aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní



Podobné dokumenty
Identifikátor materiálu: ICT-3-03

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Architektura TCP/IP je v současnosti

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Komunikační protokoly počítačů a počítačových sítí

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Telekomunikační sítě Protokolové modely

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Zásobník protokolů TCP/IP

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

3.17 Využívané síťové protokoly

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Inovace bakalářského studijního oboru Aplikovaná chemie

Architektura TCP/IP v Internetu

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Počítačové sítě. Lekce 3: Referenční model ISO/OSI

JAK ČÍST TUTO PREZENTACI

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě Transportní vrstva. Transportní vrstva

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Zásobník protokolů TCP/IP

MODELY POČÍTAČOVÝCH SÍTÍ

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Inovace výuky prostřednictvím šablon pro SŠ

Inovace výuky prostřednictvím šablon pro SŠ

Základy počítačových sítí Model počítačové sítě, protokoly

Vlastnosti podporované transportním protokolem TCP:

Technologie počítačových komunikací

Identifikátor materiálu: ICT-3-10

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Úvod do informačních služeb Internetu

X36PKO Úvod Protokolová rodina TCP/IP

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Technologie počítačových sítí 2. přednáška

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Systémy pro sběr a přenos dat

Internet a jeho služby. Ing. Kateřina Ježková

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

Bezpečnost sí, na bázi IP

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Routování směrovač. směrovač

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Počítačové sítě Protokoly, architektura Normalizace architektury otevřených systémů Referenční model OSI standard ISO 7498 r

Inovace bakalářského studijního oboru Aplikovaná chemie

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

Co je to počítačová síť?

Univerzita Jana Evangelisty Purkyně Automatizace Téma: Datová komunikace. Osnova přednášky

5. Směrování v počítačových sítích a směrovací protokoly

Definice pojmů a přehled rozsahu služby

Aktivní prvky: brány a směrovače. směrovače

Počítačové sítě. Miloš Hrdý. 21. října 2007

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě internet

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Síťové protokoly. Filozofii síťových modelů si ukážeme na přirovnání:

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

Počítačová síť a internet. V. Votruba

Úvod Úrovňová architektura sítě Prvky síťové architektury Historie Příklady

ZPS 3 Standardizace počítačových sítí, zásobník TCP/IP, model ISO/OSI, vybrané protokoly

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Semestrální práce CC3 TCP/IP transport a aplikace

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Počítačové sítě. Další informace naleznete na :

Y36PSI Protokolová rodina TCP/IP

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Počítačové sítě ve vrstvách model ISO/OSI

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

OSI TCP/IP Aplikace a protokoly 7. aplikační 6. presentační 5. relační

Počítačové sítě II. 11. IP verze 4, adresy Miroslav Spousta, 2006

SSL Secure Sockets Layer

EXTRAKT z české technické normy

Protokoly přenosu. Maturitní otázka z POS - č. 15. TCP/IP (Transmission Control Protocol/Internet Protocol)

6. Transportní vrstva

Transkript:

B4. Počítačové sítě a decentralizované systémy Jakub MÍŠA (2006) 4. Technologie sítí TCP/IP, adresace, protokoly ARP, RARP, IP, ICMP, UDP, TCP a protokoly aplikační vrstvy. IP adresa verze 4. Komplexní zabezpečení sítě (firewally). TCP/IP Síťová architektura je návrh struktury, která umožňuje výměnu dat mezi systémy a splňuje určené požadavky vztahující se k této výměně dat. Pojem síťová architektura může být chápana jako fyzická struktura sítě (tzn. topologie, kabeláž, rozbočovače, přepínače, směrovače apod.) nebo jako logická (abstraktní) struktura popisující své jednotlivé vrstvy, služby, které vrstvy poskytují vrstvám nadřazeným, funkce, které se v jednotlivých vrstvách vykonávají a protokoly, které řídí přenos dat přes síť. V tomto pojetí je síťová architektura nazývána též protokolová architektura. Architekturu TCP/IP (Transmission Control Protocol/Internet Protocol) vytváří základní sada komunikačních protokolů celosvětové sítě Internet. Je používána také v sítích privátních, zvaných intranet a extranet. Implementace protokolů TCP/IP je základní podmínkou pro možnost přímého připojení jakéhokoliv počítače nebo jiného zařízení do Internetu. Sada protokolů TCP/IP Sada protokolů architektury TCP/IP má čtyři vrstvy. V porovnání s referenčním modelem OSI je znázorněna na obr. Architektura TCP/IP zahrnuje mnohem více protokolů, zde je uvedeno pouze několik příkladů. Referenční model ISO/OSI aplikační vrstva prezentační vrstva relační vrstva transportní vrstva síťová vrstva linková vrstva fyzická vrstva vrstvy orientované na podporu aplikací doručovací a ověřovací služby síťově orientované vrstvy pro přenos dat aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní Model TCP/IP aplikace SMTP FTP Telnet DNS server jmen protokoly UDP a TCP IP protokol tiskový server síťové rozhraní Ethernet, Token-Ring, FDDI,... Nejnižší vrstva, vrstva síťového rozhraní, zajišťuje přístup k přenosovému médiu a řízení datového spoje. Podrobněji není v rámci TCP/IP architektury specifikována. Její implementace závisí na přenosové technologii, kterou používá příslušná síť, ať již je to přenosová technologie LAN (např. Ethernet), nebo přenosová technologie WAN (např. ATM). Znamená to, že TCP/IP může být implementována na jakémkoliv typu sítě z hlediska používané přenosové technologie, tzn. na sítích heterogenních. Protokol IP je zásadním protokolem vrstvy síťové, zvané také vrstva IP. IP protokol podporuje komunikaci mezi síťovými uzly a zajišťuje na základě schématu IP adresace směrovací cesty pro pakety, které se v kontextu této vrstvy nazývají datagramy. IP protokol provádí také fragmentaci datagramů v případě, že jejich původní velikost přesahuje maximální velikost rámce, který může přijmout cílový uzel. Tu stanoví příslušná přenosová technologie. IP protokol provede případně také znovusestavení datagramu, tj. defragmentaci přijatých dat. Protokol ICMP (Internet Control Message Protocol, také na síťové vrstvě) podporuje protokol IP v tom smyslu, že informuje vysílací (zdrojový) uzel o určitých nekorektních situacích, které nastaly v průběhu přenosu datagramu. Jedná se tedy o zprávy režijní, které se v případě korektních přenosů nevysílají. 1/5

Třetí vrstva TCP/IP je vrstva transportní. Zajišťuje transportní službu pro předání dat mezi koncovými uživatelskými procesy. Transportní vrstva zahrnuje dva protokoly: TCP protokol poskytuje službu spojovanou. To znamená, že vytvoří mezi komunikujícími koncovými procesy virtuální komunikační kanál, ve kterém probíhá řízený (potvrzovaný) přesun dat. Je to služba zajišťující spolehlivý přesun dat bez ztrát a duplikací TCP datových segmentů. UDP protokol poskytuje nespojovanou službu bez potvrzování příjmu předávaných datagramů. Přesun dat probíhá rychleji než v předchozím případě, korektnost transakce musí ověřit protokoly vyšší vrstvy (aplikační). Aplikační vrstva je nejvyšší vrstvou TCP/IP architektury a kromě přístupu k službám Internetu, který poskytuje uživatelským aplikacím, zajišťuje také správu relací koncových aplikací (jedná se o relace typu klient/server) a přípravu dat k transakci. Aplikační vrstva TCP/IP sdružuje funkce nejvyšších třech vrstev referenčního modelu OSI. Do aplikační vrstvy je přiřazeno velké množství protokolů určených různým službám Internetu. Některé protokoly poskytují tutéž službu a programátor volí pro aplikaci, kterou vyvíjí, ten protokol, který odpovídá nejvíce jeho záměrům. Určitá skupina aplikačních protokolů jsou protokoly povinné, neboť operační systém, který by je neimplementoval, by nemohl poskytovat ani minimální síťový servis. Další skupinu tvoří protokoly doporučené, které podporují základní síťové služby a poslední skupinou jsou protokoly doplňkové, podporující rozšířené síťové služby. Vývoj nových aplikačních protokolů neustává, naopak počet nových aplikačních protokolů se neustále zvyšuje v souvislosti s novými službami, které Internet nabízí (např. protokoly pro podporu multimediálních přenosů v reálném čase). Protokoly aplikační vrstvy Mezi nejpoužívanější aplikační protokoly TCP/IP sady patří následující protokoly zajišťující uživatelům internetové služby: TELNET protokol virtuálního vzdáleného terminálu FTP (File Transfer Protocol) protokol podporující přenos souborů mezi vzdálenými systémy SMTP (Simple Mail Transport Protocol) protokol podporující elektronickou poštu IMAP (Internet Message Access Protocol) a POP (Post Office Protocol) protokoly umožňující přístup uživatelům do poštovních schránek ze vzdálených počítačů HTTP (Hypertext Transfer Protocol) protokol podporující distribuované informační systémy (např. WWW) používající hypertextové dokumenty Následující protokoly nezprostředkovávají přímo uživatelské služby, ale spíše služby systémové, vytvářející pro uživatele funkční pracovní prostředí. Jsou to: směrovací protokoly, např. RIP (Routing Information Protocol), OSPF (Open the Shortest Path First), BGP (Border Gateway Protocol) pro podporu vytváření přenosových cest datagramů DNS (Domain Name System) protokol pro podporu mapování doménových jmen uzlů do IP adres a naopak SNMP (Simple Network Management Protocol) protokol podporující monitoring, správu a koordinaci TCP/IP sítě PPP (Point-to-Point Protocol) protokol umožňující připojení uživatelova počítače přes komutovanou telefonní linku do sítě (tzv. dial up ) RTP (Real Time Protokol) protokol podporující přenosy dat v reálném čase Standardy TCP/IP protokolů jsou vyvíjeny a udržovány nezávisle na jakémkoliv typu hardware nebo operačního systému a jsou implementovány na mnoha systémových platformách (Intel a Macintosh osobní počítače, Sun servery a pracovní stanice, DEC servery, HP servery, IBM mainframes atd.). TCP/IP je rodným síťovým protokolem operačních systémů třídy UNIX a je implementován ve všech ostatních současných operačních systémech (operační systémy Microsoftu, IBM OS/2, Novel, atd.). TCP/IP sítě mohou být provozovány na různých přenosových technologiích jako je Ethernet, IEEE 802.3, Token Ring, FDDI a bezdrátové síťové systémy. 2/5

Další protokoly TCP/IP Protokol ARP (Address Resolution Protocol) Internetový protokol, který dynamicky mapuje internetové síťové IP adresy do fyzických (hardwarových) MAC adres. Protokol ARP je definován v RFC 826 a je omezen na sítě, které podporují všesměrové vysílání. Protokol RARP (Reverse Address Resolution Protocol) Jeden ze sady protokolů TCP/IP, mapující fyzickou MAC adresu do IP adresy, používaný např. stanicí pro zjištění své IP adresy při bootování. Protokol IP (Internet Protocol) Síťový protokol ze sady protokolů TCP/IP, pracující na třetí síťové vrstvě dle OSI modelu, zajištující přenos paketu službou bez navazování spojení (verze 4, IPv4). IP protokol je definován v RFC 791. Protokol ICMP (Internet Control Message Protocol) Jeden z rodiny síťových protokolů IP k přenosu chybových a řídicích zpráv na IP vrstvě (specifikován v RFC 792). Protokol UDP (User Datagram Protocol) Protokol přenosové vrstvy bez navazování spojení ze sady protokolů TCP/IP, který stejně jako protokol TCP používá protokol IP, ale na rozdíl od něj poskytuje doručení datagramu bez záruky. Protokol TCP (Transmission Control Protocol) Nejpoužívanější přenosový protokol v IP sítích, poskytující spolehlivé, plně duplexní přenosy s navazováním spojení. IP adresa verze 4 Adresní schéma implementované v protokolu IP verze 4 (IPv4), který je v současnosti jedním ze základních protokolů Internetu, umožňuje jednoznačně označit více než miliardu síťových uzlů. IP adresa je 32bitové číslo identifikující odesílatele a příjemce informace, která se ve formě datových paketů přenáší Internetem. IP adresa má dvě části: část označující určitou síť a část označující určité zařízení (PC, server, směrovač ) náležející do této sítě. Na vlastním Internetu (tj. na směrovačích, které předávají paket mezi sebou směrem k cíli) se zkoumá pouze část IP adresy označující síť. Teprve až v rámci cílové sítě se paket doručuje podle identifikátoru zařízení, zvaném také lokální adresa. Každá síť připojená k Internetu musí mít svou adresu. Organizace Network Information Center (NIC) je správcem IP adresového pole Internetu. Vzhledem k tomu, že existující sítě různých velikostí, byly pro adresní schéma IPv4 navrženy 3 třídy IP adres, označených A, B a C. Čtvrtý typ, třída D, je určen pro zvláštní účel. IP adresy se zpravidla zapisují jako čtveřice desítkových čísel, z nichž každé vyjadřuje hodnotu osmice bitů. Čísla jsou navzájem oddělena tečkou, např. 195.178.72.10. Třída A je určena velmi velkým sítím s velkým počtem síťových zařízení. Pro adresu třídy A platí, že první bit první osmice má hodnotu 0 a dalších 7 bitů je určeno pro identifikaci sítě. Zbylých 24 bitů lze využít pro identifikaci síťových zařízení. Příklad IP adresy třídy A: 68.122.150.12. Třída B je určena sítím střední velikosti. Pro adresu třídy B platí, že první dva bity první osmice mají hodnotu 10 a dalších 14 bitů je určeno pro identifikaci sítě. Zbylých 16 bitů lze využít pro identifikaci síťových zařízení. Příklad IP adresy třídy A: 147.22.250.112. Třída C je určena pro sítě menší, adres tohoto typu je k disposici nejvíce. V současnosti je to prakticky jediný typ IP adres, který se organizacím přiděluje. Pokud by k adresaci podnikové sítě nestačila jedna IP adresa, je podniku přidělena skupina více IP adres. Jestliže v této skupině jsou IP adresy po sobě následující, je tato skupina označena jako blok IP adres. Pro adresu třídy C platí, že první 3 bity první osmice mají hodnotu 110 a dalších 21 bitů 3/5

je určeno pro identifikaci sítě. Zbylých 8 bitů lze využít pro identifikaci síťových zařízení. Příklad IP adresy třídy A: 197.2.58.12. Třída D je určena pro skupinovou adresaci a slouží k označení určité skupiny zařízení, která byla vytvořena s určitým záměrem (např. správa sítě, skupinové multimediální přenosy atd.). Jednotlivá zařízení skupiny mohou náležet do různých IP sítí. Takové zařízení má tedy současně IP adresu síťovou i IP adresu skupinovou. Pro adresu třídy D platí, že první 4 bity první osmice mají hodnotu 1110 a dalších 28 bitů je určeno pro identifikaci skupiny. Příklad IP adresy třídy D: 225.2.58.12. Kromě síťové IP adresy, která je adresou logickou, má každé síťové zařízení svou adresu hardwarovou, danou výrobcem. Tato adresa se označuje někdy jako MAC adresa nebo Ethernet adresa. Má 48 bitů a zapisuje se jako šest dvojic hexadecimálních čísel navzájem oddělených dvojtečkou (např.: 08:00:20:91:DC:83). Ethernet adresy používají funkce síťového rozhraní. Doménová jména IP adresy coby numerické identifikátory používají TCP/IP protokoly k určení uzlu TCP/IP sítě. Pro uživatelské aplikace jsou vhodnějšími identifikátory síťových uzlů alfanumerické řetězce, které mohou mít nějaký význam a jsou tudíž pro člověka lépe zapamatovatelné. Každé přidělené IP adrese je možno přiřadit také takový alfanumerický řetězec, který se stává tzv. doménovým jménem zařízení. Doménové jméno zahrnuje jméno zařízení a označení subdomény a domény, ke které náleží. Jednotlivé složky doménového jména jsou odděleny tečkou. Například doménové jméno dahlia.mendelu.cz je přiřazeno zařízení s IP adresou 195.178.72.10. Jméno zařízení je dahlia a přísluší do domény mendelu.cz. Mendelu je označení části domény označené cz. Všechna doménová jména Internetu jsou uspořádána do hierarchie nazvané Domain Name System (DNS). Její vrchol tvoří kořenová doména, spravovaná NIC. Další úroveň tvoří státní nebo oborové domény (tzv. domény nejvyšší úrovně top level domain). Pod nimi jsou domény druhé, třetí, atd. úrovně, které jsou ve správě organizací provozujících lokální počítačové sítě. Jak bylo uvedeno, uživatelské programy používají k označení síťového zařízení spíše doménová jména, než číselné IP adresy. Protože ale protokoly nižších vrstev TCP/IP vyžadují pro svou činnost IP adresy a nikoliv doménová jména, musí být doménová jména na IP adresy konvertována. Tento převod provádí funkce implementující protokol DNS, které jsou vestavěny do každé síťové aplikace. Konverze doménových jmen na IP adresy je tedy pro uživatele aplikace zcela transparentní. Prostor doménových jmen je administrativně rozdělen do oblastí zvaných zóny ( zóna často představuje podnikovou nebo univerzitní LAN). Každé zařízení náležející do určité zóny má svůj záznam v zónovém souboru, který je databází pro službu DNS. Zónové soubory jsou udržovány na určeném počítači zvaném name server nebo DNS server. DNS je tedy distribuovaný systém Internetu, protože informační zdroje podporující DNS servis jsou rozptýleny na mnoha tisících name serverech, odpovídajících za svou vlastní zónu. Směrování a směrovací protokoly Směrování je děj, při kterém se provádí přenos informace mezi sítěmi od zdrojového systému k systému cílovému. Při směrování prochází paket minimálně jedním mezilehlým zařízením zvaným směrovač (router). Směrovač je zařízení propojující nejméně dvě sítě s vlastní IP adresou. Směrovač může být buď počítač k tomu určený, nebo speciální zařízení. Jestliže směrovač propojuje N sítí, musí být vybaven N síťovými rozhraními, mezi nimiž vybere směr pro přenášený paket. Směrovač nezkoumá obsah paketu, pouze obsah záhlaví IP protokolu, neboť je v něm uložena IP adresa cílového zařízení. 4/5

Směrování zahrnuje dvě základní aktivity: Určení optimální přenosové cesty. Tato funkce, někdy označovaná jako nepřímé směrování, je značně složitá a vyžaduje řešení v širokých souvislostech. Odeslání paketu do jedné z připojených sítí směrem k cílovému zařízení. Tato funkce, zvaná přímé směrování, je implementována v příslušné síťové technologii. Komplexní zabezpečení sítě (firewally) Firewall je program, který spolu se směrovačem řídí přístup do chráněné sítě. Řízené přístupy do sítě z vnější nechráněné sítě jsou středem zájmů komerčních uživatelů Internetu provozujících své lokální sítě a jsou pilíři privátních sítí typu intranet a extranet. Firewally jsou konfigurovatelné programy, jejichž nastavení určuje stupeň restrikcí, které jsou uplatňovány na procházejících datových paketech. Konfigurace firewallů odpovídá bezpečnostní politice organizace provozující chráněnou síť. Firewall je bariéra, která chrání síť před neoprávněnými přístupy, tzn. před přímými útoky. Před nepřímými útoky, kdy útočník zneužije existující oprávněný přístup (např. uhodnutím hesla) a pak provede svůj záměr, firewall síť uchránit nemůže. Protože se síťové útoky, zvláště útoky vedené proti různým databázovým serverům a webovým stránkám (firemním, univerzitním, státní správy atd.), stávají stále častějšími a nebezpečnějšími, je nutné lokální sítě, do kterých tyto počítače náležejí, dostatečně chránit. Činnost firewallu je založena na následujících technologiích: Filtrace datových paketů, kde na základě analýzy dat v záhlaví (tzv. parametrů záhlaví) paketů protokolů IP, TCP nebo UDP se rozhoduje, zda paket bude propuštěn do lokální sítě či nikoliv. U paketových filtrů je možno explicitně zakázat určité síťové služby nebo naopak určité síťové služby explicitně povolit. Vyšší stupeň zabezpečení představuje explicitní určení povolených síťových služeb, které poskytují servery z chráněné lokální sítě. Proxy servery, kde firewall zprostředkuje klientovi z vnější nechráněné sítě transakci se serverem z vnitřní chráněné sítě. Koncové body komunikačního kanálu nejsou přímo propojeny, místo toho jsou vytvořena dvě oddělená spojení. Firewall se stává kontrolním bodem, kde se data podrobují pravidlům stanoveným pro určitý typ síťové služby. Klient tedy komunikuje s proxy serverem, který předává jeho požadavky serveru a naopak odpovědi serveru transformuje do zpráv, které odesílá klientovi. Skutečné IP adresy serverů se v odpovědích, které obdrží klient, neobjeví. Proxy server může pracovat jako obvodová brána (circuit level gateway) nebo aplikační brána (application gateway). Obvodová brána hodnotí relace transportní, kdežto aplikační brána řídí přístupy do lokální sítě na základě pravidel stanovených pro konkrétní síťovou službu nebo určitý formát uživatelských dat (např. datové toky formátu H.323 video data). Aplikační brány pracují mnohem sofistikovaněji než paketové filtry a obvodové brány, které určují o průchodu nebo zablokování paketu na základě údajů, které paket nese ve svém záhlaví. Stavové vícevrstvové inspekční brány (stateful multi-layer inspection gateways) jsou co do funkčnosti nejsložitější a tudíž technologicky nejnáročnější firewally. Jejich činnost je založena na dynamickém filtrování příchozích paketů. Pracují se stavovými tabulkami protokolů napříč vrstvami architektury TCP/IP. Jsou schopny provádět rozhodování o propouštění paketů do lokální chráněné sítě v určitém kontextu, tj. na základě znalostí předchozích stavů. Přestože ani firewally nezaručí absolutní ochranu lokálních sítí, pravděpodobnost úspěšných útoků se značně sníží. Investice do zřízení firewallu, i když jsou nemalé, se jistě vyplatí, neboť úspěšně vedený útok proti strategicky důležitým datům podniku, uloženým v souborových systémech serverů, může vážně podnik poškodit ekonomicky i morálně. 5/5

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář