन्न प्रकार के जोखिमों और संचार ट्रैफ़िक के मध्यवर्ती स्तर को अलग कर सकती है। जटिल, संसाधन-क्षय स्थितियों में जहां जावा (प्रोग्रामिंग भाषा) जैसे कोड पर निर्णय लिया जाना चाहिए, डिस्ट्रिब्यूटेड फ़ायरवॉल इस शर्त के अंतर्गत जोखिमों को कम कर सकते हैं कि ऐसे संचार पैकेट की वस्तु को नीति सत्यापन तंत्र द्वारा अर्थपूर्ण रूप से व्याख्या किया जा सकता है। पैकेटों का स्टेटफुल फ़ायरवॉल इन आवश्यकताओं के लिए आसानी से अनुकूलित होता है और निर्णय लेने में सूक्ष्म ग्रैन्युलैरिटी (पैरेलेल कंप्यूटिंग) की स्वीकृति देता है। डिस्ट्रिब्यूटेड फ़ायरवॉल के नीति प्रवर्तन से भी समझौता नहीं किया जाता है जब मेलिसियस कोड वस्तु पूरी तरह से आभासी निजी नेटवर्क के उपयोग से प्रच्छन्न होती है और पारंपरिक फ़ायरवॉल के विपरीत, नेटवर्क पेरीमीटर पर स्क्रीनिंग यूनिट के लिए संचार ट्रैफ़िक को बाधित करती है।
आक्षेप का पता लगाना
डिस्ट्रिब्यूटेड फ़ायरवॉल आक्षेप के प्रयास का पता लगा सकते हैं, लेकिन जांच संग्रह में कठिनाई हो सकती है। एक नेटवर्क में प्रत्येक व्यक्तिगत होस्ट को जांच पर ध्यान देना होता है और प्रसंस्करण और सहसंबंध के लिए उन्हें कुछ केंद्रीय स्थान पर अग्रेषित करना होता है। पहली समस्या कठिन नहीं है; कई होस्ट पहले से ही ऐसे प्रयासों को लॉग कर चुके हैं। संग्रह अधिक समस्याग्रस्त है, विशेष रूप से केंद्रीय स्थल से विकृत संयोजन के समय होती है। प्रभावी रूप से समन्वित आक्षेपों का जोखिम भी है, जिससे केंद्रीय मशीन के विपरीत सेवा से अस्वीकृत किया जा सकता है।
अनधिकृत आक्षेप
सांंस्थितिक प्रतिबंध पर एक डिस्ट्रिब्यूटेड फ़ायरवॉल की स्वतंत्रता योजनाओ के प्रवर्तन का समर्थन करती है, फिर होस्ट समग्र नीति डोमेन के सदस्य हों या बाहरी हो। वे अपने निर्णयों को प्रमाणीकरण तंत्र पर आधारित करते हैं जो नेटवर्क के लेआउट की अंतर्निहित विशेषताएं नहीं हैं। इसके अतिरिक्त, एक वैध उपयोगकर्ता या आक्षेपक द्वारा एक समापन बिंदु का समझौता समग्र नेटवर्क को इस तरह से दुर्बल नहीं करेगा जो सीधे अन्य मशीनों से समझौता करने की ओर ले जाता है, इस तथ्य को देखते हुए कि आभासी निजी नेटवर्क की परिणियोजित संचार ट्रैफिक के खोजी आक्षेप को प्रतिबंधित करती है जिसमें आक्षेप मशीन सम्मिलित नहीं है। लेकिन अंत-बिंदु पर ही, यह मानते हुए कि एक मशीन को एक विरोधी द्वारा प्रगहण कर लिया गया है, इस निष्कर्ष पर पहुंचना चाहिए कि नीति प्रवर्तन तंत्र स्वयं ही नष्ट हो सकता है। एक बार सुरक्षा तंत्र त्रुटिपूर्ण होने के बाद इस मशीन पर बैकडोर की स्थापना अधिकतम आसानी से की जा सकती है, और एक पेरीमीटर फ़ायरवॉल की कमी के साथ, कोई विश्वसनीय इकाई नहीं है जो समझौता किए गए होस्ट में प्रवेश करने या छोड़ने वाले यादृच्छिक ट्रैफ़िक को रोक सके। इसके अतिरिक्त, उपकरण का उपयोग किया जा सकता है जो किसी अन्य एप्लिकेशन के संचार को टनलिंग करने की स्वीकृति देता है, और डिक्रिप्टिंग क्रेडेंशियल्स के उपयुक्त ज्ञान के बिना इसे रोका नहीं जा सकता है; इसके अतिरिक्त, इस तथ्य को देखते हुए कि एक आक्षेप को सफलतापूर्वक किया गया है, मशीन के सत्यापन तंत्र पर अब और विश्वास नहीं किया जा सकता है।
उपयोगकर्ता सहयोग
पहली नज़र में, डिस्ट्रिब्यूटेड फ़ायरवॉल की सबसे बड़ी दुर्बलता उपयोगकर्ताओं द्वारा सहयोग की कमी के प्रति उनकी अधिक संवेदनशीलता है। डिस्ट्रिब्यूटेड फ़ायरवॉल उपयोगकर्ताओं के छोटे समूहों को स्थापित करना आसान बनाकर द्वारा वास्तविक आक्षेपों के खतरे को कम कर सकते हैं। इस प्रकार, कोई फ़ाइल सर्वर तक पहुंच को केवल उन उपयोगकर्ताओं तक सीमित कर सकता है जिन्हें इसकी आवश्यकता है, कंपनी के अंदर किसी को भी अभिगम देने के अतिरिक्त होती है। यह योजनाओ के आकस्मिक विकृत को प्रतिबंधित करने के लिए कुछ प्रयास करने योग्य भी है। योजनाओ को डिजिटल रूप से हस्ताक्षरित किया जा सकता है, और एक अद्वितीय-से-प्रतिस्थापन स्थान में बार-बार बदलती कुंजी द्वारा सत्यापित किया जा सकता है। अधिक प्रबल सुरक्षा के लिए, नीति प्रवर्तन को विकृत-प्रतिरोधी नेटवर्क कार्ड में सम्मिलित किया जा सकता है।
संदर्भ
- ↑ 1.0 1.1 1.2 1.3 Bellovin, M. Steven "Distributed Firewalls", login, November 1999, pp. 39–47 https://www.cs.columbia.edu/~smb/papers/distfw.pdf
किताबें
- सोननरेइच, वेस, और टॉम येट्स, बिल्डिंग लिनक्स और ओपनबीएसडी फायरवॉल्स, सिंगापुर: एडिसन विले
- ज़्विकी, डी. एलिज़ाबेथ, साइमन कूपर, ब्रेंट डी. चैपमैन, बिल्डिंग इंटरनेट फायरवॉल ओ'रेली प्रकाशन
- स्ट्रेबे, फायरवॉल्स 24 सेवन, बीपीबी पब्लिशर्स
श्वेत पत्र और रिपोर्ट
- डॉ। हैनकॉक, बिल होस्ट-रेजिडेंट फायरवॉल: नेटवर्क आक्षेपों से विंडोज एनटी/2000 सर्वर और डेस्कटॉप का बचाव
- बेलोविन, एस.एम. और डब्ल्यू.आर. चेसविक, फायरवाल्स एंड इंटरनेट सिक्योरिटी: रिपेलिंग द विली हैकर, एडिसन-वेस्ले, 1994।
- Ioannidis, S. और Keromytis, A.D., और Bellovin, S.M. और जे.एम. स्मिथ, इम्प्लीमेंटिंग ए डिस्ट्रीब्यूटेड फायरवॉल, प्रोसीडिंग्स ऑफ कंप्यूटर एंड कम्युनिकेशंस सिक्योरिटी (सीसीएस), पीपी. 190-199, नवंबर 2000, एथेंस, ग्रीस।
श्रेणी:कंप्यूटर नेटवर्क सुरक्षा