Professional Documents
Culture Documents
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
ltalnos tjkoztat
T Z FA L A K
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
1/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
TARTALOMJEGYZK
1.
TZFAL................................................................................................................................ 3
2.
3.
4.
5.
IPTABLES................................................................................................................................. 8
MICROSOFT ISA SZERVER .......................................................................................................... 8
CISCO PIX 515E-R (RESTRICTED) .............................................................................................. 8
ZORP ........................................................................................................................................... 8
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
2/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
1. TZFAL
Napjainkban az Internet rohamos terjedsvel egyre nagyobb szksg van arra, hogy az
Internet fell rkez nem kvnatos tevkenysgeket tvol tartsuk sajt rendszernktl, mikzben a
munknkhoz szksges hozzfrseket lehetleg korltozs nlkl elrjk. A vdelem els
lpcsfoka a tzfal mely az Internet s a bels hlzatok kztti adat ramlst szablyozza.
A klnbz tzfal termkek felhasznlt technolgiban, s kpessgeikben akr jelentsen is
eltrhetnek egymstl.
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
3/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
2. TZFAL TECHNOLGIK
2.1. Csomagszr (packet filter)
A csomagszrk az thaladni kvn hlzati csomagok fejrszeit vizsgljk. A vizsglat sorn
az thalad csomagok fejlct elre meghatrozott szablyokkal (rule-ok) hasonltjk ssze, s
egyezs esetn a szablyhoz rendelt dntst (tovbb engedik, blokkoljk stb.) vgrehatjk. A
vizsglatot a forrs, s cl IP cmmel kezdik. A legtbb implementci esetben a kivetkez rteg
(adatkapcsolati) is kirtkelsre kerl (TCP, UDP). Ez esetben lehetsg van a forrs, illetve cl
portra val szrsre is. Ezen fell nhny megolds figyelembe veszi a fejlcben tallhat opcis
biteket is. A csomagszrk felptskbl kvetkezen nem alkalmasak bonyolult ignyek
implementlsra, az tmen forgalom sszetett szrsre, kapcsolatok kvetsre. A szablyok
mennyisge knnyen risira, tlthatatlanra dagadhat. A csomagok egymstl fggetlenl
kerlnek kirtkelsre, nincsenek a kapcsolatok nyomon kvetve. (Nem tudja eldnteni, hogy egy
csomag egy krsre adott vlasz vagy nem). A dntst sorn az egysz csomagnak csak 3-5%-t
veszik figyelembe. Tbb protokollon foly kommunikci (pl. FTP, SQLNet) hatkony szrse nem
oldhat meg.
Napjainkban egyre ritkbban hasznljk, inkbb csak router-ekben valstjk meg.
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
4/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
5/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
6/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
INTERNET
router
Tuzfal
PIX
inside interface
dmz interface
outside interface
demilitarizlt zna
(DMZ)
internet LAN
(megbzhatatlan)
publikusan elrheto
szolgltatsok (owa,
vpn stb...)
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
7/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
4. TZFALAK SSZEHASONLTSA
4.1. IPTABLES
Ez egy GNU/GPL nylt forrskd stateful packet filter alap tzfal csomag, Linux opercis
rendszerre. Hasznlata ingyenes. Kpes tbb csatornj protokollok kezelsre is. Rugalmas,
sokfle modult fejlesztetek hozz. Folyamatosan fejlesztik. Az opercis rendszer (Linux)
felkszthet, hogy csak a szksges funkcikat tmogassa (mr majdnem appliance). Erforrs
ignye nem nagy, fleg ha szveges zemmdban hasznljk az opercis rendszert.
Konfigurci mentse / visszatltse egyszer.
4.4. Zorp
A Zorp Professional a technolgia jelenlegi legfejlettebb szintjt alkot alkalmazs szint
tzfalak csaldjba tartoz magyar fejleszts. A rajta keresztlmen forgalmat az tvitt protokollt
megvalst gynevezett proxyk (megbzottak) ellenrzik s tovbbtjk. (Mly protokollelemzs)
A Zorp Professional jelenleg az albbi protokollok teljes formai elemzsre kpes: FTP, HTTP,
SSL, POP3, FINGER, WHOIS, NNTP, IMAP, TELNET, PRINTER, RADIUS, TFTP, LDAP, PGSQL,
ORACLE NET8.
Plug proxy-val brmely egy porton kommunikl kliens szerver kapcsolat felgyelhet. (SSH,
MYSQL, VNC, Microsoft Terminal Service, GOPHER, SMB/CIFS, TALK, SYSLOG, IPP, RSYNC)
A konkurens tzfal termkek nem kpesek az egymsba gyazott protokollok (HTTPS,
POP3S, SMTPS) kontrolllt tvitelre, gy mindssze kt lehetsgnk marad: teljes mrtkben
tiltjuk, vagy ellenrzs nlkl tengedjk az adott forgalmat. A Zorp szoftver modularitsa lehetv
teszi, hogy ezeket az egymsba gyazsokat is ellenrizzk, lvn minden proxy egy olyan modul,
mely kpes csatlakozni brmely ms modul ltal kiajnlott alprotokollhoz. Ez az egymsba
gyazssal megoldhat a protokollokban val vrus ellenrzs.
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
8/9
2005. 01. 05.
Irodatechnika
Szmtstechnika
H-1033 Budapest, Szentendrei t 39-53. Tel.: +36 1 437 5200; Fax: +36 1 437 5299; www.delta.hu
IPTABLES
cikkszm
termk nett ra
licenc
MS ISA
Cisco PIX
PIX-515E-R-DMZ-BUN
740 000 Ft
130 000 egyidej
kapcsolat (session)
8
160 000 Ft
ZORP PRO
ingyenes
GNU/GPL
400 000 Ft
1 processzor
installlsi id (ra)
installls nett
kltsge
8
148 000 Ft
8
148 000 Ft
hardver
opercis rendszer
technolgia
Intel processzoros gp
Linux
stateful inspection
Intel processzoros gp
Windows
stateful inspection,
(nmi proxy funkcik)
Telepts kpzettsgi
ignye
magas rendelkezsre
lls
sklzhatsg
svszlessg
menedzsment
domain
authentication,
authorization,
accounting (AAA)
VPN
kzepes
kzepes
magas
megoldhat
Enterprise verzi
unrestricted verzi
igen
megoldhat
igen
igen
unrestricted verzi
nem
nem
nincs
lehetsges
Active Directory
nem
radius,
Cisco ACS
ldap-on keresztl
ldap, radius,
ZAS
lehetsges, kln
program
nincs
nincs
software beptve
software (hardware)
software
van
ms gyrt termkvel
nincs
nincs
lehet authentikcihoz
brmilyen protokollban
kliens
vrus ellenrzs
630 000 Ft
100 darab vdett ip
14
259 000 Ft
Intel processzoros gp
Linux (specilis)
alkalmazs szint,
mly protokol elemzs,
modulris
magas
rdeklds:
Neuwald Tivadar, zletg Igazgat
DELTA Elektronik Kft.
Microsoft Gold Certified Partner
Microsoft Authorised Educational Reseller
CITRIX Silver Partner
Verziszm:
Ksztette:
Felels:
Kucsera Lszl
Utols nyomtats:
1.0
9/9
2005. 01. 05.