ይህ ሁለተኛው ጽሑፍ በፓኬት ማጣሪያ ላይ ችግሮችን እንዴት እንደሚፈታ ይገልጻል. በ "ችግር" - "መፍትሄ" መልክ የተዘጋጀ የተዘጋጀ ጠረጴዛ ከማቅረብ ይልቅ የተነሱትን ችግሮች ለመፍታት ስልታዊ አቀራረብ ዘዴዎች ተሰጥተዋል.
ይህ ሁለተኛው መጣጥፍ (በተከታታይ ሶስት) የፓኬት ማጣሪያ ችግሮችን እንዴት እንደሚፈታ ይገልጻል። በ "ችግር" - "መፍትሄ" መልክ የተዘጋጀ የተዘጋጀ ጠረጴዛ ከማቅረብ ይልቅ የተነሱትን ችግሮች ለመፍታት ስልታዊ አቀራረብ ዘዴዎች ተሰጥተዋል.
መግቢያ
የፓኬት ማጣሪያ የሕጎችን ስብስብ በማለፍ የማጣሪያ ፖሊሲን ይተገብራል እና በዚህ መሠረት እሽጎችን ያግዳል ወይም ያልፋል። ምእራፉ የማጣሪያ ፖሊሲው በትክክል መተግበሩን እንዴት ማረጋገጥ እንደሚቻል እና ይህ ካልሆነ ስህተቶችን እንዴት ማግኘት እንደሚችሉ ያብራራል።
በአጠቃላይ በዚህ የምዕራፍ ኮርስ የማጣራት ሕጎችን የመጻፍ ሥራን ከፕሮግራም አወጣጥ ጋር እናነፃፅራለን። የፕሮግራም ችሎታ ከሌልዎት ይህ ንፅፅር ለእርስዎ በጣም የተወሳሰበ ይመስላል። ነገር ግን ደንቦችን መጻፍ በራሱ መገኘትን አይጠይቅም የአካዳሚክ ዲግሪበ"ኮምፒዩተር ሳይንስ" ወይም በፕሮግራሚንግ ልምድ፣ አይደል?
መልሱ አይደለም፣ ምናልባት እርስዎ አያስፈልጓቸው ይሆናል። የፓኬት ማጣሪያን ለማዋቀር የሚጠቅመው ቋንቋ ከሰው ቋንቋዎች ጋር ተመሳሳይ ነው። ለምሳሌ:
ሁሉንም አግድ
ሁሉንም ያውጡ
በፕሮቶ tcp ወደ ማንኛውም ወደብ www keep state ይለፉ
በእውነቱ፣ ይህ ስብስብ ምን እንደሚሰራ ለመረዳት በአቅራቢያዎ ያለ ፕሮግራመር ሊኖርዎት አይገባም ወይም ኢንቱሽን በመጠቀም ተመሳሳይ የማጣሪያ ፖሊሲ ለመፃፍ። በዚህ ተመሳሳይነት የተፈጠሩ የማጣሪያ ደንቦች ስብስብ ደራሲው ያሰቧቸውን ድርጊቶች የመፈፀም እድሉ ከፍተኛ ነው።
እንደ አለመታደል ሆኖ ኮምፒውተሮች እርስዎ እንዲያደርጉ የሚጠይቁትን ብቻ ነው የሚሰሩት እንጂ እርስዎ እንዲያደርጉት የሚፈልጉትን አይደለም። ይባስ ብሎ ልዩነት ካለ የፈለጉትን ከሚፈልጉት መለየት አይችሉም። ይህ ማለት ኮምፒዩተሩ የፈለጋችሁትን በትክክል ካላደረገ መመሪያውን በግልፅ እንደገለፅክ ቢያስቡም ልዩነቶቹን ለማግኘት እና መመሪያዎቹን ለመቀየር በእጅዎ ነው። እና ይሄ በፕሮግራም አወጣጥ ውስጥ የተለመደ ችግር ስለሆነ፣ ፕሮግራመሮች እንዴት እንደሚቋቋሙት ማየት እንችላለን። ፕሮግራሞችን እና የማጣሪያ ደንቦችን ለመፈተሽ እና ለማረም የሚያገለግሉ ክህሎቶች እና ዘዴዎች በጣም ተመሳሳይነት ያላቸው እዚህ ነው. እና ግን እዚህ ለሙከራ እና ለማረም ያለውን አንድምታ ለመረዳት የማንኛውም የፕሮግራም ቋንቋ እውቀት አያስፈልግዎትም።
ጥሩ የማጣሪያ ፖሊሲ።
የማጣሪያ ፖሊሲ ከፋየርዎል የምንፈልገውን መደበኛ ያልሆነ መግለጫ ነው። በተቃራኒው, የሕጎች ስብስብ, የዝርዝር አተገባበር, መደበኛ መመሪያዎች ስብስብ ነው, በማሽን የሚተገበር ፕሮግራም. በዚህ መሠረት አንድ ፕሮግራም ለመጻፍ ምን ማድረግ እንዳለበት መወሰን አለብዎት.
ስለዚህ በፋየርዎል ውቅረት ውስጥ የመጀመሪያው እርምጃ ምን ማግኘት እንደሚፈልጉ መደበኛ ባልሆነ መንገድ መግለጽ ነው። በየትኞቹ ግንኙነቶች መታገድ ወይም መፈቀድ አለባቸው?
ምሳሌ ይሆናል፡-
በፋየርዎል እርስ በርስ መነጣጠል ያለባቸው ሶስት አውታረ መረቦች አሉ. ከአንዱ አውታረ መረብ ወደ ሌላ ማንኛውም ግንኙነት በፋየርዎል ውስጥ ያልፋል። ፋየርዎል 3 በይነገጾች ያሉት ሲሆን እያንዳንዳቸው ከተዛማጅ አውታረ መረብ ጋር የተገናኙ ናቸው።
$ext_if - ወደ ውጫዊ አውታረ መረብ.
$dmz_if - DMZ ከአገልጋዮች ጋር።
$lan_if - LAN ከስራ ጣቢያዎች ጋር።
በ LAN ላይ ያሉ አስተናጋጆች በDMZ ወይም በውጪ አውታረመረብ ውስጥ ካሉ አስተናጋጆች ጋር ለመገናኘት ነጻ መሆን አለባቸው።
በDMZ ውስጥ ያሉ አገልጋዮች በውጫዊ አውታረመረብ ላይ ካሉ አስተናጋጆች ጋር በነፃነት መገናኘት መቻል አለባቸው። የውጪ አውታረ መረብ አስተናጋጆች በዲኤምዜድ ውስጥ ከሚከተሉት አገልጋዮች ጋር ብቻ መገናኘት ይችላሉ፡
የድር አገልጋይ 10.1.1.1 ወደብ 80
ደብዳቤ አገልጋይ 10.2.2.2 ወደብ 25
ሁሉም ሌሎች ግንኙነቶች መከልከል አለባቸው (ለምሳሌ በውጫዊ አውታረ መረብ ላይ ካሉ ማሽኖች እስከ LAN ላይ ያሉ ማሽኖች)።
ይህ ፖሊሲ መደበኛ ባልሆነ መንገድ የተገለፀው ማንም ሰው ያነበበው እንዲረዳው ነው። አንባቢው እንደ ‘ከአስተናጋጅ X እስከ ዋይ አስተናጋጅ ያለው ግንኙነት እንዲመጣ (ወይንም ወጪ) በበይነገጹ Z ላይ ይፈቀዳል?’ ለሚለው ጥያቄ በቀላሉ ምላሾችን ማዘጋጀት እንዲችል በጣም ልዩ መሆን አለበት። ፖሊሲዎ ይህንን መስፈርት አያሟላም ወይ ብለው እያሰቡ ከሆነ፣ ምክንያቱ በደንብ ስላልተገለጸ ነው።
እንደ “አስፈላጊ የሆነውን ሁሉ ፍቀድ” ወይም “ጥቃቶችን ማገድ” ያሉ “Vague” ፖሊሲዎች መገለጽ አለባቸው፣ አለበለዚያ እነሱን መተግበር ወይም ማረጋገጥ አይችሉም። እንደ ሶፍትዌር ልማት፣ ደካማ መደበኛ ያልሆኑ ተግባራት ወደ ትክክለኛ ወይም ትክክለኛ አተገባበር አይመሩም። ("ደንበኛው የሚፈልገውን እያወቅኩ ለምን ኮድ መጻፍ አትጀምርም").
ፖሊሲን የሚተገብሩ ደንቦች ስብስብ
የሕጎች ስብስብ በመደበኛ ቋንቋ ውስጥ ዓረፍተ ነገሮችን የያዘ እንደ የጽሑፍ ፋይል ነው የተፃፈው። የምንጭ ኮዱ በአቀናባሪው ተዘጋጅቶ ወደ ማሽን ኮድ መመሪያ እንደተተረጎመ ሁሉ የሩልሴት "ምንጭ ጽሑፍ" በpfctl ተሰርቷል ውጤቱም በ pf በከርነል ይተረጎማል።
የምንጭ ኮድ የመደበኛ ቋንቋ ደንቦችን ሲጥስ፣ ተንታኙ የአገባብ ስህተትን ሪፖርት ያደርጋል እና ፋይሉን የበለጠ ለማስኬድ ፈቃደኛ አይሆንም። ይህ ስህተት የማጠናቀር-ጊዜ ስህተት ነው እና ብዙውን ጊዜ በፍጥነት ሊስተካከል ይችላል። pfctl የእርስዎን የሩልሴት ፋይል መተንተን በማይችልበት ጊዜ ስህተት ያለበትን መስመር እና ሊተነተን ያልቻለውን የበለጠ ወይም ያነሰ መረጃ ሰጪ መልእክት ያትማል። ሙሉው ፋይል ያለ አንድ ስህተት እስኪሰራ ድረስ pfctl በከርነል ውስጥ ያለውን የቀድሞ ደንቦች ስብስብ አይለውጥም. እና ፋይሉ አንድ ወይም ከዚያ በላይ የአገባብ ስህተቶች ስላለ፣ ፒኤፍ ሊፈጽመው የሚችለው ምንም “ፕሮግራም” አይኖርም።
ሁለተኛው የስህተት አይነት "የሩጫ ጊዜ ስህተቶች" ይባላል ምክንያቱም በአገባብ በትክክል የተጻፈ ፕሮግራም በተሳካ ሁኔታ ሲተረጎም እና ሲተገበር ነው. በአጠቃላይ በፕሮግራሚንግ ቋንቋዎች አንድ ፕሮግራም በዜሮ ሲከፋፈል፣ ልክ ያልሆኑ የማህደረ ትውስታ ቦታዎችን ለማግኘት ሲሞክር ወይም የማስታወስ ችሎታው ሲያልቅ ሊከሰት ይችላል። ነገር ግን ደንቡ የፕሮግራም አወጣጥ ቋንቋዎችን ተግባራዊነት ብቻ ስለሚመስል አብዛኛዎቹ እነዚህ ስህተቶች ህጎቹ በሚተገበሩበት ጊዜ ሊከሰቱ አይችሉም ፣ ለምሳሌ ፣ ደንቦቹ የሚባሉትን ሊያስከትሉ አይችሉም። "የስርዓት ብልሽት", እንደ መደበኛ ፕሮግራሞች. ነገር ግን, የሕጎች ስብስብ ተመሳሳይ ስህተቶችን ሊያስከትል ይችላል, በማገድ መልክ ወይም በተቃራኒው, ከፖሊሲው ጋር የማይጣጣሙ ፓኬቶችን ማለፍ. ይህ አንዳንድ ጊዜ ይባላል አመክንዮአዊ ስህተት, ልዩ የሆነ ወይም የማይቆም ስህተት, ነገር ግን በቀላሉ የተሳሳተ ውጤት ያስገኛል.
ስለዚህ፣ ፋየርዎል የደኅንነት ፖሊሲያችንን በትክክል መተግበሩን ማረጋገጥ ከመጀመራችን በፊት፣ መጀመሪያ የደንቡን ደንብ በተሳካ ሁኔታ መጫን አለብን።
የትንታኔ ስህተቶች
የተንታኞች ስህተቶች የሚከሰቱት pfctl ን በመጠቀም የሕጎችን ዝርዝር ለመጫን ሲሞክሩ ነው፡- ለምሳሌ፡-
# pfctl -ረ/ወዘተ/ገጽ.conf
/ ወዘተ/ገጽ.conf: 3:አገባብስህተት
ይህ መልእክት በመስመር 3 ላይ የአገባብ ስህተት እንዳለ /etc/pf.conf እና pfctl ህጎቹን መጫን እንደማይችል ያመለክታል። በከርነል ውስጥ ያለው ስብስብ አልተቀየረም, አዲስ ለመጫን ከመሞከርዎ በፊት እንደነበረው ይቆያል.
በpfctl የተፈጠሩ ብዙ አይነት ስህተቶች አሉ። በpfctl ለመጀመር፣ በጥንቃቄ ማንበብ ብቻ ያስፈልግዎታል። ምናልባት ሁሉም የመልእክቱ ክፍሎች ትርጉማቸውን ወዲያው አይገልጡልህም፣ ነገር ግን ሁሉንም ማንበብ አለብህ፣ ምክንያቱም... ይህ በኋላ ላይ ምን እንደተፈጠረ ለመረዳት ቀላል ያደርገዋል. መልዕክቱ የፋይል ስም: ቁጥር: ጽሑፍን ክፍል ከያዘ በተጠቀሰው ፋይል ውስጥ ካለው ተዛማጅ ቁጥር ጋር ያለውን መስመር ያመለክታል.
ቀጣዩ ደረጃ በመጠቀም የውጤት ሕብረቁምፊን መመልከት ነው የጽሑፍ አርታዒ(በቪ ውስጥ 3ጂን በድምጽ ሁነታ በማስገባት ወደ መስመር 3 መሄድ ይችላሉ) ወይም እንደዚህ፡-
# ድመት -n /etc/pf.conf
1 int_if = "fxp 0"
2 ብሎኮች ሁሉንም
3 በ$int_if inet all keep state ይለፉ
በ$ int_if all keep state ን ማለፍ
ችግሩ ቀላል የፊደል አጻጻፍ ሊሆን ይችላል, ልክ በዚህ ሁኔታ ("ከ "ማቆየት" ይልቅ "ማቆየት"). ከተስተካከለ በኋላ ፋይሉን እንደገና ለመጫን ይሞክሩ፡
# pfctl -ረ/ወዘተ/ገጽ.conf
/ ወዘተ/ገጽ.conf: 3:አገባብስህተት
# ራስ -n 3 /etc/pf.conf | ጅራት -n 1
ሁሉም የስቴት ሁኔታን ከጠበቁ በ$int_ ላይ ኢንኔትን ያስተላልፉ
አሁን ሁሉም ቁልፍ ቃላቶች ትክክል ናቸው፣ ነገር ግን ጠለቅ ብለን ስንመረምር የ"ኢኔት" ቁልፍ ቃል ከ"$int_if" በፊት ማስቀመጥ የተሳሳተ መሆኑን እናስተውላለን። ይህ የሚያሳየው ተመሳሳይ መስመር ከአንድ በላይ ስህተቶችን ሊይዝ እንደሚችል ነው። Pfctl የመጀመሪያውን ስህተት ያትማል እና መፈጸሙን ያቆማል። እንደገና ሲጀመር ተመሳሳይ የመስመር ቁጥር ከተሰጠ, በውስጡ አሁንም ስህተቶች አሉ ወይም ቀዳሚዎቹ በትክክል አልተስተካከሉም ማለት ነው.
በትክክል ያልተቀመጡ ቁልፍ ቃላቶች እንዲሁ የተለመደ ስህተት ናቸው። ይህ በ man pf.conf(5) የእርዳታ ፋይል መጨረሻ ላይ ካለው የቢኤንኤፍ አገባብ ጋር ደንቡን በማነፃፀር ሊገለጥ ይችላል፣ እሱም የሚከተሉትን ያካትታል፡-
pf-rule= ድርጊት [("ውስጥ" | "ውጭ")]
["ሎግ" | "log-all"] ["ፈጣን"]
["በ" ifspec] [መንገድ] [af] [protospec]
አስተናጋጆች [የማጣሪያ ዝርዝር]
ifspec = (["!"] በይነገጽ-ስም) | "("በይነገጽ ዝርዝር")"
አፍ = "inet" |"inet6"
"ኢኔት" የሚለው ቁልፍ ቃል በ$int_if ላይ መከተል አለበት ማለት ምን ማለት ነው
እናስተካክለው እና እንደገና እንሞክር፡-
# pfctl -ረ/ወዘተ/ገጽ.conf
/ ወዘተ/ገጽ.conf: 3:አገባብስህተት
# ራስ -n 3 /etc/pf.conf | ጅራት -n 1
በ$int_if inet ላይ ማለፍ ሁሉም የግዛት ሁኔታን ይጠብቁ
አሁን ምንም ግልጽ ስህተቶች የሉም። ግን ሁሉንም ተጓዳኝ ዝርዝሮች አናይም! መስመሩ በማክሮ ፍቺው $ inf_if ይወሰናል። በስህተት ምን ሊገለጽ ይችላል?
# pfctl -vf /etc/pf.conf
int_if = "fxp 0"
ሁሉንም አግድ
/etc/pf.conf:3: የአገባብ ስህተት
የትየባውን “fxp 0” ወደ “fxp0” ካስተካከልክ በኋላ እንደገና ሞክር፡-
# pfctl -ረ/ወዘተ/ገጽ.conf
የመልእክቶች አለመኖር ፋይሉ በተሳካ ሁኔታ እንደወረደ ያሳያል።
በአንዳንድ አጋጣሚዎች pfctl ከ"አገባብ ስህተት" የበለጠ ልዩ የሆኑ የስህተት መልዕክቶችን ሊያሰራ ይችላል፡-
# pfctl -f /etc/pf.conf
/etc/pf.conf:3: ወደብ የሚመለከተው tcp/udp ብቻ ነው።
/etc/pf.conf:3፡ በስህተት ምክንያት ህግን መዝለል
/etc/pf.conf:3፡ ደንብ ወደማይሰራ ጥምረት ይዘልቃል
# ራስ -n 3 /etc/pf.conf | ጅራት -n 1
በ$int_if ወደብ ssh keep state ይለፉ
የስህተት መልእክት የመጀመሪያው መስመር ከሌሎቹ ጋር ሲወዳደር በጣም መረጃ ሰጪ ነው። በዚህ ጉዳይ ላይ ችግሩ ደንቡ, ወደብ ሲገለጽ, ፕሮቶኮሉን - tcp ወይም udp አይገልጽም.
ውስጥ አልፎ አልፎ pfctl የማይታተሙ ቁምፊዎች ወይም በፋይል ውስጥ አላስፈላጊ ቦታዎች በመኖራቸው ግራ ሊጋባ ይችላል ፣ እንደዚህ ያሉ ስህተቶች ልዩ የፋይሉ ሂደት ካልተደረገ ለመለየት ቀላል አይደሉም።
# pfctl -f /etc/pf.conf
/etc/pf.conf:2: ነጭ ቦታ በኋላ \
/etc/pf.conf:2: የአገባብ ስህተት
# ድመት -ent /etc/pf.conf
1 አግድ ሁሉንም$
2 በ gem0 ላይ ከማንኛውም ወደ ማንኛውም \ $ ያስተላልፉ
3 ^ አይኬግዛት$
ችግሩ እዚህ ላይ ያለው የቦታ ቁምፊ ነው, ከጀርባው በኋላ ግን ከሁለተኛው መስመር መጨረሻ በፊት, በ "$" ምልክት በ cat -e ውፅዓት ይገለጻል.
አንዴ ደንብ በተሳካ ሁኔታ ከተጫነ ውጤቱን ማየት ጥሩ ይሆናል-
$ ድመት /etc/pf.conf
ሁሉንም አግድ
# ከማንም ወደ ማንኛውም
ከ 10.1.2.3 ወደ ማንኛውም ማለፍ
$ pfctl -f /etc/pf.conf
$ pfctl -ሲ.አር
አግድመጣልሁሉም
በአስተያየት መስመር መጨረሻ ላይ "የኋሊት መጨፍጨፍ" ማለት የአስተያየት መስመሩ ከታች ይቀጥላል ማለት ነው.
በተጠማዘዘ ቅንፍ () ውስጥ የተዘጉ ዝርዝሮችን መዘርጋት ሊያስገርምዎ የሚችል ውጤት ያስገኛል እና በተመሳሳይ ጊዜ በተንታኙ የተከናወኑ ህጎችን ስብስብ ያሳያል-
$ ድመት /etc/pf.conf
ከ (!10.1.2.3,!10.2.3.4) ወደ ማንኛውም ማለፍ
$ pfctl -nvf /etc/pf.conf
ኢንተርኔትን ከ! 10.1.2.3 ለማንኛውም
ኢንተርኔትን ከ! 10.2.3.4ወደማንኛውም
እዚህ ላይ የሚይዘው ነገር "(!10.1.2.3, !10.2.3.4)" የሚለው አገላለጽ "ከ10.1.2.3 እና 10.2.3.4 በስተቀር ሁሉም አድራሻዎች" ማለት እንዳልሆነ የተስፋፋው አገላለጽ ራሱ ከማንኛውም አድራሻ ጋር ማዛመድ ማለት ነው።
ማሽኑ ዳግም በሚነሳበት ጊዜ pfctl ሊጭነው እንደሚችል ለማረጋገጥ ቋሚ ለውጦችን ካደረጉ በኋላ የእርስዎን ደንብ እንደገና መጫን አለብዎት። በOpenBSD ላይ በ /etc/rc ውስጥ ያለው የrc ማስጀመሪያ ስክሪፕት በመጀመሪያ በቡት ደረጃ (እንደ dhcp ወይም ntp ያሉ) ሁሉንም ትራፊክ የሚከለክል ትንሽ ነባሪ ደንቦችን ይጭናል። ስክሪፕቱ ማሽኑ ሳይፈተሽ እንደገና ከመጀመሩ በፊት በገቡት የአገባብ ስህተቶች ምክንያት ከ/etc/pf.conf እውነተኛውን የሕጎች ስብስብ መጫን ካልቻለ፣ ነባሪው ስብስብ ንቁ ሆኖ ይቆያል። እንደ እድል ሆኖ, ይህ ስብስብ ገቢ ssh ግንኙነቶችን ይፈቅዳል, ስለዚህ ችግሩ በርቀት ሊፈታ ይችላል.
በመሞከር ላይ
እጅግ በጣም በትክክል የተገለጸ ፖሊሲ እና እሱን ተግባራዊ ሊያደርጉት የሚገቡ ህጎች ስብስብ ስላለን፣ ፈተና የሚለው ቃል በእኛ ሁኔታ ከተሰጠው ፖሊሲ ጋር የተጣጣመውን ማክበር ማለት ነው።
ህጎቹ በስህተት የሚሰሩበት ሁለት መንገዶች ብቻ ናቸው፡ መፈቀድ ያለባቸውን ግንኙነቶች መከልከል እና በተቃራኒው መታገድ ያለባቸውን ግንኙነቶች መፍቀድ።
በአጠቃላይ መሞከር በሥርዓት ለመፍጠር ስልታዊ አቀራረብን ያመለክታል የተለያዩ ዓይነቶችግንኙነቶች. በይነገጾቹ ላይ ሁሉንም ሊሆኑ የሚችሉ የመነሻ / መድረሻ እና ተጓዳኝ ወደቦች ጥምረት ማረጋገጥ አይቻልም ፣ ምክንያቱም ፋየርዎል በንድፈ ሀሳብ እጅግ በጣም ብዙ እንደዚህ ያሉ ጥምረትዎችን ሊያጋጥመው ይችላል። የሕጎች ስብስብ የመጀመሪያ ደረጃ ትክክለኛነት ማረጋገጥ የሚቻለው በጣም ብቻ ነው። ቀላል ጉዳዮች. በተግባር ላይ, ከሁሉ የተሻለው መፍትሔእያንዳንዱ የመመሪያ ንጥል ነገር እንዲነካ በደህንነት ፖሊሲው ላይ በመመስረት የሙከራ ግንኙነቶችን ዝርዝር ይፈጥራል። ስለዚህ፣ለእኛ ምሳሌ ፖሊሲ፣የፈተናዎች ዝርዝር እንደሚከተለው ይሆናል።
ግንኙነት ከ LAN ወደ DMZ (መዝለል አለበት)
ከ LAN ወደ ውጫዊ አውታረ መረብ (መዝለል አለበት)
ከDMZ ወደ LAN (መታገድ አለበት)
ከDMZ ወደ ውጫዊ አውታረመረብ (መዝለል አለበት)
ከውጫዊ አውታረመረብ ወደ ዲኤምዜድ ወደ 10.1.1.1 በፖርት 80 (መዝለል አለበት)
ከውጫዊ አውታረመረብ ወደ DMZ ወደ 10.1.1.1 በፖርት 25 (መታገድ አለበት)
ከውጪው አውታረመረብ ወደ ዲኤምዜድ ወደ 10.2.2.2 ወደብ 80 (መታገድ አለበት)
ከውጫዊ አውታረመረብ እስከ ዲኤምዜድ ወደ 10.2.2.2 በፖርት 25 (መዝለል አለበት)
ከውጫዊ አውታረ መረብ ወደ LAN (መታገድ አለበት)
የሚጠበቀው ውጤት ፈተና ከመጀመሩ በፊት በዚህ ዝርዝር ውስጥ መገለጽ አለበት።
ይህ እንግዳ ሊመስል ይችላል, ነገር ግን የእያንዳንዱ ፈተና አላማ የፋየርዎል ደንቦችን በመተግበር ላይ ስህተቶችን መፈለግ ነው, እና የእነሱ አለመኖርን ብቻ አይገልጽም. እና የሂደቱ የመጨረሻ ግብ ስህተቶች ሳይኖሩበት ህጎችን መገንባት ነው ፣ ስለሆነም ስህተቶች ሊኖሩ ይችላሉ ብለው ካሰቡ እነሱን ከማጣት እነሱን ቢያገኟቸው ይሻላል። እና የፈታኙን ሚና ከወሰዱ አጥፊ የአስተሳሰብ ዘይቤን መከተል እና የፋየርዎልን ገደቦችን ለማለፍ መሞከር አለብዎት። እና እገዳዎቹ ሊጣሱ የማይችሉ መሆናቸው ብቻ የሕጎች ስብስብ ስህተቶችን እንደሌላቸው የሚያረጋግጥ ማረጋገጫ ይሆናል.
TCP እና UDP ግንኙነቶች nc በመጠቀም ማረጋገጥ ይቻላል. nc እንደ ደንበኛ እና አገልጋይ (የ -l አማራጭን በመጠቀም) ሊያገለግል ይችላል። እና ለICMP ጥያቄዎች እና ምላሾች፣ ለመፈተሽ ምርጡ ደንበኛ ፒንግ ነው።
ግንኙነቱ መዘጋቱን ለማረጋገጥ ከአገልጋዩ ጋር ግንኙነት ለመፍጠር የሚሞክር ማንኛውንም ዘዴ መጠቀም ይችላሉ።
እንደ nmap ያሉ የወደብ መሰብሰቢያ መሳሪያዎችን በመጠቀም በበርካታ አስተናጋጆች ላይ እንኳን ብዙ ወደቦችን በቀላሉ መቃኘት ይችላሉ። ውጤቶቹ ሙሉ በሙሉ ግልጽ ካልሆኑ፣ የወንድ ገጹን ይመልከቱ። ለምሳሌ፣ ለTCP ወደብ፣ nmap RST ከ pf ሲቀበል ስካነር እሴቱን 'ያልተጣራ' ይመልሳል። እንዲሁም፣ ከስካነር ጋር በተመሳሳይ ማሽን ላይ የተጫነ ፒኤፍ የ nmap ትክክለኛ አሠራር ላይ ተጽዕኖ ሊያሳድር ይችላል።
ይበልጥ የተራቀቁ የፍተሻ መሳሪያዎች የተበታተኑ ወይም የተሳሳቱ የአይፒ ጥቅሎችን ለመፍጠር መሳሪያዎችን ሊያካትቱ ይችላሉ።
ማጣሪያው በመመሪያው ውስጥ የተገለጹ ግንኙነቶችን ማለፉን ለማረጋገጥ ምርጡ ዘዴ በደንበኞች የሚገለገሉባቸውን መተግበሪያዎች በመጠቀም ማረጋገጥ ነው። ስለዚህ የ http ግንኙነቶችን ከተለያዩ የዌብ ሰርቨር ደንበኛ ማሽኖች እንዲሁም ከተለያዩ አሳሾች መፈተሽ እና የተለያዩ ይዘቶች ናሙና ማድረግ የ TCP ክፍለ ጊዜን እንደ አገልጋይ አካል ሆኖ የሚሰራውን nc በቀላሉ ከማረጋገጥ የተሻለ ይሆናል። እንደ አስተናጋጅ ኦፐሬቲንግ ሲስተም ያሉ የተለያዩ ምክንያቶችም ስህተቶችን ሊያስከትሉ ይችላሉ - በአንዳንድ ስርዓተ ክወናዎች መካከል በ TCP መስኮት ወይም በ TCP SACK ምላሾች ላይ ችግሮች.
የሚቀጥለው የፈተና ነጥብ ሲያልፍ ውጤቱ ሁልጊዜ ተመሳሳይ ላይሆን ይችላል። ፋየርዎል RST ከተመለሰ በግንኙነቱ ማቋቋሚያ ሂደት ውስጥ ግንኙነቱ ሊቋረጥ ይችላል። ግንኙነቱ በጊዜ ማብቂያ ምክንያት በቀላሉ ሊሳካ ይችላል። ግንኙነቱ ሙሉ በሙሉ የተመሰረተ እና ሊሠራ ይችላል, ነገር ግን ከጥቂት ጊዜ በኋላ ሊቀዘቅዝ ወይም ሊሰበር ይችላል. ግንኙነቱ ሊቆይ ይችላል፣ነገር ግን የመተላለፊያ ጊዜ ወይም መዘግየት ከሚጠበቀው በላይ፣ ከፍ ወይም ዝቅ ሊል ይችላል (አልtQን ለመጠቀም የመተላለፊያ ይዘትን ለመገደብ)።
እንደተጠበቀው ውጤት፣ ግንኙነቱን ከመዝለል/ከመከልከል በተጨማሪ፣ አስፈላጊ ከሆነ ፓኬቶች መግባታቸውን፣ እንዴት እንደሚተረጎሙ፣ እንደሚተላለፉ እና አስፈላጊ ከሆነ ቆጣሪዎች መጨመሩን ማወቅ ይችላሉ። እነዚህ ገጽታዎች ለእርስዎ አስፈላጊ ከሆኑ በሙከራ ዘዴ ውስጥም መካተት አለባቸው።
መመሪያዎ ከአፈጻጸም፣ ከመጠን በላይ ጭነቶች ምላሽ እና ከስህተት መቻቻል ጋር የተያያዙ መስፈርቶችን ሊያካትት ይችላል። እና የተለየ ሙከራዎች ሊፈልጉ ይችላሉ. CARPን በመጠቀም ስህተትን የሚቋቋም ስርዓት እያዋቀሩ ከሆነ ምን እንደሚፈጠር ማወቅ ሳይፈልጉ አይቀርም። የተለያዩ ዓይነቶችእምቢ ማለት.
ከጠበቁት ነገር የተለየ ውጤት ሲመለከቱ፣ በፈተና ወቅት የእርስዎን እርምጃዎች፣ ምን እንደጠበቁት፣ ለምን እንደጠበቁት፣ ያገኙት ውጤት እና ውጤቱ ከምትጠብቁት ነገር እንዴት እንደሚለይ ደረጃ በደረጃ ማስታወሻ ይውሰዱ። ሁኔታው ተመሳሳይ ወይም ከጊዜ ወደ ጊዜ የተለየ መሆኑን ለማየት ፈተናውን ይድገሙት. የፈተናውን የግቤት መለኪያዎች (ምንጭ/መዳረሻ አድራሻ ወይም ወደቦች) ለመቀየር ይሞክሩ።
ሊባዛ የሚችል ችግር ካጋጠመዎት ጊዜ ጀምሮ ነገሮች ለምን በጠበቁት መንገድ እንደማይሰሩ እና ነገሮችን "እንዴት ማስተካከል" እንደሚችሉ ለማወቅ ማረም መጀመር ያስፈልግዎታል። በዚህ ማዋቀር ደንቦቹን መለወጥ እና ስህተቶችን ያልጣሉትንም ጨምሮ ሁሉንም ሙከራዎች መድገም አለብዎት ምክንያቱም ደንቦቹን በመቀየር ሳያውቁት የህጋዊውን ትክክለኛ ክፍሎች አሠራር ላይ ተጽዕኖ ሊያሳድሩ ይችላሉ።
በስብስቡ ላይ ለተደረጉ ሌሎች ለውጦች ተመሳሳይ መርህ ይሠራል. ይህ መደበኛ የግምገማ አሰራር ሂደት ስህተቶችን ለማስተዋወቅ የተጋለጠ እንዲሆን ይረዳል። ለአነስተኛ ለውጦች አጠቃላይ ሂደቱን መድገም አስፈላጊ ላይሆን ይችላል ፣ ግን የበርካታ ትናንሽ ለውጦች ድምር ስብስቡን የማስኬድ አጠቃላይ ውጤት ላይ ተጽዕኖ ያሳድራል። ከእርስዎ የውቅር ፋይል ጋር ለመስራት እንደ ሲቪኤስ ያሉ የስሪት ቁጥጥር ስርዓትን መጠቀም ይችላሉ ምክንያቱም... ይህ ወደ ስህተቱ መንስኤ የሆኑትን ለውጦች ለመመርመር ይረዳል. ስህተት ከሳምንት በፊት እንዳልተከሰተ ካወቁ፣ አሁን ግን ይከሰታል፣ ባለፈው ሳምንት ያደረጓቸውን ለውጦች ሁሉ መመልከት ችግሩን እንድታስተውል ይረዳሃል፣ ወይም ቢያንስ ወደ ደረሰበት ደረጃ ይመለሱ። የለም ።
ቀላል ያልሆኑ የደንቦች ስብስቦች እንደ ፕሮግራሞች ሊወሰዱ ይችላሉ, በመጀመሪያው እትማቸው ውስጥ እምብዛም ፍጹም አይደሉም, እና ከስህተቶች የፀዱ መሆናቸውን እርግጠኛ ለመሆን ጊዜ ይወስዳል. ነገር ግን፣ ከመደበኛ ፕሮግራሞች በተለየ፣ በአብዛኛዎቹ ፕሮግራመሮች ከስህተት የፀዱ ተብለው ከማይቆጠሩት፣ የደንቦች ስብስቦች አሁንም ለዚህ ትርጉም በጣም ቀላል ናቸው።
ማረም
ማረም የሚለው ቃል ብዙውን ጊዜ በኮምፒተር ፕሮግራሞች ውስጥ የፕሮግራም ስህተቶችን መፈለግ እና ማስወገድን ያመለክታል። ወይም, በፋየርዎል ደንቦች አውድ ውስጥ, ቃሉ ስብስቡ የተፈለገውን ውጤት የማይመልስበትን ምክንያት የማግኘት ሂደትን ያመለክታል. በህጎቹ ውስጥ ሊታዩ የሚችሉ ጥቂት አይነት ስህተቶች አሉ, ሆኖም ግን, እነሱን ለማግኘት ዘዴዎች ከፕሮግራም ጋር ተመሳሳይ ናቸው.
የችግሩን መንስኤ ከመፈለግዎ በፊት የችግሩን ምንነት በግልፅ መረዳት አለብዎት. በፈተና ወቅት ስህተቱን እራስዎ ካስተዋሉ በጣም ቀላል ነው። ነገር ግን ሌላ ሰው ለእርስዎ ስህተት ሪፖርት ካደረገ፣ ትክክለኛ ካልሆነ የሳንካ ሪፖርት ግልጽ ግብ መፍጠር ፈታኝ ሊሆን ይችላል። ለመጀመር በጣም ጥሩው ቦታ ስህተቱን እራስዎ እንደገና በማባዛት ነው.
የአውታረ መረብ ችግሮች ሁልጊዜ በፓኬት ማጣሪያ ምክንያት ሊከሰቱ አይችሉም። የፒኤፍ ውቅረትን በማረም ላይ ትኩረት ከማድረግዎ በፊት ችግሩ በፓኬት ማጣሪያ ምክንያት መፈጠሩን ማረጋገጥ አለብዎት። ይህን ለማድረግ ቀላል እና ችግሩን በሌላ ቦታ ለመፈለግ ጊዜን ይቆጥባል. በቀላሉ pfን በpfctl -d ያጥፉ እና ችግሩ እንደገና ከተከሰተ ያረጋግጡ። ከሆነ pf ን በpfctl -e ያንቁ እና ምን እንደሚፈጠር ይመልከቱ። ይህ ዘዴ በአንዳንድ ሁኔታዎች አይሰራም፣ ለምሳሌ pf የኔትወርክ አድራሻ ትርጉም (NAT) በትክክል ካልሰራ፣ ፒኤፍን ማጥፋት በግልጽ ስህተቱን አያስወግደውም። ነገር ግን ይህ በሚቻልበት ጊዜ ጥፋቱ የፓኬት ማጣሪያ መሆኑን ለማረጋገጥ ይሞክሩ።
በዚህ መሠረት ችግሩ በፓኬት ማጣሪያ ውስጥ ከሆነ በመጀመሪያ ማድረግ ያለብዎት ነገር ፒኤፍ በትክክል እንደሚሰራ እና አስፈላጊው የሕጎች ስብስብ በተሳካ ሁኔታ መጫኑን ማረጋገጥ ነው-
# pfctl -si | grep ሁኔታ
ሁኔታ፡ ለ4 ቀናት ነቅቷል 13፡47፡32 ማረም፡ አስቸኳይ
# pfctl -sr
lo0 ሁሉንም በፍጥነት ማለፍ
enc0 ሁሉንም በፍጥነት ማለፍ
በፕሮቶኮሎች ማረም
የሚቀጥለው የማረም እርምጃ ችግሩን ወደ ተወሰኑ የአውታረ መረብ ግንኙነቶች ማመላከት ነው። መልእክቱ ካለዎት "በመተግበሪያ X ውስጥ ፈጣን መልእክት አይሰራም" ምን አይነት የአውታረ መረብ ግንኙነቶች ጥቅም ላይ እንደሚውሉ ማወቅ ያስፈልግዎታል. መደምደሚያው እንደ “አስተናጋጅ A በፖርት C ላይ Bን ለማስተናገድ ግንኙነት መመስረት አይችልም” ያለ ነገር ሊሆን ይችላል። አንዳንድ ጊዜ ይህ ተግባር በጣም ከባድ ነው, ነገር ግን ስለ አስፈላጊ ግንኙነቶች መረጃ ካሎት እና ፋየርዎል እንደማይፈቅድላቸው ካወቁ, ይህንን ችግር ለመፍታት ደንቦቹን መቀየር ብቻ ያስፈልግዎታል.
አንድ መተግበሪያ ምን ፕሮቶኮሎችን ወይም ግንኙነቶችን እንደሚጠቀም ለማወቅ ብዙ መንገዶች አሉ። Tcpdump ሁለቱንም እውነተኛ የአውታረ መረብ በይነገጽ እና እንደ pflog እና pfsync ያሉ ምናባዊ የሆኑትን የሚደርሱ ወይም የሚለቁ እሽጎች ያሳያል። የትኛዎቹ እሽጎች እንደሚታዩ ለመለየት የማጣሪያ አገላለጽ መግለፅ እና ከውጪ የአውታረ መረብ ድምጽን ማስወገድ ይችላሉ። በተፈለገው መተግበሪያ ውስጥ የአውታረ መረብ ግንኙነት ለመመስረት ይሞክሩ እና የሚላኩትን እሽጎች ይመልከቱ። ለምሳሌ:
# tcpdump -nvvvpi fxp0 tcp እና ወደብ ssh ሳይሆን ወደብ smtp አይደለም
23፡55፡59.072513 10.1.2.3.65123 > 10.2.3.4.6667፡ ኤስ
4093655771፡4093655771(0) አሸነፈ 5840
1039287798 0,nop,wscale 0> (DF)
ይህ የTCP SYN ጥቅል ነው፣ የTCP እጅ መጨባበጥ የመጀመሪያው ጥቅል።
ላኪው 10.1.2.3 ወደብ 65123 (በዘፈቀደ ያልታደለው ወደብ ይመስላል) እና ተቀባዩ 10.2.3.4 ወደብ 6667 ነው። የ tcpdump ውፅዓት ቅርጸት ዝርዝር ማብራሪያ በመገልገያው መመሪያ ገፆች ላይ ይገኛል። Tcpdump ከ pf ጋር የተዛመዱ ችግሮችን ለማረም በጣም አስፈላጊው መሣሪያ ነው እና እሱን በደንብ ማወቅ በጣም አስፈላጊ ነው።
ሌላው ዘዴ የ PF's Logging ባህሪን መጠቀም ነው. በሁሉም ሕጎች ውስጥ የ'ሎግ' አማራጭን ከ'block' ጋር እንደተጠቀምክ በማሰብ በ PF የታገዱ ሁሉም እሽጎች በምዝግብ ማስታወሻው ውስጥ ይንጸባረቃሉ። የታወቁ ፕሮቶኮሎችን ከሚመለከቱ ደንቦች ውስጥ 'ሎግ' የሚለውን አማራጭ ማስወገድ ይቻላል, ለምሳሌ. ወደማይታወቁ ወደቦች የሚሄዱ እሽጎች ብቻ በምዝግብ ማስታወሻው ውስጥ ይመዘገባሉ። መገናኘት የማይችል መተግበሪያን ለመጠቀም ይሞክሩ እና pflogን ይመልከቱ፡
# ifconfig pflog0 ወደላይ
# tcpdump -netti pflog0
ህዳር 26 00፡02፡26.723219 ህግ 41/0(ግጥሚያ)፡ በcue0 አግድ፡
195.234.187.87.34482> 62.65.145.30.6667: S 3537828346:3537828346(0) አሸንፈዋል
16384
ያለማቋረጥ pflog0ን የሚያዳምጥ እና የተቀበለውን መረጃ በ /var/log/pflog የሚያከማች pflog የምትጠቀም ከሆነ የተቀመጠውን መረጃ እንደሚከተለው ማየት ትችላለህ።
# tcpdump -nettr/ቫር/መዝገብ/pflog
የተቀመጡ የፒኤፍ ፓኬቶችን በሚያወጡበት ጊዜ ተጨማሪ የማጣሪያ መግለጫዎችን መጠቀም ይችላሉ ፣ ለምሳሌ ፣ በ wi0 በይነገጽ ላይ ባለው ግብዓት ላይ የታገዱ እሽጎችን ይመልከቱ ።
# tcpdump -netttr /var/log/pflog inbound እና action block እና በ wi0 ላይ
እንደ ኤፍቲፒ ያሉ አንዳንድ ፕሮቶኮሎች ቋሚ የወደብ ቁጥሮችን ስለማይጠቀሙ ወይም ብዙ አብረው የሚኖሩ ግንኙነቶችን ስለማይጠቀሙ ለመፈለግ ቀላል አይደሉም። ሰፋ ያለ ወደቦችን ሳይከፍቱ በፋየርዎል ውስጥ ማለፍ አይቻልም ይሆናል. ለግለሰብ ፕሮቶኮሎች ከftp-proxy ጋር ተመሳሳይ መፍትሄዎች አሉ።
የማረም ህጎች
ትክክለኛውን ወደብ ባለመክፈትህ አንድን ፕሮቶኮል ከከለከለ፣ በህጉ ውስጥ ካለ ስህተት የበለጠ የንድፍ ችግር ነው። ግን እርስዎ የሚፈቅደው ህግ ያለዎት ግንኙነት እንደታገደ ካዩስ?
ለምሳሌ፣ የእርስዎ ስብስብ ደንቡን ይዟል
በመጀመሪያ በ$ext_if proto tcp ከማንኛውም ወደ $ext_if ወደብ ssh አግድ
ግን ከ TCP ወደብ 22 ጋር ለመገናኘት ሲሞክሩ ግንኙነቱ ተቀባይነት አለው! ፋየርዎል የእርስዎን ደንብ ችላ ያለ ይመስላል። ልክ እንቆቅልሹን አንድ ላይ እንደማሰባሰብ፣ በመጀመሪያ ሲያጋጥሟቸው ለእነዚህ ነገሮች ቀላል ምክንያታዊ እና ብዙ ጊዜ ቀላል ማብራሪያ አለ።
በመጀመሪያ ደረጃ, ቀደም ሲል የተጠቀሱትን ሁሉንም እርምጃዎች ማረጋገጥ አለብዎት. ለምሳሌ, ፋየርዎል እየሰራ እንደሆነ እና ከላይ የተሰጠውን ህግ እንደያዘ እናስብ. የቀደሙት ስጋቶቻችን እውነት ናቸው ብሎ ማሰብ የማይመስል ነገር ነው፣ ነገር ግን ለማጣራት ቀላል ነው፡-
# pfctl -si | grep ሁኔታ
ሁኔታ፡ ለ4 ቀናት ነቅቷል 14፡03፡13 ማረም፡ አስቸኳይ
# pfctl -gsr | grep "ወደብ = ssh"
@14 አግድ መመለስ-መጀመሪያ በ kue0 inet proto tcp ከማንኛውም ወደ 62.65.145.30 ወደብ = ssh
እኛ ያለን ቀጣዩ ነገር፡- የ TCP ግንኙነቶች በፖርት 22 በ kue0 ላይ ተቀባይነት አላቸው። ይህ አስቀድሞ ግልጽ ነው ብለው ያስቡ ይሆናል፣ ግን መፈተሽ ተገቢ ነው። tcpdump አሂድ፡
# tcpdump -nvvvi kue0 tcp እና port 22 እና dst 62.65.145.30
አሁን የኤስኤስኤች ግንኙነቱን እንደገና ይሞክሩ። በ tcpdump ውፅዓት ውስጥ ከግንኙነትዎ ላይ ጥቅሎችን ማየት አለብዎት። ላያዩዋቸው ይችላሉ፣ እና ይህ ሊሆን የሚችለው ግንኙነቱ በትክክል በ kue0 በኩል አይደለም፣ ነገር ግን በተለየ በይነገጽ ውስጥ ስለሚሄድ፣ ህጉ ለምን እንዳልተነሳ ያብራራል። ወይም ከሌላ አድራሻ ጋር እየተገናኙ ሊሆን ይችላል። በአጭሩ፣ ssh ፓኬቶችን ካላዩ፣ ፒኤፍም አያያቸውም፣ እና በእኛ ችግር ውስጥ የተሰጠውን ህግ በመጠቀም ሊያግዳቸው አይችልም።
ነገር ግን tcpdumpን ሲጠቀሙ ፓኬቶችን ካዩ pf እነሱንም "ያያቸዋል" እና ያጣራል። የሚቀጥለው ግምት የማገጃው ደንብ በስብስቡ ውስጥ መገኘት ብቻ ሳይሆን (አስቀድመን ያቋቋምነው) መሆን አለበት, ነገር ግን ለተፈለገው ፓኬቶች የመጨረሻው ተዛማጅ ህግ መሆን አለበት. ይህ የመጨረሻው ህግ ካልሆነ, ግልጽ በሆነ መልኩ እሽጎችን ለመያዝ ውሳኔው በዚህ መሰረት አልተደረገም.
በምን ጉዳዮች ላይ አንድ ደንብ የመጨረሻው ተዛማጅ ህግ ላይሆን ይችላል? ሦስት ሊሆኑ የሚችሉ ምክንያቶች አሉ፡-
ሀ) ደንቦቹን ማየት ወደምንፈልገው ነገር ስለማይደርስ ደንቡ አይሰራም።
ቀደም ሲል የነበረው ደንብ እንዲሁ ተቀስቅሷል እና አፈፃፀም በ 'ፈጣን' አማራጭ እንዲቋረጥ ያደርገዋል።
ለ) ደንቡ ይሠራል, ነገር ግን የግለሰብ መመዘኛዎች አለመመጣጠን ምክንያት ደንቡ አይሰራም.
ሐ) ደንቡ ተሠርቷል፣ ደንቡ ተቀስቅሷል፣ ነገር ግን ሂደት ይቀጥላል እና ተከታይ ህጎች እንዲሁ ለፓኬቱ ይነሳሉ ።
እነዚህን ሶስት ጉዳዮች ላለመቀበል፣ የተጫኑትን ህጎች በመመልከት፣ በ kue0 በይነገጽ እና ወደብ 22 ላይ የሚደርሰውን መላምታዊ TCP ፓኬት በአእምሮአችሁ አስቡት። የሚታረምበትን ብሎክ ይምረጡ። በመጀመሪያው ህግ መጎተት ይጀምሩ። ይዛመዳል? አዎ ከሆነ ምልክት ያድርጉበት። 'ፈጣን' አማራጭ አለው? ከሆነ ፣ ከዚያ መዞር እናቆማለን። ካልሆነ በሚቀጥለው ደንብ ይቀጥሉ. ከ'ፈጣን' አማራጭ ጋር ግጥሚያ እስኪገኝ ወይም የደንቡ መጨረሻ እስኪደርስ ድረስ ቼኩን ይድገሙት። ከመጨረሻው ጋር የተዛመደው የትኛው ህግ ነው? ደንብ ቁጥር 14 ካልሆነ, ለችግሩ ማብራሪያ አግኝተዋል.
ደንቦቹን በእጅ ማለፍ አስደሳች ሊመስል ይችላል, ነገር ግን በቂ ልምድ ካሎት, በፍጥነት እና በፍጥነት ሊከናወን ይችላል በከፍተኛ መጠንአስተማማኝነት. ስብስቡ በቂ ከሆነ, ለጊዜው መቀነስ ይችላሉ. ትክክለኛውን የሕጎች ዝርዝር ቅጂ ያስቀምጡ እና በውጤቱ ላይ ተጽእኖ ይኖራቸዋል ብለው ያላሰቡትን ግቤቶች ይሰርዙ። ይህንን ስብስብ ያውርዱ እና እንደገና ይሞክሩ። ግንኙነቱ አሁን ከተቋረጠ፣ ከሚፈልጉት ፓኬት ጋር ያልተያያዙ የሚመስሉ ህጎች ለጉዳይ ሀ ወይም ለ ተጠያቂ ናቸው ። ህጎችን አንድ በአንድ ይጨምሩ ፣ የሚፈልጉትን እስኪያገኙ ድረስ ሙከራውን ይድገሙት። ግንኙነቱ ምንም ተጽእኖ የሌላቸውን ደንቦች ካስወገዱ በኋላ አሁንም ከተላለፈ, የተቀነሰውን ስብስብ የአዕምሮ ሽግግር ይድገሙት.
ሌላው ዘዴ ደግሞ ጉዳዮችን A ወይም Cን ለመለየት የ PF's Logging ችሎታን መጠቀም ነው። ከ14ኛው ህግ በፊት 'pass quick' የሚለውን በሁሉም ደንቦች ላይ 'ሎግ' ይጨምሩ። ከ14ኛው ህግ በኋላ 'ማለፊያ' ባላቸው ሁሉም ህጎች ላይ 'ሎግ'ን ይጨምሩ። tcpdumpን ለpflog0 በይነገጽ ያሂዱ እና የssh ግንኙነት ይፍጠሩ። ከ 14 ኛው በተጨማሪ የትኞቹ ህጎች በፓኬቶችዎ ላይ በመጨረሻ እንደተቀሰቀሱ ያያሉ። በምዝግብ ማስታወሻው ውስጥ ምንም ነገር ከሌለ, ከዚያም ጉዳይ B ይከሰታል.
በፋየርዎል በኩል ግንኙነቶችን መከታተል
ግንኙነቱ በፋየርዎል ውስጥ ሲያልፍ ፓኬቶች በአንድ በይነገጽ ላይ ይደርሳሉ እና በሁለተኛው በኩል ይተላለፋሉ። ምላሾች ወደ ሁለተኛው በይነገጽ ይመጣሉ እና ወደ መጀመሪያው ይሂዱ. ግንኙነቶች ስለዚህ በእያንዳንዱ በእነዚህ አራት ሁኔታዎች ውስጥ ሊሳኩ ይችላሉ.
በመጀመሪያ ችግሩ ከአራቱ ጉዳዮች መካከል የትኛው እንደሆነ ማወቅ አለብዎት. ግንኙነት ለመመስረት ከሞከሩ tcpdump ን በመጠቀም የ TCP SYN ፓኬት በመጀመሪያው በይነገጽ ላይ ማየት አለብዎት። እንዲሁም ከሁለተኛው በይነገጽ ተመሳሳይ የ TCP SYN ጥቅል ውፅዓት ማየት አለብዎት። ካላዩት, PF በመጀመሪያው በይነገጽ ላይ ገቢ ፓኬትን ወይም በሁለተኛው ላይ ወጪ ፓኬት እየከለከለ ነው ብለን መደምደም እንችላለን.
የSYN መላክ ካልተዘጋ፣ ወደ ሁለተኛው በይነገጽ ሲመጣ SYN+ACK ማየት አለቦት እና የመጀመሪያውን ሲተው። ካልሆነ፣ pf SYN+ACKን በአንዳንድ በይነገጽ ላይ ያግዳል።
በሁለቱም በይነገጽ ላይ SYN እና SYN+ACK መፍቀድ በሚገባቸው ህጎች ላይ እንዲሁም እነሱን ማገድ በሚገባቸው ህጎች ላይ 'ሎግ' የሚለውን አማራጭ ያክሉ። ግንኙነቱን እንደገና ይሞክሩ እና pflogን ያረጋግጡ። እገዳው በምን ሁኔታ ላይ እንደሚከሰት እና በምን አይነት ደንብ ግልጽ ማድረግ አለበት.
ግንኙነትን ማረም ይላል።
የፒኤፍ ፓኬቶች የሚታገዱበት በጣም የተለመደው ምክንያት በስብስቡ ውስጥ ተደጋጋሚ የማገድ ህግ አለ። ተዛማጁ የመጨረሻው ግጥሚያ ህግ በሁሉም ተጽእኖ ሊያስከትሉ በሚችሉ ህጎች ላይ 'ሎግ' የሚለውን አማራጭ በማከል እና የpflog በይነገጽን በማዳመጥ ማግኘት ይቻላል።
በጥቂቱ ጉዳዮች ፣ PF በፀጥታ ህጎችን መሠረት በማድረግ ፓኬጆችን ሲጥል ይከሰታል ፣ እና እዚህ በሁሉም ህጎች ላይ 'ሎግ' ማከል የተጣሉ እሽጎች በpflog ውስጥ እንዲገቡ አያደርጉም። ብዙውን ጊዜ ፓኬት ከሞላ ጎደል ግን ሙሉ በሙሉ ከግዛት ግቤት ጋር አይዛመድም።
ያስታውሱ ለእያንዳንዱ ፓኬት እንደሚያካሂድ ፣የፓኬት ማጣሪያው የስቴት ሠንጠረዥን ይቃኛል። የሚዛመደው ግቤት ከተገኘ፣ ደንቡ በራሱ እንዲሰራ ሳያደርግ ፓኬቱ ወዲያውኑ ይፈቀዳል።
የስቴት ሠንጠረዥ ግቤት ለአንድ ግንኙነት የተለየ መረጃ ይዟል።
እያንዳንዱ ግቤት ልዩ ቁልፍ አለው። ይህ ቁልፍ የግንኙነቱን የህይወት ዘመን በቋሚነት የሚገድቡ በርካታ እሴቶችን ያቀፈ ነው። እነሆ፡-
- የአድራሻ አይነት (Ipv4 ወይም IPv6)
- ምንጭ አድራሻ
- የተቀባይ አድራሻ
- ፕሮቶኮል (TCP UDP)
- ምንጭ ወደብ
- ተቀባይ ወደብ
ይህ ቁልፍ ለተመሳሳይ ግንኙነት ላሉ ሁሉም ፓኬጆች ጥቅም ላይ ይውላል፣ እና ከተለያዩ ግንኙነቶች የሚመጡ እሽጎች ሁል ጊዜ የተለያዩ ቁልፎች ይኖራቸዋል።
የስቴት ሠንጠረዥ ግቤት ከደንብ 'keep state' የሚለውን አማራጭ በመጠቀም ሲፈጠር የግንኙነት ግቤት የግንኙነት ቁልፍን በመጠቀም ይከማቻል። ለስቴቱ ጠረጴዛ አስፈላጊው ገደብ ሁሉም ቁልፎች ልዩ መሆን አለባቸው. እነዚያ። ተመሳሳይ ቁልፎች ያላቸው ሁለት መዝገቦች ሊኖሩ አይችሉም.
ተመሳሳዩ ሁለት አስተናጋጆች ተመሳሳይ አድራሻዎችን፣ ፕሮቶኮሎችን እና ወደቦችን በመጠቀም ብዙ አብሮ የሚኖር ግንኙነቶችን መመስረት እንደማይችሉ ወዲያውኑ ግልጽ ላይሆን ይችላል፣ ነገር ግን ይህ የ TCP እና UDP መሰረታዊ ንብረት ነው። እንደ እውነቱ ከሆነ፣ የTCP/IP ቁልል ነጠላ ፓኬቶችን በአድራሻዎች እና በወደቦች ላይ በመመስረት ምርጫዎችን በማድረግ ብቻ ከሶኬቶቻቸው ጋር ማያያዝ ይችላሉ።
ግንኙነቱ ቢዘጋም, ተመሳሳይ ጥንድ አድራሻዎች እና ወደቦች ወዲያውኑ እንደገና ጥቅም ላይ ሊውሉ አይችሉም. የኔትዎርክ መሳሪያዎቹ በኋላ የተላለፉ እሽጎችን ሊያደርሱ ይችላሉ፣ እና የተቀባዩ TCP/IP ቁልል አዲስ ከተፈጠረ ግንኙነት ፓኬጆች ብለው ቢሳሳቱ ይህ አዲሱን ግኑኝነት ያደናቅፋል አልፎ ተርፎም ይሰብራል። በዚህ ምክንያት ሁለቱም አስተናጋጆች ለአዲስ ግንኙነት ተመሳሳይ አድራሻዎችን እና ወደቦችን እንደገና መጠቀም ከመቻልዎ በፊት 2MSL ("ከፍተኛው የህይወት ዘመን ሁለት ጊዜ") ተብሎ የሚጠራው የተወሰነ ጊዜ መጠበቅ አለባቸው።
ከተመሳሳይ አስተናጋጅ ጋር ብዙ ግንኙነቶችን በእጅ በማቋቋም ይህንን ንብረት መከታተል ይችላሉ። ለምሳሌ በ10.1.1.1 እና በፖርት 80 ላይ የሚሰራ የድር አገልጋይ መኖር እና ሁለት ጊዜ ከ10.2.2.2 ጋር መገናኘት። nc በመጠቀም:
$ nc -v 10.1.1.1 80 & nc -v 10.1.1.1 80
ከ 10.1.1.1 ጋር ያለው ግንኙነት 80 ተሳክቷል!
ግንኙነቶች ክፍት ሲሆኑ፣ ስለእነዚህ ግንኙነቶች መረጃ ለማሳየት netstat በደንበኛው ወይም በአገልጋዩ ላይ መጠቀም ይችላሉ።
$ netstat -n | grep 10.1.1.1.80
tcp 0 0 10.2.2.6.28054 10.1.1.1.80 ተቋቋመ
tcp 0 0 10.2.2.6.43204 10.1.1.1.80 ተቋቋመ
እንደሚመለከቱት, ደንበኛው ሁለት የተለያዩ (በዘፈቀደ) የምንጭ ወደቦችን መርጧል, ስለዚህ ይህ ቁልፍ ልዩ መስፈርቶችን አይጥስም.
nc የተወሰነ ምንጭ ወደብ ከ -p አማራጭ ጋር እንድትጠቀም መንገር ትችላለህ፡-
$ nc -v -p 31234 10.1.1.1 80 & nc -v -p 31234 10.1.1.1 80
ከ 10.1.1.1 ጋር ያለው ግንኙነት 80 ተሳክቷል!
nc: bind አልተሳካም: አድራሻ አስቀድሞ ጥቅም ላይ ውሏል
የደንበኛው TCP/IP ቁልል ቁልፍ ልዩነት እንዳይጎዳ ከልክሏል። አንዳንድ ብርቅዬ እና አስቸጋሪ የTCP/IP ቁልል አተገባበር ይህንን ህግ አልተከተሉም፣ እና ስለዚህ፣ በቅርቡ እንደምንመለከተው፣ የቁልፎቹ ልዩነት ከተጣሰ pf ግንኙነታቸውን ያግዳል።
እሽጉ ማጣራት ሲጀምር pf የግዛቱን ጠረጴዛ ወደ ሚጠይቅበት እንመለስ። ጥያቄው ሁለት ደረጃዎችን ያካትታል. የመጀመሪያው መጠይቅ በሠንጠረዡ ግቤት ውስጥ ከፕሮቶኮል ፣ ከአድራሻዎች እና ከፓኬቱ ወደብ ጋር የሚዛመድ ቁልፍ ያለው ግቤት ለማግኘት ነው ። ፍለጋው በማንኛውም አቅጣጫ ለሚሄዱ እሽጎች ይካሄዳል. የሚከተለው ጥቅል በግዛቱ ሠንጠረዥ ውስጥ ግቤት እንደፈጠረ እናስብ።
ገቢTCPከ 10.2.2.2:28054ወደ 10.1.1.1:80
የሰንጠረዥ መጠይቅ በግዛቱ ሠንጠረዥ ውስጥ የሚከተሉትን ግቤቶች ያገኛል፡-
ገቢ TCP ከ 10.2.2.2:28054 እስከ 10.1.1.1:80
ወጪ TCP ከ 10.1.1.1:80 እስከ 10.2.2.2:28054
በሰንጠረዡ ውስጥ ያለው ግቤት መግቢያውን ስለፈጠረው የመጀመሪያው ፓኬት አቅጣጫ (ገቢ ወይም ወጪ) መረጃን ያካትታል. ለምሳሌ፣ የሚከተሉት ግቤቶች ተዛማጅ አያመጡም፦
ወጪTCPከ 10.2.2.2:28054ወደ 10.1.1.1:80
ገቢTCPከ 10.1.1.1:80ወደ 10.2.2.2:28054
የእነዚህ እገዳዎች ምክንያት ግልጽ አይደለም, ግን በጣም ቀላል ነው. አንድ በይነገጽ ብቻ እንዳለህ አስብ 10.1.1.1 አድራሻ 10.1.1.1 የዌብ አገልጋዩ ወደብ 80 ላይ እያዳመጠ ነው።ደንበኛው 10.2.2.2 በዘፈቀደ የተመረጠ የወጪ ወደብ 28054 በመጠቀም ሲገናኝ የመጀመሪያው የግንኙነት ፓኬት በይነገጽዎ ላይ ይደርሳል እና ሁሉም የወጪ ምላሾችዎ ላይ ይደርሳል። ከ 10.1.1.1:80 ወደ 10.2.2.2:28054 መሄድ አለበት. ከ 10.2.2.2:28054 እስከ 10.1.1.1:80 የሚወጡ ፓኬቶችን አይፈቅዱም, እንደዚህ አይነት እሽጎች ትርጉም የሌላቸው ናቸው.
የእርስዎ ፋየርዎል ለሁለት በይነገጾች ከተዋቀረ ከዚያ በውስጡ የሚያልፉ እሽጎችን በመመልከት በመጀመሪያ በይነገጽ ላይ የሚደርሰው እያንዳንዱ ፓኬት ወደ ውጭ ይወጣል እና በሁለተኛው በኩል ይመለከታሉ። የመጀመሪው ፓኬት በመጀመሪያው በይነገጽ ላይ የሚደርስበትን የግዛት መዝገብ ከፈጠሩ ያ መዝገብ የተሳሳተ አቅጣጫ ስላለው ተመሳሳይ ፓኬት ከሁለተኛው በይነገጽ እንዳይወጣ ይከላከላል።
በስቴቱ ሠንጠረዥ ውስጥ ከሚገኙት ግቤቶች መካከል ፓኬት ለማግኘት የተደረገው ሙከራ ሳይሳካ ሲቀር የማጣሪያ ሕጎች ዝርዝር ተላልፏል። በተለይም ፓኬጁን በተለየ ደንብ በሁለተኛው በይነገጽ በኩል እንዲያልፍ መፍቀድ አለብዎት. በግዛቱ ሠንጠረዥ ውስጥ ያለው ሁለተኛ ግቤት ሙሉውን ግንኙነት እና በሁለተኛው በይነገጽ ላይ እንዲሸፍን በዚህ ደንብ ውስጥ 'keep state'ን ሊጠቀሙ ይችላሉ።
መዝገቦች ልዩ ቁልፎች ሊኖራቸው እንደሚገባ ካብራራነው በሰንጠረዥ ውስጥ ሁለተኛ መዝገብ እንዴት መፍጠር እንደሚቻል እያሰቡ ይሆናል። እዚህ ላይ ያለው ማብራሪያ መዝገቡ ስለ ግንኙነቱ አቅጣጫ መረጃን ይዟል, እና የዚህ ቀሪው መረጃ ጥምረት ልዩ መሆን አለበት.
አሁን ደግሞ በነጻ ግንኙነት እና በይነገፅ ትስስር ግንኙነት መካከል ያለውን ልዩነት ማብራራት እንችላለን. በነባሪ፣ pf ከማንኛውም በይነገጽ ጋር ያልተገናኙ ግቤቶችን ይፈጥራል። ስለዚህ, በአንድ በይነገጽ ላይ ግንኙነቶችን ከፈቀዱ, ከግንኙነቱ ጋር የተያያዙ እና ከጠረጴዛው ግቤት ጋር የሚዛመዱ ፓኬቶች (ስለ ፓኬቱ አቅጣጫ መረጃን ጨምሮ!) በማንኛውም በይነገጽ ውስጥ ያልፋሉ. በስታቲስቲክ ማዘዋወር ቀላል መጫኛዎች ውስጥ እነዚህ የበለጠ የንድፈ ሃሳባዊ ስሌቶች ናቸው። በመርህ ደረጃ፣ ከተመሳሳይ ግንኙነት የሚመጡ እሽጎች በበርካታ መገናኛዎች ላይ ሲደርሱ እና በብዙ መገናኛዎች ላይ የሚለቁ የምላሽ እሽጎች ማየት የለብዎትም። ሆኖም፣ በተለዋዋጭ መንገድ ይህ ይቻላል። የግዛት መዝገቦችን ከአንድ የተወሰነ በይነገጽ ጋር ማሰር ይችላሉ። በዚህ መንገድ እሽጎች እነዚህን መዝገቦች ከፈጠሩት በይነገጽ በመዝገቦች ብቻ እንደሚዛመዱ እርግጠኛ ይሆናሉ።
የዋሻው መገናኛዎች ጥቅም ላይ ከዋሉ, ተመሳሳይ ግንኙነት በፋየርዎል ውስጥ ብዙ ጊዜ ያልፋል. ለምሳሌ የግንኙነቱ የመጀመሪያ ፓኬት መጀመሪያ በበይነገፁ ሀ ፣ከዚያ በ B ፣ከዚያ C እና በመጨረሻም በኢንተርኔት መ በኩል ሊተወን ይችላል።በተለምዶ ፓኬጆቹ በይነገሮች A እና D ላይ ተቀርፀው በ B እና C ላይ ይገለላሉ፣ so pf የተለያዩ ፕሮቶኮሎችን ፓኬጆችን ያያል እና በግዛቱ ሠንጠረዥ ውስጥ 4 የተለያዩ ግቤቶችን መፍጠር ይችላሉ። ያለ ማቀፊያ, ፓኬቱ በአራቱም መገናኛዎች ላይ አይለወጥም እና አንዳንድ ባህሪያትን መጠቀም አይችሉም, ለምሳሌ የአድራሻ ትርጉም ወይም የ TCP ቅደም ተከተል ቁጥር ማሻሻያ, ምክንያቱም ይህ በስቴት ሠንጠረዥ ውስጥ እርስ በርስ የሚጋጩ ቁልፎች እንዲታዩ ስለሚያደርግ ነው. እንደ "pf: src_tree insert failed" ያሉ መሿለኪያ እና የተስተካከሉ ስህተቶችን ያካተተ ሙሉ ጭነት እስኪኖርዎት ድረስ መጫኑን በበቂ ሁኔታ ስኬታማ አድርገው ሊመለከቱት አይችሉም። ህጎቹን ከማጣራታችን በፊት ለእያንዳንዱ ፓኬት ወደተሰራው የስቴት ሠንጠረዥ ጥያቄ እንመለስ። መጠይቁ ነጠላ መዝገብ በተዛማጅ ቁልፍ መመለስ አለበት ወይም ምንም ነገር አይመለስ። መጠይቁ ምንም ካልመለሰ, የደንቦቹ ዝርዝር ተላልፏል.
አንድ ግቤት ከተገኘ፣ የ TCP እሽጎች የአንድ የተወሰነ ግንኙነት አባል እንደሆኑ ከመገመታቸው እና ከመጣራታቸው በፊት ሁለተኛው እርምጃ የቅደም ተከተል ቁጥሩን ማረጋገጥ ነው።
ብላ ብዙ ቁጥር ያለውአጥቂው በሁለት አስተናጋጆች መካከል ያለውን ግንኙነት ለመቆጣጠር የሚሞክርበት TCP ጥቃቶች። በአብዛኛዎቹ አጋጣሚዎች አጥቂው በአስተናጋጆች መካከል ባሉ መንገዶች ላይ አይደለም፣ እና ስለዚህ በአስተናጋጆቹ የተላኩ ህጋዊ እሽጎችን መስማት አይችልም። ነገር ግን የላኪውን አድራሻ በማጭበርበር የኢንተርሎኩተሩን እሽጎች በማስመሰል ወደ ማንኛውም አስተናጋጅ ፓኬጆችን መላክ ይችላል። የአጥቂው ግብ በአስተናጋጆች መካከል ግንኙነቶች እንዳይፈጠሩ መከላከል ወይም ቀደም ሲል የተመሰረቱ ግንኙነቶችን ማቋረጥ (የአገልግሎት ውድቅ ለማድረግ) ወይም በግንኙነቶች ላይ ተንኮል አዘል ውርዶችን መፍጠር ሊሆን ይችላል።
ለተሳካ ጥቃት አጥቂው እንደ ምንጭ እና መድረሻ አድራሻ/ወደብ ያሉ በርካታ የግንኙነት መለኪያዎችን በትክክል "መገመት" አለበት። እና ለተስፋፋ ፕሮቶኮሎች ይህ የሚመስለውን ያህል ከባድ ላይሆን ይችላል። አጥቂው የአስተናጋጁን አድራሻዎች እና አንዱን ወደቦች ካወቀ (ስለ የጋራ አገልግሎት እየተነጋገርን ስለሆነ) አንድ ወደብ ብቻ "መገመት" ያስፈልገዋል. ደንበኛው በእውነት የዘፈቀደ ምንጭ ወደብ ቢጠቀምም (ሁልጊዜ እውነት ያልሆነ) አጥቂው 65536 ወደቦችን በአጭር ጊዜ ውስጥ ማለፍ ብቻ ነው የሚያስፈልገው። (በአብዛኛዎቹ ሁኔታዎች (65536-1024) ወደቦች እንኳን፣ ማለትም ያልተፈቀደላቸው ወደቦች ብቻ - የአስተርጓሚ ማስታወሻ))
ነገር ግን አጥቂ ለመገመት በእውነት የሚከብደው ትክክለኛው ተከታታይ ቁጥር (እና ማረጋገጫው) ነው። ሁለቱም አስተናጋጆች ከመረጡ መነሻ ቁጥርቅደም ተከተሎች በዘፈቀደ (ወይም "ደካማ" ISN (የመጀመሪያ ቅደም ተከተል ቁጥር) ጀነሬተር ላላቸው አስተናጋጆች ተከታታይ ቁጥር ማሻሻያ ይጠቀማሉ), ከዚያ አጥቂው በግንኙነቱ ትክክለኛ ጊዜ ተገቢውን ዋጋ ማግኘት አይችልም.
ትክክለኛ የ TCP ግንኙነት በሚኖርበት ጊዜ ለግል እሽጎች ተከታታይ ቁጥሮች (እና ምስጋናዎች) በተወሰኑ ህጎች መሰረት ይለወጣሉ.
ለምሳሌ፣ አስተናጋጁ የተወሰነ የውሂብ ክፍል ከላከ እና ተቀባዩ መቀበሉን ካወቀ፣ ላኪው የክፍል ውሂቡን እንደገና የሚልክበት ምንም ምክንያት ሊኖር አይገባም። ነገር ግን፣ በእርግጥ፣ ቀደም ሲል በአስተናጋጁ የተቀበሉትን የመረጃ ክፍሎችን ለመፃፍ መሞከር የTCP ፕሮቶኮልን መጣስ አይደለም፣ ምንም እንኳን የጥቃት አይነት ሊሆን ይችላል።
pf ለህጋዊ ተከታታይ ቁጥሮች ትንሹን ክልል ለመወሰን ደንቦችን ይጠቀማል። በአጠቃላይ፣ ፒኤፍ በግንኙነት ውስጥ በማንኛውም ጊዜ ከ4294967296 ሊሆኑ ከሚችሉት ተከታታይ ቁጥሮች ውስጥ የ30,000ዎቹን ማንነት በትክክል ማወቅ ይችላል። የቅደም ተከተል ቁጥሩ እና እውቅናው በዚህ መስኮት ውስጥ ከተካተቱ ብቻ pf እሽጉ ህጋዊ እንደሆነ እና እንዲያልፍ ያደርጋል።
በስቴት ሠንጠረዥ ላይ በሚደረግ ጥያቄ ወቅት ተስማሚ የሆነ ግቤት ከተገኘ ቀጣዩ ደረጃ በሠንጠረዡ ውስጥ የተቀመጡትን የፓኬት ቅደም ተከተሎች ቁጥሮች በተቻለ መጠን እሴቶች ክልል ውስጥ መሆናቸውን ያረጋግጣል። ንፅፅሩ ካልተሳካ፣ pf የ"BAD state" መልእክት ያመነጫል እና ፓኬጁን ሳይገመግም ይጥላል። ከህጎቹ ጋር ንፅፅር የማይከሰትባቸው ሁለት ምክንያቶች አሉ-ፓኬጁን ማጣት በእርግጠኝነት ስህተት ይሆናል ፣ ምክንያቱም ስብስቡን በማስላት ደንቡ አንድን አማራጭ መምታት ያስከትላል "keep state" እና pf ውሳኔ ማድረግ እና አዲስ መዝገብ መፍጠር አይችሉም ምክንያቱም ይህ በሰንጠረዡ ውስጥ እርስ በርስ የሚጋጩ ቁልፎችን ያስከትላል.
የ "BAD state" መልዕክቶችን ለማየት እና ለመግባት ትዕዛዙን በመጠቀም የማረሚያ ሁነታን ማንቃት አለብዎት:
$ pfctl -xm
የማረም መልዕክቶች በነባሪነት ወደ ኮንሶሉ ይላካሉ፣ እና syslogd ደግሞ ወደ /var/log/messages ይጽፋቸዋል። በ"pf" የሚጀምሩ መልዕክቶችን ይፈልጉ፡-
ፒኤፍ፡መጥፎሁኔታ፡-TCP 192.168.1.10:20 192.168.1.10:20 192.168.1.200:64828
[ ሎ=1185380879ከፍተኛ=1185380879አሸነፈ=33304ሞዱላተር=0wscal=1]
4:4 A seq=1185380879 ack=1046638749 len=1448 ackskew=0 pkts=940:631
dir=out,fwd
PF፡ የግዛት ውድቀት በ፡ 1 |
እነዚህ መልእክቶች ሁል ጊዜ ጥንድ ሆነው ይመጣሉ። የመጀመሪያው መልእክት ፓኬጁ በታገደበት ጊዜ የስቴት ሠንጠረዥ ግቤት እና ስህተቱን ያስከተለውን የፓኬት ቅደም ተከተል ያሳያል። ሁለተኛው ግቤት የተጣሱትን ሁኔታዎች ያሳያል.
በመጀመሪያው መልእክት መጨረሻ ላይ ለገቢ (dir=in) ወይም ወጪ (dir=out) ፓኬት የሁኔታ መዝገብ መፈጠሩን እና የታገደው ፓኬት በተመሳሳይ አቅጣጫ እየተጓዘ መሆኑን (dir=,fwd) ይመለከታሉ። ) ወይም በተቃራኒው አቅጣጫ (dir=,rev)) አቅጣጫ.
በሰንጠረዡ ውስጥ ያለው ግቤት ሶስት አድራሻዎችን ይዟል፡ ጥንድ ወደቦች፣ ሁለቱ ሁልጊዜ እርስ በርሳቸው እኩል ናቸው፣ ግንኙነቱ nat፣ rdr ወይም bnat ልወጣ ካልተደረገ። ለወጪ ግንኙነቶች, የፓኬቱ ምንጭ በግራ በኩል እና የፓኬቱ መድረሻ በቀኝ በኩል ይታያል. የወጪ ግንኙነቱ የምንጭ አድራሻ መተርጎምን የሚያካትት ከሆነ በመሃል ላይ ያሉት ጥንድ ከትርጉም በኋላ ምንጩን ያሳያል። ለገቢ ግንኙነቶች, ምንጩ በውጤቱ በቀኝ በኩል እና የመድረሻ አድራሻው በመሃል ላይ ነው. የመጪው ግንኙነት ለመድረሻ አድራሻ ትርጉም ተገዢ ከሆነ በግራ በኩል ያለው ip/port ጥንድ ትርጉሙ ከተሰራ በኋላ መድረሻውን ያሳያል. ይህ ቅርጸት ከ pfctl -ss ውጤት ጋር ይዛመዳል፣ pfctl ቀስቶችን በመጠቀም የፓኬቱን አቅጣጫ ያሳያል።
በውጤቱ ውስጥ የአሁኑን የአስተናጋጅ ቅደም ተከተል ቁጥሮች በካሬ ቅንፎች ውስጥ ማየት ይችላሉ. ስለዚህ እሴቱ "4: 4" ግንኙነቱ ሙሉ በሙሉ የተመሰረተ ነው (ትናንሽ ዋጋዎች በግንኙነት ማቋቋሚያ ደረጃ ላይ ይገኛሉ, ግንኙነቱ በሚዘጋበት ጊዜ ትላልቅ ዋጋዎች ብዙ ናቸው)."ሀ" ማለት የታገደው ፓኬት የ ACK ባንዲራ አዘጋጅቷል (እንደ tcpdump ባንዲራ ውፅዓት) የተከታታይ ቁጥሮች እሴቶች (seq=) እና (ack=) በታገዱ እሽጎች እና የፓኬት ጭነት ርዝመት - የውሂብ ርዝመት (ሌን =). askkew በሰንጠረዡ ውስጥ ያለው የውሂብ ውስጣዊ ውክልና አካል ነው፣ ከዜሮ ጋር እኩል ላልሆኑ እሴቶች ብቻ ጥቅም ላይ ይውላል።
ግቤት "pkts=930:631" ማለት መግቢያው እንዲፈጠር ምክንያት ከሆነው ፓኬት ጋር በተመሳሳይ አቅጣጫ የሚጓዙ 940 ፓኬቶች እና 631 ፓኬቶች በተቃራኒው አቅጣጫ ይዛመዳሉ ማለት ነው። እነዚህ ቆጣሪዎች በተለይ የግንኙነት ማዋቀር ችግሮችን መላ ሲፈልጉ ጠቃሚ ይሆናሉ፡ ከመካከላቸው አንዱ ዜሮ ከሆነ በሁለቱም አቅጣጫዎች ያሉት እሽጎች ከዚያ ግቤት ጋር ይዛመዳሉ ብለው ከጠበቁት ነገር ጋር ይቃረናል።
የሚከተለው መልእክት የአንድ ወይም የበለጡ ቁጥሮች ዝርዝር ይይዛል። እያንዳንዱ ቁጥር ስህተቱ የተከሰተበትን ፈተና ይወክላል፡-
- የፓኬት መስኮቱ መጠን ከተቀባዩ ከፍተኛ መጠን (ሴክ + ሌንስ > ከፍተኛ) ይበልጣል
- ፓኬጁ አስቀድሞ የተላለፈ ውሂብ ይዟል (ተከታታይ< lo - win)
- ackskew ያነሰ ዝቅተኛ ዋጋ
- ackskew ከከፍተኛው እሴት ይበልጣል
- ከ (1) ጋር ተመሳሳይ ነው፣ ግን በልዩነት (ሴክ + ሌን > ከፍተኛ + ማሸነፍ)
- ከ (2) ጋር ተመሳሳይ ነው፣ ግን (ሴክ< lo - maximum win)
እንደ እድል ሆኖ፣ የ‹BAD state› መልእክቶች በእውነተኛ የዕለት ተዕለት ትራፊክ ላይ አይተገበሩም ፣ እና የ PF ተከታታይ ቁጥርን መፈተሽ ብዙ ያልተለመዱ ነገሮችን ያስወግዳል። እነዚህ መልዕክቶች በመደበኛነት ሲታዩ ካዩ እና ካላስተዋሉ ትልቅ ቁጥርየተንጠለጠሉ ግንኙነቶችን በቀላሉ ችላ ማለት ይችላሉ. በበይነመረብ ላይ ብዙ የ TCP/IP አተገባበርዎች አሉ, እና አንዳንዶቹ አንዳንድ ጊዜ የተሳሳቱ ፓኬቶችን ሊያመነጩ ይችላሉ.
ይሁን እንጂ ይህ የችግሮች ክፍል እንደዚህ ባሉ ጉዳዮች ላይ ብቻ በሚታዩ "BAD state" መልክቶች በቀላሉ ሊታወቅ ይችላል.
የግዛት መዝገቦችን መፍጠርTCP በመነሻSYN ወደ ጥቅል።
በሐሳብ ደረጃ፣ የመጀመሪያው የSYN ፓኬት ሲከሰት የግዛት መዝገቦች መፈጠር አለባቸው።
ይህንን መርህ በመጠቀም ይህንን ደንብ መጠቀም ይችላሉ-
በሁሉም የ"pass proto tcp keep state" ደንቦች ውስጥ "ባንዲራዎች S/SA" አማራጮችን ተጠቀም
የመጀመሪያዎቹ የSYN ጥቅሎች ብቻ (እና እነዚህ ብቻ) የSYN ባንዲራ የተቀናበረ እና ኤሲኬ የተሰበሰበ ነው። የ"Kep state" አማራጭ ለመጀመሪያዎቹ የSYN ጥቅሎች ብቻ ሲተገበር፣ እነዚያ እሽጎች ብቻ በግዛቱ ሠንጠረዥ ውስጥ ግቤቶችን ይፈጥራሉ። ስለዚህ በስቴት ሠንጠረዥ ውስጥ ያለ ማንኛውም ግቤት ከመጀመሪያው SYN ፓኬት የተገኘ ይሆናል።
ለመጀመሪያዎቹ እሽጎች ብቻ መዝገቦችን የመፍጠር ምክንያት በ RFC1323 ውስጥ የተገለፀው "የመስኮት ስክሊት" የሚባል የ TCP ፕሮቶኮል ቅጥያ ነው። የተቀበሉትን መስኮቶች መጠን ለማሳወቅ የሚያገለግለው የTCP ራስጌ መስክ ለዛሬው ባለከፍተኛ ፍጥነት የመገናኛ ግንኙነቶች በጣም ትንሽ ነው። ዘመናዊ የTCP/IP አተገባበር መጠቀምን ይመርጣሉ ትላልቅ እሴቶችአሁን ባለው ሳጥን ውስጥ ከሚገባው በላይ የመስኮት መጠን. የመስኮት መጠን መለኪያ ማለት ከተቀባዩ አስተናጋጅ የሚታወቁት ሁሉም የመስኮቶች መጠኖች በራሳቸው ከመወሰድ ይልቅ በተቀባዩ በተወሰነ እሴት ማባዛት አለባቸው። ይህ እቅድ እንዲሰራ ሁለቱም አስተናጋጆች ማራዘሚያውን መደገፍ እና በግንኙነት ምስረታ ወቅት ("እጅ መጨባበጥ") የ TCP አማራጮችን በመጠቀም የመተግበር አቅማቸውን ማሳየት አለባቸው። እነዚህ አማራጮች በመጀመሪያዎቹ SYN እና SYN+ACK ፓኬቶች ውስጥ ብቻ ይገኛሉ። እነዚህ እሽጎች እያንዳንዳቸው አንድ አማራጭ ከያዙ ብቻ የጋራ ስምምነት ስኬታማ ይሆናል እና የሁሉም ተከታይ እሽጎች የመስኮቶች መጠን በአንድ ምክንያት ይባዛል።
ፒኤፍ የመስኮቱን መመዘን ጥቅም ላይ እንደዋለ “የማያውቅ” ከሆነ የቀረበውን ዋጋ ያለምክንያት ይወስዳል እና ተቀባይነት ላለው ተከታታይ ቁጥር ዋጋዎች የመስኮቶችን መጠኖች ያሰሉ ትክክል አይደሉም። በተለምዶ አስተናጋጆች በግንኙነት ጅምር ላይ ትንሽ የመስኮት መጠኖችን ይሰጣሉ እና ግንኙነቱ እየገፋ ሲሄድ ይጨምራሉ። የመስኮቱን መጠን የሚቀይሩ ምክንያቶች መኖራቸውን ሳያውቅ pf በተወሰነ ጊዜ እሽጎችን ማገድ ይጀምራል, ምክንያቱም ከአስተናጋጆቹ አንዱ በ "ኢንተርሎኩተር" የቀረበውን ከፍተኛውን የመስኮት መጠን ለማለፍ እየሞከረ እንደሆነ ያምናል. የዚህ ተጽእኖ ብዙ ወይም ያነሰ ሊታወቅ ይችላል. አንዳንድ ጊዜ አስተናጋጆች ለፓኬት መጥፋት ምላሽ ወደ ተባሉት በመሄድ ምላሽ ይሰጣሉ። "የመጥፋት መልሶ ማግኛ ሁኔታ" እና ትንሽ የመስኮት መጠን ያስተዋውቃል። ፒኤፍ ለመጀመሪያ ጊዜ የተጣሉ እሽጎችን እንደገና ካስተላለፈ በኋላ፣ የመስኮቱ መጠኖች የበለጠ ይጨምራሉ፣ PF እንደገና ማገድ እስከሚጀምርበት ደረጃ ድረስ። ውጫዊ መገለጫው ጊዜያዊ የግንኙነት መቀዝቀዝ እና ዝቅተኛ አፈፃፀም ሊሆን ይችላል። እንዲሁም በጊዜ ማብቂያ ምክንያት ግንኙነቶቹ ሙሉ በሙሉ ይቀዘቅዛሉ ወይም ዳግም ሊጀምሩ ይችላሉ።
ነገር ግን ፒኤፍ መስኮቶችን የመጠን እድልን ስለሚያውቅ ይህንን እድል ይደግፋል. ነገር ግን፣ በመጀመሪያዎቹ የSYN ጥቅሎች ላይ የስቴት ሠንጠረዥ ግቤቶችን ለመፍጠር የሚያስፈልገው ቅድመ ሁኔታ ፒኤፍ የመጀመሪያዎቹን ሁለት እሽጎች ከጠረጴዛው ግቤት ጋር ማያያዝ ይችላል። እና የመስኮት መጠን መለኪያዎች ሙሉ ማዛመድ በእነዚህ የመጀመሪያዎቹ ሁለት ፓኬቶች ውስጥ ብቻ ስለሚከሰት ግንኙነቱ ከተነጋገረ በኋላ እነዚህን መለኪያዎች ለመወሰን አስተማማኝ ዘዴ የለም።
ቀደም ባሉት ጊዜያት የመስኮት መጠነ-መጠን በስፋት ጥቅም ላይ አይውልም ነበር, ነገር ግን ይህ በፍጥነት እየተለወጠ ነው. ሊኑክስ ይህንን አማራጭ በነባሪነት የነቃው በቅርቡ ነው። በግንኙነቶችን ማንጠልጠል ላይ ችግር ካጋጠመዎት፣በተለይ ከተወሰኑ የአስተናጋጅ ውህዶች ጋር፣እና ከነዚህ ግንኙነቶች ጋር የተያያዙ "BAD state" መልዕክቶችን እያዩ ከሆነ፣በግንኙነቱ የመጀመሪያ ፓኬቶች ላይ የስቴት ሠንጠረዥ ግቤቶችን እየፈጠሩ መሆኑን ያረጋግጡ።
ፒኤፍ ከpfctl ውፅዓት ለግንኙነቱ የማሳያ አማራጩን እየተጠቀመ መሆኑን ማወቅ ይችላሉ።
$ pfctl -vss
kue0 tcp 10.1.2.3:10604 -> 10.2.3.4:80 የተመሰረተ:የተቋቋመ
wscal 0wscal 1
በሁለተኛው መስመር ላይ የታተመ የ"wscale x" ግቤት ካለ (x ዜሮ ቢሆንም)፣ ፒኤፍ ግንኙነቱ ሚዛንን እየተጠቀመ መሆኑን ያውቃል።
ሌላው ቀላል ዘዴ ከማስኬድ ጋር የተያያዙ ችግሮችን ለመለየት የመለኪያ ድጋፍን ለጊዜው ማሰናከል እና ሁኔታውን እንደገና ማጫወት ነው. በOpenBSD ላይ የመለኪያ አጠቃቀምን በ sysctl አማራጭ መቆጣጠር ይቻላል፡-
$ sysctlመረቡ.inet.tcpRFc1323
መረቡ.inet.tcprfc1323=1
$ sysctl -ወsysctlመረቡ.inet.tcprfc1323=0
መረቡ.inet.tcprfc1323: 1 -> 0
ተመሳሳይ ችግሮች የሚከሰቱት በስቴት ሠንጠረዥ ውስጥ ከመጀመሪያው SYN ውጪ ለሆኑ ፓኬቶች ግቤቶችን ሲፈጥሩ እና የ"mulate state" አማራጭን ወይም ስርጭትን ሲጠቀሙ ነው። በሁለቱም ሁኔታዎች ስርጭቱ በግንኙነቱ መጀመሪያ ላይ ይከሰታል. የመጀመሪያው ፓኬት ካልተተረጎመ ተከታዩን መቆንጠጥ ብዙውን ጊዜ መቀበያውን ተስፋ ያስቆርጣል እና የተላኩ ምላሾች በpf ከ"BAD state" መልእክት ጋር እንዲታገዱ ያደርጋል።
ላፕቶፖች በአሁኑ ጊዜ እንደ የቤት ኮምፒዩተሮች በጣም ተወዳጅ ናቸው ምክንያቱም ትንሽ ቦታ ስለሚይዙ እና በቀላሉ ከክፍል ወደ ክፍል ሊንቀሳቀሱ ይችላሉ. ብዙ የቤት ተጠቃሚዎች ያካትታሉ ማጋራት።ፋይሎችን በቅደም ተከተል፣ ለምሳሌ ዲጂታል ይዘትን በእርስዎ መልቲሚዲያ ስርዓቶች እና ቴሌቪዥኖች ላይ ለማጫወት።
አብዛኛዎቹ እነዚህ ተጠቃሚዎች ላፕቶፕዎቻቸውን ይዘው ወደ ህዝብ ቦታዎች እንደ ካፌዎች እና በገመድ አልባ የዋይፋይ አውታረመረብ ከበይነመረብ ጋር ይገናኛሉ። ፋየርዎልን ሲጠይቁ እና አውታረ መረቡን በይፋ ሲመርጡ ኮምፒዩተሩ በክፍት አውታረ መረብ ውስጥ ካሉ ሌሎች ተሳታፊዎች ከሚሰነዘር ጥቃት መጠበቅ አለበት ብሎ መጠበቅ ምክንያታዊ ነው።
ላፕቶፕን እንደ ብቸኛ የስራ ኮምፒውተራቸው የሚጠቀሙ የንግድ ስራ ተጠቃሚዎች በተመሳሳይ ሁኔታ ውስጥ ሊገኙ ይችላሉ፣ ማሽኖቻቸው ብዙውን ጊዜ በማይክሮሶፍት የርቀት ዴስክቶፕ ቁጥጥር ስር እንዲሆኑ ይዋቀራሉ።
የዚህ ሙከራ ዓላማ በጣም ታዋቂው የሶስተኛ ወገን ፋየርዎል - ለብቻው እና እንደ የበይነመረብ ደህንነት ስብስቦች አካል - በእውነቱ በቤት/በስራ እና በህዝብ አውታረ መረቦች መካከል ለሚቀያየሩ ላፕቶፕ ተጠቃሚዎች መሰረታዊ የመግቢያ መቆጣጠሪያን እንዴት እንደሚሰጡ ማወቅ ነው።
እባክዎን ያስታውሱ የፈተናው ወሰን በጣም የተገደበ ነው, እና ስለዚህ በዚህ ሙከራ ውስጥ ጥሩ ውጤት ምርቱ የተሟላ የአውታረ መረብ ደህንነትን ይሰጣል ማለት አይደለም.
ሙከራ በጥር 2014 በ CHIP ኦንላይን መጽሔት (ጀርመን) ትእዛዝ ተካሂዷል። ጥቅም ላይ የዋሉት የፋየርዎል ስሪቶች ከጃንዋሪ 13፣ 2014 ጀምሮ ይገኛሉ።
የፋየርዎል ሙከራ ሂደት
የሙከራ ፒሲ በገመድ አልባ የአካባቢ አውታረመረብ (WLAN) በኩል ከበይነመረቡ ጋር የተገናኘ ሲሆን በዊንዶውስ ኔትወርክ እና መጋሪያ ማእከል (WNSC) ውስጥ የግል ተብሎ የተተረጎመውን የአውታረ መረብ ግንኙነት በመጠቀም።
ከጃንዋሪ 13 ቀን 2014 ጀምሮ ያለው የእያንዳንዱ ምርት የሙከራ ስሪት በነባሪ ቅንጅቶች ተጭኗል እና የሙከራ ኮምፒዩተሩ እንደገና ይነሳል። ምርቱ ራሱ ተጠቃሚው የአሁኑን የአውታረ መረብ አይነት እንደ የግል/የታመነ እንዲገልጽ ካደረገ ይህ አማራጭ ይመረጣል። ምርቱ የማዘመን ተግባር ካለው, ከዚያም ይከናወናል. ምርቱ በዊንዶውስ አክሽን ሴንተር እንደ ሲስተም ፋየርዎል መመዝገቡን እና ምርቱ ራሱ እንደተጠበቀው እየሰራ መሆኑን ያሳያል። ሁለተኛ ፒሲ በመጠቀም አሁን ባለው የግል አውታረ መረብ ላይ ያለው ግንኙነት እንደሚከተለው ይሞከራል፡
- ፒንግ አስተናጋጅ ስም -4
- ፒንግ አስተናጋጅ ስም -6
- ፒንግ IPv4 አድራሻ
- ፒንግ IPv6 አድራሻ
- የፋይል ማጋራት የአስተናጋጅ ስም
- የፋይል ማጋራት IPv4 አድራሻ
- የርቀት ዴስክቶፕ (RDP) የአስተናጋጅ ስም
- የርቀት ዴስክቶፕ (RDP) IPv4 አድራሻ
- የርቀት ዴስክቶፕ (RDP) IPv6 አድራሻ
እነዚህ ሁሉ የርቀት መዳረሻ ዓይነቶች የሙከራ ፒሲ በግል አውታረመረብ ላይ ያለውን ሙሉ ተግባር እና በእሱ ላይ ከፍተኛ ቁጥጥር ለማድረግ እንዲሰሩ የተረጋገጡ ናቸው። ከዚህ በኋላ, የተገናኘበት ኮምፒተር እና ራውተር ጠፍተዋል, እና ፒሲው እንደገና ይጀምራል. ከዚያ የዊንዶውስ ፋየርዎል የንግግር ሳጥንን በመጠቀም በWNSC ውስጥ የህዝብ ተብሎ ከሚገለጽ ከሌላ WLAN ጋር ይገናኛል።
ፋየርዎል የኔትወርክን አይነት ለመወሰን ጥያቄውን ካሳየ ወደ "ይፋዊ" ወይም "የማይታመን" ተቀናብሯል. በምርቱ ቅንብር ላይ ምንም ተጨማሪ ለውጦች አይደረጉም.
ይህ አሰራር ከቤት/ቢሮ ወደሚንቀሳቀስ ላፕቶፕ ተጠቃሚ የተለመደ ባህሪን ያሳያል የህዝብ አውታረ መረብበካፌ, አየር ማረፊያ ወይም ሆቴል ውስጥ. ኮምፒዩተሩ ከአዲሱ የህዝብ ገመድ አልባ አውታር ጋር ከተገናኘ በኋላ, ከግል አውታረመረብ ጋር ለመገናኘት ተመሳሳይ ሙከራዎች ይከናወናሉ. በዚህ ጊዜ ኮምፒውተሩ ከማንኛውም ውጫዊ ፈልጎ ማግኘት እና በህዝብ አውታረመረብ ላይ እንዳይደርስ መጠበቅ ስላለበት ሁሉም የግንኙነት ሙከራዎች እንዳይሳኩ ይጠበቃል።
የፋየርዎል ሙከራ ፋየርዎል በትክክል እንደተጠበቀው እየሰራ መሆኑን በትክክል ለማረጋገጥ ብቸኛው መንገድ ነው። የተወሳሰቡ የፋየርዎል ደንቦች፣ ደካማ የአስተዳደር በይነገጾች እና ሌሎች ነገሮች ብዙውን ጊዜ የፋየርዎልን ሁኔታ ለማወቅ አስቸጋሪ ያደርጉታል። በመጠቀም የፋየርዎል ሁኔታን በትክክል ማወቅ ይቻላል.
የዚህ አይነት የፋየርዎል ሙከራ ግንኙነት ለመፍጠር ይሞክራል። የውጭ ፊት ለፊት አገልግሎቶችከ ዘንድ ከአጥቂ ጋር ተመሳሳይ አመለካከት. ያልተጠበቀ ክፍት አገልግሎት (የማዳመጥ ወደብ) በደካማ ፋየርዎል ወይም ራውተር ውቅሮች ውስጥ ዋና የደህንነት ድክመት ሊሆን ይችላል።
የአይፒ አድራሻ ያስገቡከዚህ በታች ባለው ቅጽ ሀ ፈጣን የመስመር ላይ የፋየርዎል ሙከራ. የወደብ ቅኝት ይደረጋል በጣም ከተለመዱት 10 ቱን ይሞክሩየTCP አገልግሎቶች (ወደቦች)፣ ወደብ ክፍት፣ እንደተዘጋ ወይም እንደተጣራ የሚያሳዩ ውጤቶች።
ይህ የፋየርዎል ሙከራ በወደብ ምላሾች ላይ በመመስረት የስርዓት ፋየርዎልን ሁኔታ ሊያሳይ የሚችል ከፍተኛ ደረጃ አጠቃላይ እይታ ነው። ውጤቱን በመተርጎም ላይ ለበለጠ ዝርዝር የNmap አጋዥ ስልጠናን ይመልከቱ።
ሁሉንም 65535 ወደቦች በመቃኘት ፋየርዎልን ሲሞክሩ የተሟላ ሽፋን ያረጋግጡ። ሶፍትዌሮችን እራስዎ ያሂዱ ወይም በቀላሉ የኛን አስተናጋጅ በመጠቀም አጠቃላይ የፋየርዎል ሙከራን ያድርጉ የመስመር ላይ Nmap ወደብ ስካነር.
ለምን የውጪ የፋየርዎል ሙከራ ያስፈልግዎታል
ስርዓቶችዎ ለውጭ አጥቂዎች ምን ያህል ተጋላጭ እንደሆኑ ለመረዳት በአውታረ መረቡ ላይ ምን እንደሚመስሉ ከውጭ ወይም ከበይነመረብ እይታ አንጻር መረዳት ያስፈልግዎታል። ከአውታረ መረብ ፔሪሜትር ውጭ የተደረገ የወደብ ቅኝት ካርታ እና ተጋላጭ የሆኑ ስርዓቶችን ይለያል።
የቴክኒካል ኦፕሬሽኖች ሰራተኞች የኔትዎርክ ፔሪሜትር ከውጭ ምን እንደሚመስሉ ማወቅ አለባቸው. ፔሪሜትር ነጠላ የአይፒ መግቢያ በር፣ የተስተናገደ የኢንተርኔት አገልጋይ ወይም ሙሉ ክፍል B አውታረ መረብ ሊሆን ይችላል። ምንም አይደለም - በበይነመረብ ላይ የተመሰረቱ ስጋቶች ምን አገልግሎቶችን ማየት እንደሚችሉ እና ምን መድረስ እንደሚችሉ መረዳት ያስፈልግዎታል።
የውጭ ወደብ ስካነር መዳረሻ ያለው ድርጅት የስርዓት አስተዳዳሪ ወይም የደህንነት ተንታኝ ከሆኑ ብዙ ጥቅሞችን ያስገኛል። በጣም አስፈላጊው እርስዎ ማድረግ ያለብዎት በፔሪሜትርዎ ላይ የሚሰሙትን አገልግሎቶች ይወቁ. በፔሚሜትር ላይ ለውጦችን ለመከታተል ሙከራ ቢያንስ በየወሩ እና በጥሩ ሁኔታ ብዙ ጊዜ መከናወን አለበት።
የቤት ራውተር ፋየርዎል
ለብዙ ተጠቃሚዎች የቤት ራውተር ማስተዳደር ያለባቸው የፋየርዎል መሳሪያ ነው። በዚህ ጉዳይበጣም የተለመደው ውቅር የ SOHO መሣሪያ NAT (የአውታረ መረብ አድራሻ ትርጉም) ሲያከናውን ነው። በ NAT ውቅር ውስጥ የውስጥ አውታረመረብ በግል የአይፒ አድራሻ ክልሎች (192.168.1.x) ላይ በርካታ መሳሪያዎች አሉት እና በ SOHO ራውተር በኩል ከበይነመረብ ጋር ይገናኛሉ። ራውተር በበይነ መረብ አቅራቢው ወይም በአይኤስፒ የተመደበ አንድ የህዝብ አይፒ አድራሻ አለው። ከውስጥ ወደ ይፋዊ የአይፒ አድራሻ መተርጎም የ NAT ሂደት ነው።
ሁለት አስፈላጊ ጉዳዮችን ለመፈተሽ የቤት ራውተሮች ወደብ መቃኘት አለባቸው።
1. መሣሪያው ራሱ እንደ HTTP (tcp port 80) ወይም Telnet (tcp port 23) ላሉ አስተዳደር የመስማት አገልግሎት ሊኖረው ይችላል። እነዚህ በተለምዶ ከውስጥ አውታረ መረብ ብቻ ተደራሽ ናቸው፣ ነገር ግን በህዝብ በይነመረብ በኩል የሚያዳምጡ ከሆነ ማንም ሰው ሊደርስባቸው ይችላል እና የይለፍ ቃሉ ነባሪ ወይም ደካማ ከሆነ ይህ በቀላሉ ሊደረስበት ይችላል። የሆነ ሰው ወደ ራውተርዎ መዳረሻ ካለው በውስጣዊ አውታረ መረብ ላይ ያሉ ማናቸውንም መሳሪያዎች ማጥቃት ይችላል።
2. ወደብ ማስተላለፍ ሌላው አስፈላጊ ግምት ሲሆን ውጫዊ በይነገጽ ትራፊክን ወደ ውስጣዊ አድራሻ ስለሚያስተላልፍ ከኢንተርኔት ማግኘት ይቻላል. በውስጣዊ አውታረ መረብዎ ላይ አገልግሎቶችን እያስተናገዱ ከሆነ እና እነዚህ ተደራሽ እንዲሆኑ ከፈለጉ፣ በ SOHO ራውተር ላይ የወደብ ማስተላለፊያ ህግን ማዘጋጀት ይችላሉ። የውጫዊውን የአይፒ አድራሻ ወደብ መቃኘት ወደቦች ወደፊት መላ መፈለግ እና መተላለፍ የማይገባቸው አገልግሎቶች አለመኖራቸውን ለማረጋገጥ ይረዳል።
የፋየርዎል አስተዳደር
ከአገልግሎት መታወቂያው ወይም ከአስተናጋጁ የሚመለሱትን እሽጎች በበለጠ በዝቅተኛ ደረጃ በመመርመር ትክክለኛውን ኦፕሬቲንግ ሲስተም የበለጠ መለየት ይቻላል።
ስርዓት እና አውታረ መረብአስተዳዳሪዎች የአስተናጋጁን ወይም የድርጅትን ውጫዊ አውታረ መረብ ለመቅረጽ ይጠቀማሉ። አውታረ መረቦች በጊዜ ሂደት ይለወጣሉ እና ሰነዶች ሁልጊዜ ወቅታዊ አይደሉም, ስለዚህ በአውታረ መረብ ላይ የሚያዳምጡ አገልግሎቶች ፈጣን ወደብ ቅኝት የስርዓት አስተዳዳሪ የአውታረ መረቡ አቀማመጥ እንዲገነዘብ ይረዳል.
ከስርአቱ ውስጥ የሚመጡ ጥቃቶችን ለመከላከል የ21 ታዋቂ ፋየርዎል ንፅፅር ሙከራ። ሙከራው የሂደቶችን ከመቋረጡ፣ ከመደበኛ የውስጥ ጥቃቶች መከላከል፣ መደበኛ ካልሆኑ ፍንጣቂዎች መከላከል እና የከርነል ሁነታን ወደ ውስጥ ለመግባት መደበኛ ካልሆኑ ቴክኒኮች የሚከላከሉ 64 ልዩ የተገነቡ የሙከራ መገልገያዎችን በመጠቀም ከለላ ሞክሯል።
ከፀረ-ቫይረስ ጋር, ፋየርዎል የኮምፒተር ደህንነት ዋና ዋና ክፍሎች አንዱ ነው. ነገር ግን፣ እንደ ጸረ-ቫይረስ ሳይሆን፣ የፋየርዎል አፈጻጸም ተጨባጭ ሙከራዎች እምብዛም አይካሄዱም። እ.ኤ.አ. በ2011 እና 2012 ከውስጥ ጥቃቶች ለመከላከል የፋየርዎል ሙከራ እና የግል IDS/IPS በመሞከር በተጋለጡ መተግበሪያዎች ላይ ከሚደርሱ ጥቃቶች ለመከላከል ይህንን ክፍተት ለመዝጋት ሞክረናል። በዚህ አመት, ጥቅም ላይ የዋሉትን ዘዴዎች ዝርዝር ለማስፋት እና የፋየርዎል ሙከራን ከውስጣዊ ጥቃቶች ለመከላከል በዚህ መስፈርት መሰረት የታወቁ ምርቶች ውጤቶች በጊዜ ሂደት እንዴት እንደተቀየሩ ለማየት ወስነናል.
ይህ ሙከራ ምን ላይ ያነጣጠረ ነው ወይስ ፋየርዎል የሚያከናውናቸው ተግባራት ምንድን ናቸው? እንደ ኢንተርኔት ስታንዳርድ [RFC3511] (2003) ፍቺ መሰረት ፋየርዎል በኔትወርክ ክፍሎች መካከል ያለውን ትራፊክ ለመለየት በተጠቀሱት ህጎች መሰረት የኔትወርክ ፓኬቶችን የማጣራት ተግባራትን የሚተገበር ስርዓት ነው። ነገር ግን የማልዌር እና የጠላፊ ጥቃቶች ውስብስብነት እየጨመረ በመምጣቱ የመጀመሪያዎቹ የፋየርዎል ስራዎች በአዲስ ተግባራዊ ሞጁሎች ተጨምረዋል። ያለ HIPS ሞጁል (የስርዓት ክስተቶችን መከታተል ፣ የስርዓት ታማኝነት ፣ ወዘተ) ያለ ሙሉ ፋየርዎል መገመት በጭራሽ የማይቻል ነው ።
የዘመናዊ ፋየርዎል ዋና ተግባር ያልተፈቀዱ የአውታረ መረብ ግንኙነቶችን (ከዚህ በኋላ ጥቃቶች ተብለው ይጠራሉ) ወደ ውስጣዊ እና ውጫዊ የተከፋፈሉ ናቸው. እነዚህም የሚከተሉትን ያካትታሉ:
በፋየርዎል-የተጠበቀ ስርዓት ላይ የውጭ ጥቃቶች፡-
- በጠላፊዎች ተነሳሽነት;
- በተንኮል ኮድ ተነሳ.
- ባልታመኑ አፕሊኬሽኖች (ተንኮል አዘል ኮድ) የተጀመረ;
- የአውታረ መረብ እንቅስቃሴያቸው በህጎቹ በተከለከሉ መተግበሪያዎች የተጀመረ።
በተጨማሪም፣ እ.ኤ.አ. በ2003 በሚታወቀው የንፁህ የግል ፋየርዎል ሊመደቡ የሚችሉ ምርቶች ከገበያ ጠፍተዋል። በአጠቃላይ የመከላከያ ምርቶች ተተክተዋል የግል ኮምፒውተሮች, እሱም የግድ የፋየርዎል አካልን ያካትታል.
ለመከላከል የፋየርዎል ሙከራ የውጭ ጥቃቶችበስርአቱ ውስጥ ከሚመጡ ጥቃቶች የመከላከያ ጥራትን ማጥናት ያካትታል. ፈተናው የተካሄደው በሚከተሉት ቦታዎች ነው።
- ሂደቶችን ከማቋረጥ ጥበቃን ማረጋገጥ.
- ከመደበኛ የውስጥ ጥቃቶች ጥበቃ.
- መደበኛ ካልሆኑ ፍሳሾች መከላከልን መሞከር።
- የከርነል ሁነታን ወደ ውስጥ ለመግባት መደበኛ ካልሆኑ ቴክኒኮች ጥበቃን መሞከር።
ከቀዳሚው ፈተና ጋር ሲነጻጸር, ጥቅም ላይ የዋሉ ጥቃቶች ቁጥር በከፍተኛ ሁኔታ ጨምሯል - ከ 40 ወደ 64. በተፈተኑ ምርቶች የተጠበቀው ስርዓተ ክወናም ተለውጧል. በቀድሞው ፈተና ዊንዶውስ ኤክስፒ ነበር, እና በዚህ ሙከራ ውስጥ ዊንዶውስ 7 x32 ነበር. ለዊንዶውስ 7 x64 ኦፕሬቲንግ ሲስተም በዓመቱ መጨረሻም ተመሳሳይ ሙከራ ታቅዷል።
መግቢያ
ሙከራው 21 ታዋቂ አጠቃላይ ጥበቃ ፕሮግራሞችን ያካተተ ነበር (የበይነመረብ ደህንነት ክፍል ፣ በመስመር ላይ እንደዚህ ያለ ምርት ከሌለ ፣ ከዚያ ሙሉ በሙሉ ፋየርዎል ተመርጧል) ከተለያዩ አምራቾች የሙከራው መጀመሪያ ቀን (ግንቦት 2013) ድረስ ያሉ እና በዊንዶውስ መድረክ ላይ የሚሰሩ የምርት ስሪቶች 7 x32 :
- አቫስት! የበይነመረብ ደህንነት (8.0.1488).
- AVG የበይነመረብ ደህንነት (2013.0.3272).
- አቪራ የበይነመረብ ደህንነት (13.0.0.3499).
- Bitdefender የበይነመረብ ደህንነት (16.29.0.1830).
- ኮሞዶ የበይነመረብ ደህንነት (6.1.276867.2813).
- Dr.Web Security Space (8.0)
- Eset Smart Security (6.0.316.0)
- ኤፍ-ደህንነቱ የተጠበቀ የበይነመረብ ደህንነት (1.77 ግንባታ 243)።
- G DATA የበይነመረብ ደህንነት (1.0.13113.239).
- ጄቲኮ የግል ፋየርዎል (2.0)።
- የ Kaspersky በይነመረብ ደህንነት (13.0.1.4190 (ግ)
- McAfee የበይነመረብ ደህንነት (11.6.507).
- ኪንግሶፍት የበይነመረብ ደህንነት (2009.05.07.70).
- የማይክሮሶፍት ደህንነት አስፈላጊ ነገሮች (4.2.223.0) + ዊንዶውስ ፋየርዎል
- ኖርተን የበይነመረብ ደህንነት (20.3.0.36).
- የመስመር ላይ ትጥቅ ፕሪሚየም ፋየርዎል (6.0.0.1736)።
- Outpost Security Suite Pro (8.0 (4164.639.1856)
- የፓንዳ ኢንተርኔት ደህንነት (01/18/01).
- ፒሲ መሳሪያዎች የበይነመረብ ደህንነት (9.1.0.2900).
- Trend ማይክሮ ታይታኒየም የበይነመረብ ደህንነት (6.0.1215).
- TrustPort የበይነመረብ ደህንነት (2013 (13.0.9.5102).
ፈተናውን ከመጀመሩ በፊት, የፈተና አካባቢ ተዘጋጅቷል. ይህንን ለማድረግ ዊንዶውስ 7 ኢንተርፕራይዝ SP1 x86 ኦፐሬቲንግ ሲስተሙን ሁሉም ዝመናዎች ያሉት እና ለሙከራው የሚያስፈልጉ ተጨማሪ ሶፍትዌሮች በንጹህ ኮምፒውተር ላይ ተጭነዋል።
ሙከራው የተካሄደው በሁለት ዓይነት ቅንጅቶች ላይ ነው፡ በአምራቹ የሚመከር መደበኛ (ነባሪ ቅንጅቶች) እና ከፍተኛ። በመጀመሪያው ሁኔታ በአምራቾች የተመከሩት ነባሪ ቅንጅቶች ጥቅም ላይ ውለዋል እና በፕሮግራሙ የተመከሩ ሁሉም ድርጊቶች ተከናውነዋል.
በሁለተኛው ሁኔታ ፣ በተጨማሪ ፣ በ “ነባሪ” ሁነታ የተሰናከሉ ሁሉም ቅንብሮች ፣ ግን አሁንም የፈተናውን ውጤት ሊነኩ ይችላሉ ፣ በርተዋል እና / ወይም ወደ ከፍተኛ ቦታቸው (በጣም ጥብቅ ቅንጅቶች) አመጡ። በሌላ አገላለጽ ከፍተኛውን መቼት ማቀናበር ማለት ተንኮል-አዘል ፋይልን ወይም የአውታረ መረብ እንቅስቃሴን ከመፈለግ ጋር የተያያዙ ሁሉንም ሞጁሎች በግራፊክ የተጠቃሚ በይነገጽ የሚገኙትን ሁሉንም ቅንብሮች ወደ በጣም ጥብቅ አማራጭ ማስተላለፍ ማለት ነው።
የፋየርዎል ሙከራው የተካሄደው ለግልጽነት በችግር ደረጃዎች የተከፋፈለው የሚከተሉትን የውስጥ ጥቃቶች ቡድን በመጠቀም ነው።
1. መሰረታዊ የችግር ደረጃ (56 የጥቃት አማራጮች)
1. የሂደቶችን ጥበቃ ከማቋረጡ (41 የጥቃት አማራጮች) መፈተሽ;
2. ከመደበኛ የውስጥ ጥቃቶች ጥበቃ (15 የጥቃት አማራጮች).
2. የችግር ደረጃ መጨመር (8 የጥቃት አማራጮች)
1. ከመደበኛ ያልሆኑ ፍሳሾች (3 የጥቃት አማራጮች) መከላከያን መሞከር;
2. ወደ ከርነል ሁነታ ለመግባት መደበኛ ካልሆኑ ቴክኒኮች ጥበቃን መሞከር (5 የጥቃት አማራጮች)።
በፈተናው ውስጥ ጥቅም ላይ የዋሉ የሁሉም የጥቃት ዘዴዎች ዝርዝር መግለጫ በፈተና ዘዴ ውስጥ ሊገኝ ይችላል.
ፋየርዎሎችን ከውስጥ ጥቃቶች ለመከላከል መፈተሽ
በተጠቀመው የሽልማት እቅድ መሰረት ጥቃቱ በራስ-ሰር ከታገደ እና በሙከራ ላይ ያለው የፕሮግራሙ የመከላከያ ተግባር ካልተበላሸ 1 ነጥብ (+) የተሰጠ መሆኑን እናስታውስዎ። 0.5 ነጥቦች (ወይም +/-) - ጥቃቱ በልዩ ሁኔታዎች ውስጥ ብቻ ከታገደ (ለምሳሌ ፣ ተጠቃሚው በትክክል ሲመርጥ) አስፈላጊ እርምጃበፈተና ላይ ባለው ፕሮግራም ጥያቄ). እና በመጨረሻም ጥቃቱ ሙሉ በሙሉ ወይም በከፊል የተሳካ ከሆነ እና የጥበቃ ተግባሩን ካሰናከለ ምንም ነጥብ አልተሰጠም. በዚህ ፈተና ውስጥ የተመዘገቡት ከፍተኛው የነጥብ ብዛት 64 ነበር።
ሠንጠረዥ 1-2 እና ምስል 1-2 የፋየርዎል ሙከራዎችን በመደበኛ እና ከፍተኛ ቅንጅቶች ላይ በተናጠል ያሳያሉ. ለግልጽነት የእያንዳንዱ ፋየርዎል ውጤቶች በሁለት ቡድን ይከፈላሉ-ከመሠረታዊ ውስብስብነት ደረጃ ጥቃቶች ጥበቃ እና ከተጨማሪ ውስብስብነት ጥቃቶች መከላከል።
ሠንጠረዥ 1፡ የፋየርዎል ሙከራ ውጤቶች ለመደበኛሀrt ቅንብሮች
| የተፈተነ ምርት | ጠቅላላ ነጥቦች (ከፍተኛ 64) | ጠቅላላ % |
||||||
| ነጥቦች | % | % ከድምሩ | ነጥቦች | % | % ከድምሩ | |||
| ኮሞዶ | 53 | 95% | 82,8% | 6 | 75% | 9,4% | 59 | 92% |
| የመስመር ላይ ትጥቅ | 50 | 89% | 78,1% | 7,5 | 94% | 11,7% | 57,5 | 90% |
| ኖርተን | 45 | 80% | 70,3% | 6 | 75% | 9,4% | 51 | 80% |
| ጄቲኮ | 46 | 82% | 71,9% | 4,5 | 56% | 7,0% | 50,5 | 79% |
| የውጪ ፖስት | 45 | 80% | 70,3% | 2,5 | 31% | 3,9% | 47,5 | 74% |
| Trend ማይክሮ | 42 | 75% | 65,6% | 3 | 38% | 4,7% | 45 | 70% |
| ካስፐርስኪ | 42 | 75% | 65,6% | 2,5 | 31% | 3,9% | 44,5 | 70% |
| ዶር.ዌብ | 42,5 | 76% | 66,4% | 2 | 25% | 3,1% | 44,5 | 70% |
| ትረስትፖርት | 43 | 77% | 67,2% | 0,5 | 6% | 0,8% | 43,5 | 68% |
| ጂ ዳታ | 42 | 75% | 65,6% | 1 | 13% | 1,6% | 43 | 67% |
| አቫስት | 41 | 73% | 64,1% | 1 | 13% | 1,6% | 42 | 66% |
| አቀማመጥ | 41 | 73% | 64,1% | 1 | 13% | 1,6% | 42 | 66% |
| Bitdefender | 41 | 73% | 64,1% | 1 | 13% | 1,6% | 42 | 66% |
| AVG | 41 | 73% | 64,1% | 0 | 0% | 0,0% | 41 | 64% |
| McAfee | 41 | 73% | 64,1% | 0 | 0% | 0,0% | 41 | 64% |
| ፒሲ መሳሪያዎች | 41 | 73% | 64,1% | 0 | 0% | 0,0% | 41 | 64% |
| አቪራ | 40 | 71% | 62,5% | 0 | 0% | 0,0% | 40 | 63% |
| ማይክሮሶፍት | 40 | 71% | 62,5% | 0 | 0% | 0,0% | 40 | 63% |
| F-Secure | 31,5 | 56% | 49,2% | 1 | 13% | 1,6% | 32,5 | 51% |
| ፓንዳ | 30 | 54% | 46,9% | 0 | 0% | 0,0% | 30 | 47% |
| ኪንግሶፍት | 27 | 48% | 42,2% | 1 | 13% | 1,6% | 28 | 44% |
ምስል 1፡ የፋየርዎል ሙከራ ውጤቶች በመደበኛ ቅንጅቶች ላይ
በአምራቹ በተጠቆሙት ቅንብሮች ውስጥ ከውስጣዊ ጥቃቶች መከላከል ብዙ የሚፈለጉትን ይተዋል. በመደበኛ ቅንጅቶች - ኮሞዶ ፣ ኦንላይን አርሞር እና ኖርተን 80% ደረጃን ማሸነፍ የቻሉት ሶስት ፋየርዎሎች ብቻ ናቸው። ምርቶቹ ጄቲኮ (79%) እና Outpost (74%) ለእነሱ በጣም ቅርብ ናቸው። የሌሎች ፋየርዎል ውጤቶች በጣም የከፋ ነበር.
ከመጨረሻው የፈተና ውጤት ጋር ሲወዳደር ሁሉም መሪዎች ከፍተኛ ውጤታቸውን አረጋግጠዋል፤ በመሪው ቡድን ውስጥ ትናንሽ እንቅስቃሴዎች ብቻ ነበሩ ለምሳሌ የውትፖስት እና ጄቲኮ ቦታ ተለዋወጡ። ብቸኛው አስገራሚው የኖርተን ምርት ነው ፣ በቀድሞው ሙከራ 45% ውጤት ያሳየው እና በጠረጴዛው ግርጌ ላይ ነበር ፣ እና በዚህ ሙከራ 80% በሦስተኛ ደረጃ ወስዷል።
የተገኘው ውጤት ብዙ አምራቾች ተጠቃሚው ምላሽ መስጠት ያለበትን የመልእክት ብዛት ለመቀነስ በሚያስችል መልኩ መደበኛውን መቼት በማዘጋጀቱ ነው። ይህ በፈተና ውጤቶቹ የተረጋገጠ ነው - በመደበኛ ቅንጅቶች ፣ ፋየርዎሎች በ 5.4% ጥቃቶች ውስጥ ለተጠቃሚዎች ጥያቄዎችን ጠይቀዋል ፣ እና በከፍተኛ ቅንጅቶች - በ 9.2% ጥቃቶች። ነገር ግን, ይህ የጥበቃውን ጥራት ይነካል, ይህም ተንኮል አዘል ፕሮግራሙ በሲስተሙ ውስጥ ሙሉ በሙሉ ህጋዊ ድርጊቶችን በሚመስልበት / በሚፈጽምበት ሁኔታ ውስጥ ጸጥ ይላል.
እንዲሁም ለሁለት ቅጦች ትኩረት መስጠት አለብዎት. በመጀመሪያ፣ ውስብስብ የጥቃት ዓይነቶችን በአጠቃላይ የመከላከል መቶኛ ከመሠረታዊ ውስብስብነት ጥቃቶች የከፋ ነው። ከእነዚህ ጥቃቶች ውስጥ ከግማሽ በላይ የሚሆኑት በአራት ምርቶች ብቻ ውድቅ ተደርገዋል - ኮሞዶ ፣ ኦንላይን አርሞር ፣ ኖርተን እና ጄቲኮ። ከ 25% እስከ 38% የሚደርሱ ጥቃቶችን ውድቅ በማድረግ አራት ተጨማሪ ምርቶች በድንበር ቡድን ውስጥ ተካተዋል: Outpost, Trend Micro, Kaspersky እና Dr.Web. ሁሉም ሌሎች ምርቶች ከአንድ በላይ ውስብስብ ጥቃትን አልተቀበሉም። በሁለተኛ ደረጃ, መሰረታዊ ጥቃቶችን የመከላከል አፈፃፀም ተሻሽሏል. በቀድሞው ሙከራ 11 (50%) ምርቶች ከ 50% ያነሱ ጥቃቶችን ውድቅ ካደረጉ, በዚህ ሙከራ ውስጥ እንደዚህ ያሉ ምርቶች 3 (14%) ብቻ ነበሩ.
ሠንጠረዥ 2፡ የፋየርዎል ሙከራ ውጤቶች በከፍተኛ ቅንጅቶች
| የተፈተነ ምርት | መሰረታዊ የችግር ጥቃቶች (ከፍተኛ 56 ነጥብ) | ከፍተኛ የችግር ደረጃ ጥቃቶች (ከፍተኛ 8 ነጥብ) | ጠቅላላ ነጥቦች (ከፍተኛ 64) | ጠቅላላ % |
||||
| ነጥቦች | % | % ከድምሩ | ነጥቦች | % | % ከድምሩ | |||
| ኮሞዶ | 56 | 100% | 87,5% | 8 | 100% | 12,5% | 64 | 100% |
| Bitdefender | 56 | 100% | 87,5% | 8 | 100% | 12,5% | 64 | 100% |
| የመስመር ላይ ትጥቅ | 53 | 95% | 82,8% | 8 | 100% | 12,5% | 61 | 95% |
| ካስፐርስኪ | 53 | 95% | 82,8% | 7 | 88% | 10,9% | 60 | 94% |
| ኖርተን | 50,5 | 90% | 78,9% | 8 | 100% | 12,5% | 58,5 | 91% |
| ፒሲ መሳሪያዎች | 49,5 | 88% | 77,3% | 5,5 | 69% | 8,6% | 55 | 86% |
| የውጪ ፖስት | 49 | 88% | 76,6% | 5,5 | 69% | 8,6% | 54,5 | 85% |
| አቀማመጥ | 49 | 88% | 76,6% | 5,5 | 69% | 8,6% | 54,5 | 85% |
| ዶር.ዌብ | 46,5 | 83% | 72,7% | 5 | 63% | 7,8% | 51,5 | 80% |
| ጄቲኮ | 46 | 82% | 71,9% | 4,5 | 56% | 7,0% | 50,5 | 79% |
| Trend ማይክሮ | 43 | 77% | 67,2% | 3 | 38% | 4,7% | 46 | 72% |
| ትረስትፖርት | 43 | 77% | 67,2% | 2,5 | 31% | 3,9% | 45,5 | 71% |
| ጂ ዳታ | 42 | 75% | 65,6% | 3 | 38% | 4,7% | 45 | 70% |
| አቪራ | 41,5 | 74% | 64,8% | 2 | 25% | 3,1% | 43,5 | 68% |
| አቫስት | 41 | 73% | 64,1% | 1,5 | 19% | 2,3% | 42,5 | 66% |
| AVG | 41 | 73% | 64,1% | 0 | 0% | 0,0% | 41 | 64% |
| McAfee | 41 | 73% | 64,1% | 0 | 0% | 0,0% | 41 | 64% |
| ማይክሮሶፍት | 40 | 71% | 62,5% | 0 | 0% | 0,0% | 40 | 63% |
| F-Secure | 31,5 | 56% | 49,2% | 1 | 13% | 1,6% | 32,5 | 51% |
| ፓንዳ | 30 | 54% | 46,9% | 0 | 0% | 0,0% | 30 | 47% |
| ኪንግሶፍት | 27 | 48% | 42,2% | 1 | 13% | 1,6% | 28 | 44% |
ምስል 2፡ የፋየርዎል ሙከራ ውጤቶች በከፍተኛ ቅንጅቶች
ከፍተኛው ቅንጅቶች ሲነቁ በብዙ የተሞከሩ ፋየርዎል ውስጥ ከውስጥ ጥቃቶች የመከላከል ጥራት በከፍተኛ ሁኔታ ተሻሽሏል። ይህ በተለይ በጠንካራ መካከለኛ ገበሬዎች መካከል የሚታይ ነው. ያለፈው ፈተና ሁሉም መሪዎችም በዚህ ፈተና ከፍተኛ ውጤት አሳይተዋል። ከለውጦቹ መካከል, ከኮሞዶ ጋር, 100% ውጤቶችን ያሳየውን የ Bitdefender ምርት እና የኖርተን ምርት ወደ መሪ ቡድን የተሸጋገረውን ልብ ሊባል የሚገባው ነው.
በመደበኛ እና ከፍተኛ ቅንጅቶች ላይ የበርካታ ምርቶች ውጤቶች ተመሳሳይ ነበሩ. ይህ የሆነበት ምክንያት እነዚህ ምርቶች በፈተናዎቻችን ላይ ተጽዕኖ ሊያሳርፉ የሚችሉ መቼቶች ስለሌላቸው ነው.
የመከላከያ ጥራትን በመደበኛ እና ከፍተኛ ቅንጅቶች ማወዳደር
በዚህ ሙከራ አመክንዮ ምክንያት የአንድን ምርት ውጤት ከተለያዩ መቼቶች ጋር አናጠቃልልም ወይም አማካኝ አንሆንም። በተቃራኒው, እኛ እነሱን ማወዳደር እና ጥቅም ላይ ቅንብሮች ላይ በመመስረት የተፈተነ ምርቶች ጥበቃ ጥራት ላይ ጉልህ ልዩነቶች ማሳየት እንፈልጋለን.
ግልፅ ለማድረግ የፋየርዎል ሙከራ የመጨረሻ ውጤቶችን ከመደበኛ እና ከፍተኛ ቅንጅቶች ጋር በሰንጠረዥ 3 እና በስእል 3 እናቀርባለን።
ሠንጠረዥ 3፡ የፋየርዎል ሙከራ ማጠቃለያ ውጤቶች በመደበኛ እና ከፍተኛ ቅንጅቶች
|
ምርት |
መደበኛ ቅንብሮች | ከፍተኛ ቅንብሮች |
| ኮሞዶ | 92% | 100% |
| የመስመር ላይ ትጥቅ | 90% | 95% |
| ኖርተን | 80% | 91% |
| ጄቲኮ | 79% | 79% |
| የውጪ ፖስት | 74% | 85% |
| Trend ማይክሮ | 70% | 72% |
| ካስፐርስኪ | 70% | 94% |
| ዶር.ዌብ | 70% | 80% |
| ትረስትፖርት | 68% | 71% |
| ጂ ዳታ | 67% | 70% |
| አቫስት | 66% | 66% |
| አቀማመጥ | 66% | 85% |
| Bitdefender | 66% | 100% |
| AVG | 64% | 64% |
| McAfee | 64% | 64% |
| ፒሲ መሳሪያዎች | 64% | 86% |
| አቪራ | 63% | 68% |
| ማይክሮሶፍት | 63% | 63% |
| F-Secure | 51% | 51% |
| ፓንዳ | 47% | 47% |
| ኪንግሶፍት | 44% | 44% |
ምስል 3፡ የፋየርዎል ሙከራ ማጠቃለያ ውጤቶች በመደበኛ እና ከፍተኛ ቅንጅቶች
ምስል 3 በተመረጡት መቼቶች ላይ በመመስረት የፈተና ውጤቶችን ልዩነት በግልፅ ያሳያል.
በመጀመሪያ ፣ ሁለት ምርቶች ብቻ - ኮሞዶ እና የመስመር ላይ ትጥቅ ትርኢት ቅርብ ከፍተኛ አፈጻጸምጥበቃ, በመደበኛ እና በከፍተኛ ቅንጅቶች ላይ.
በሁለተኛ ደረጃ, በአምራቹ የቀረበውን መደበኛ መቼቶች ሲቀይሩ, አንዳንድ ምርቶች በከፍተኛ ደረጃ የተሻለ የመከላከያ ደረጃ ያሳያሉ. ይህ እንደ Bitdefender፣ Kaspersky፣ Eset፣ F-Secure እና PC Tools ባሉ ምርቶች ላይ በግልፅ ይታያል።
በሶስተኛ ደረጃ ከላይ እንደተገለፀው አንዳንድ የተሞከሩት ምርቶች በምንም መልኩ የፈተናውን ውጤት ሊነኩ የሚችሉ ቅንጅቶች የላቸውም። ስለዚህ, በዚህ ሙከራ ውስጥ ለሁሉም አይነት ቅንብሮች ውጤታቸው ተመሳሳይ ነው. ይህ ቡድን ጄቲኮ፣ አቫስት፣ AVG፣ McAffe፣ F-Secure፣ Panda፣ Kingsoft እና Microsoft ያካትታል።
የመጨረሻው ነጥብ ጥቃቱ የተመለሰባቸውን ሁኔታዎች ግምት ውስጥ አያስገባም, ነገር ግን በምርቶቹ የተጠቃሚ በይነገጽ ላይ ችግሮች ነበሩ. በአብዛኛዎቹ ሁኔታዎች ችግሮቹ የበይነገጽ ብልሽት ለአጭር ጊዜ (ከ 2 እስከ 10 ሰከንድ) ወይም እስከሚቀጥለው የስርዓተ ክወና ቡት ድረስ ነበር። ምንም እንኳን ምርቶች ለተጠቃሚ በይነገጽ ጉዳዮች ጥበቃን መስጠቱን ቢቀጥሉም ፣ እንደዚህ ያሉ ጉዳዮች መኖራቸው በግላዊ ሁኔታ እንደ አሉታዊ ተደርገው የሚታዩ እና የምርት ምርጫ ምርጫዎች ላይ ተጽዕኖ ሊያሳድሩ ይችላሉ። የተጠቃሚ በይነገጽ የችግሮች ብዛት በሰንጠረዥ 3 እና በስእል 3 ቀርቧል።ከደረጃ 1 ጥቃቶች የተስተዋሉ ስህተቶች የተገመገሙ ሲሆን አጠቃላይ ቁጥራቸው 41 ነበር።
ሠንጠረዥ 4: በመደበኛ እና ከፍተኛ ቅንብሮች ላይ የተጠቃሚ በይነገጽ ችግሮች ብዛት
| የተፈተነ ምርት | መደበኛ ቅንብሮች | ከፍተኛ ቅንብሮች | ||
| የስህተት ብዛት | % | የስህተት ብዛት | % | |
| McAfee | 34 | 83% | 34 | 83% |
| ማይክሮሶፍት | 33 | 80% | 33 | 80% |
| ኪንግሶፍት | 20 | 49% | 20 | 49% |
| F-Secure | 19 | 46% | 19 | 46% |
| ፓንዳ | 17 | 41% | 17 | 41% |
| ጄቲኮ | 16 | 39% | 16 | 39% |
| ፒሲ መሳሪያዎች | 13 | 32% | 13 | 32% |
| Trend ማይክሮ | 12 | 29% | 12 | 29% |
| AVG | 10 | 24% | 9 | 22% |
| ትረስትፖርት | 9 | 22% | 9 | 22% |
| ጂ ዳታ | 9 | 22% | 9 | 22% |
| Bitdefender | 8 | 20% | 8 | 20% |
| ኖርተን | 6 | 15% | 6 | 15% |
| አቫስት | 5 | 12% | 5 | 12% |
| የውጪ ፖስት | 5 | 12% | 5 | 12% |
| አቀማመጥ | 5 | 12% | 4 | 10% |
| ኮሞዶ | 5 | 12% | 0 | 0% |
| አቪራ | 2 | 5% | 2 | 5% |
| ዶር.ዌብ | 2 | 5% | 2 | 5% |
| ካስፐርስኪ | 1 | 2% | 1 | 2% |
| የመስመር ላይ ትጥቅ | 1 | 2% | 1 | 2% |
ምስል 4: በመደበኛ እና ከፍተኛ ቅንጅቶች ላይ የ UI ችግሮች ብዛት
ውጤቶቹ እንደሚያሳዩት McAfee እና Microsoft ምርቶች በአብዛኛዎቹ ጥቃቶች (ከ80 በመቶ በላይ) የተጠቃሚ በይነገጽ ችግሮች አጋጥሟቸዋል። ይህ ተቀባይነት የሌለው ደረጃ ሊባል ይችላል, ምክንያቱም ... በተሳካ ሁኔታ የተመለሰ ማንኛውም ጥቃት ማለት ይቻላል ወደ ችግሮች ያመራል። ከ30% እስከ 50% የሚደርሱ በጣም ደካማ ውጤቶች በኪንግሶፍት፣ F-Secure፣ Panda፣ Jetico እና PC Tools ምርቶች ይታያሉ። እነሱን ሲጠቀሙ, እያንዳንዱ 2-3 ጥቃቶች በይነገጹ ላይ ወደ ችግሮች ይመራሉ. ሌሎች በርካታ ምርቶች ከ 10% ወደ 30% ውጤት ያሳያሉ, ይህም አጥጋቢ ተብሎ ሊጠራ ይችላል. Avira, Dr.Web, Kaspersky እና Online Armor ምርቶች ጥሩ ውጤቶችን አሳይተዋል, ከ 2% እስከ 5% ጥቃቶች ውስጥ በሚከሰቱ ችግሮች. በተጠቃሚ በይነገጽ ላይ ምንም አይነት ችግር ያላጋጠመው ብቸኛው ምርት ኮሞዶ በከፍተኛ ቅንጅቶች ላይ ነው, ይህም እንደ ጥሩ ውጤት ሊቆጠር ይችላል. ነገር ግን፣ ከመደበኛ መቼቶች ጋር፣ የኮሞዶው ውጤት እያሽቆለቆለ ነው (12%)፣ ይህ የሚያሳየው ይህንን ምርት ለመጠቀም እንዴት እንደሚያዋቅሩት የተወሰነ እውቀት እንደሚፈልግ ይጠቁማል።
የመጨረሻ ፈተና ውጤቶች እና ሽልማቶች
ልክ እንደ ቀደመው ሙከራ ፣የተመሳሳዩን ምርት ውጤቶች ከተለያዩ መቼቶች ጋር አማካኝ አላደረግንም ፣ ግን እርስ በእርሳቸው በተናጥል እንቆጥራቸዋለን። ስለዚህ, እያንዳንዱ የተሞከሩት ምርቶች ለእያንዳንዱ አይነት ቅንብር ሁለት ሽልማቶችን ሊያገኙ ይችላሉ.
በሽልማት መርሃ ግብሩ መሰረት ምርጡ ፋየርዎሎች ጥቅም ላይ የዋሉትን መቼቶች የሚያመለክቱ ሽልማቶችን ይቀበላሉ, ሠንጠረዥ 4ን ይመልከቱ.
ሠንጠረዥ 5፡ የፋየርዎል ሙከራ የመጨረሻ ውጤቶች በመደበኛ እና ከፍተኛ ቅንጅቶች
| ምርቱ እየተሞከረ ነው። | አማራጭ ቅንብሮች |
የጥቃት መከላከል [%] | ጠቅላላ [%] |
ሽልማት | |
| መሰረት የችግር ደረጃ |
የችግር ደረጃ ጨምሯል። | ||||
| ኮሞዶ | ከፍተኛ | 100% | 100% | 100% | የፕላቲኒየም ፋየርዎል ወደ ውጪ ጥበቃ ሽልማት |
| Bitdefender | ከፍተኛ | 100% | 100% | 100% | |
| የመስመር ላይ ትጥቅ | ከፍተኛ | 95% | 100% | 95% | የወርቅ ፋየርዎል ወደ ውጭ መውጣት ጥበቃ ሽልማት |
| ካስፐርስኪ | ከፍተኛ | 95% | 88% | 94% | |
| ኮሞዶ | መደበኛ | 95% | 75% | 92% | |
| ኖርተን | ከፍተኛ | 90% | 100% | 91% | |
| የመስመር ላይ ትጥቅ | መደበኛ | 89% | 94% | 90% | |
| ፒሲ መሳሪያዎች | ከፍተኛ | 88% | 69% | 86% | |
| የውጪ ፖስት | ከፍተኛ | 88% | 69% | 85% | |
| አቀማመጥ | ከፍተኛ | 88% | 69% | 85% | |
| ኖርተን | መደበኛ | 80% | 75% | 80% | |
| ዶር.ዌብ | ከፍተኛ | 83% | 63% | 80% | |
| ጄቲኮ | ከፍተኛ | 82% | 56% | 79% | የብር ፋየርዎል ወደ ውጪ ጥበቃ ሽልማት |
| ጄቲኮ | መደበኛ | 82% | 56% | 79% | |
| የውጪ ፖስት | መደበኛ | 80% | 31% | 74% | |
| Trend ማይክሮ | ከፍተኛ | 77% | 38% | 72% | |
| ትረስትፖርት | ከፍተኛ | 77% | 31% | 71% | |
| Trend ማይክሮ | መደበኛ | 75% | 38% | 70% | |
| ካስፐርስኪ | መደበኛ | 75% | 31% | 70% | |
| ዶር.ዌብ | መደበኛ | 76% | 25% | 70% | |
| ጂ ዳታ | ከፍተኛ | 75% | 38% | 70% | |
| ትረስትፖርት | መደበኛ | 77% | 6% | 68% | የነሐስ ፋየርዎል ወደ ውጭ መውጣት ጥበቃ ሽልማት |
| አቪራ | ከፍተኛ | 74% | 25% | 68% | |
| ጂ ዳታ | መደበኛ | 75% | 13% | 67% | |
| አቫስት | ከፍተኛ | 73% | 19% | 66% | |
| አቫስት | መደበኛ | 73% | 13% | 66% | |
| አቀማመጥ | መደበኛ | 73% | 13% | 66% | |
| Bitdefender | መደበኛ | 73% | 13% | 66% | |
| AVG | ከፍተኛ | 73% | 0% | 64% | |
| AVG | መደበኛ | 73% | 0% | 64% | |
| McAfee | ከፍተኛ | 73% | 0% | 64% | |
| McAfee | መደበኛ | 73% | 0% | 64% | |
| ፒሲ መሳሪያዎች | መደበኛ | 73% | 0% | 64% | |
| ማይክሮሶፍት | ከፍተኛ | 71% | 0% | 63% | |
| ማይክሮሶፍት | መደበኛ | 71% | 0% | 63% | |
| አቪራ | መደበኛ | 71% | 0% | 63% | |
| F-Secure | ከፍተኛ | 56% | 13% | 51% | ምንም ሽልማት የለም። |
| F-Secure | መደበኛ | 56% | 13% | 51% | |
| ፓንዳ | ከፍተኛ | 54% | 0% | 47% | |
| ፓንዳ | መደበኛ | 54% | 0% | 47% | |
| ኪንግሶፍት | ከፍተኛ | 48% | 13% | 44% | |
| ኪንግሶፍት | መደበኛ | 48% | 13% | 44% | |
የፈተናው ምርጥ ውጤቶች በኮሞዶ እና ቢትደፌንደር ፋየርዎል ታይተዋል፣ ይህም በከፍተኛ ቅንጅቶች 100% አስመዝግቧል። እነዚህ ሁለት ምርቶች ሽልማት ያሸንፋሉ ፕላቲኒየምፋየርዎልወደ ውጭ የሚወጣጥበቃሽልማት.
በፈተናው በጣም ከፍተኛ ውጤት (ከ80% በላይ) በኦንላይን አርሞር፣ ካስፐርስኪ፣ ኮሞዶ፣ ኖርተን፣ PC Tools፣ Outpost፣ Eset እና Dr.Web ፋየርዎል ሽልማቶችን ተቀብለዋል ወርቅፋየርዎልወደ ውጭ የሚወጣጥበቃሽልማት. ኮሞዶ ይህንን ሽልማት በመደበኛ ቅንጅቶች ፣በኦንላይን አርሞር እና ኖርተን በመደበኛ እና ከፍተኛ ቅንጅቶች እና ሌሎች ሁሉ በከፍተኛ ቅንጅቶች ላይ ብቻ መቀበሉን ልብ ሊባል ይገባል።
ከዝርዝሩ ቀጥሎ ያለው የሰባት ፋየርዎል ቡድን ውጤታቸው ከ 60% እስከ 70% ባለው ክልል ውስጥ ይወድቃል። እነዚህ Outpost, Kaspersky እና Dr.Web ከመደበኛ መቼቶች ጋር; TrustPort እና G DATA በከፍተኛ ቅንጅቶች፣ እንዲሁም Jetico እና Trend Micro በሁለቱም መደበኛ እና ከፍተኛ ቅንብሮች። ሁሉም ሽልማት ያገኛሉ
ከ 60% እስከ 70% ባለው ክልል ውስጥ የሚወድቁ በበቂ ሁኔታ ትልቅ ቡድን ሽልማት ይቀበላል። Eset እና Bitdefender ምርቶች በመደበኛ ቅንጅቶች ጥቅም ላይ እንደዋሉ ልብ ሊባል የሚገባው ሲሆን ይህም በከፍተኛ ቅንጅቶች ላይ ጉልህ በሆነ መልኩ ማንጸባረቅ ችሏል. ከፍተኛ መጠንጥቃቶች.
የፈተና ውጤቶቹን በማይክሮሶፍት ኤክሴል ቅርጸት በማውረድ ዝርዝር የፈተና ውጤቶችን ማየት እና የመጨረሻዎቹ ስሌቶች ትክክል መሆናቸውን ማረጋገጥ ይችላሉ።
ሻባኖቭ ኢሊያ ፣ የጣቢያው አስተዳዳሪ አጋር:
"ብዙ አምራቾች በምርቶቻቸው ውስጥ ከውስጥ ጥቃቶች እና ራስን ከመከላከል የመከላከል ጥበቃን በእጅጉ በማሻሻላቸው በጣም ተደስቻለሁ። መስፈርቶቹን ከፍ ለማድረግ የሽልማት ዘዴውን እንኳን ማሻሻል ነበረብን። ከ 51% በታች የሆነ ነጥብ አሁን እንደ ሙሉ ውድቀት ተቆጥሯል።
Bitdefender ሁሉንም 100% ጥቃቶች በፓራኖይድ ሁነታ፣ Eset እና Dr.Web በከፍተኛ ቅንጅቶች ከ85% እስከ 80%፣ በቅደም ተከተል፣ እንዲሁም አዲሱን የፈተናዎቻችን ትረስስትፖርትን መመለሱ በጣም አስገርሞኛል። በዚህ ሙከራ ውጤት መሠረት "ወርቃማው ቡድን" ምርቶች ከኮሞዶ, ኖርተን እና ኦንላይን አርሞር ፋየርዎል ያካትታል, ይህም በመደበኛ እና ከፍተኛ ቅንብሮች ላይ ከ 80% በላይ ያስመዘገበ ነው. ንቁ ጥበቃን በሚያካትቱ ሙከራዎች ውስጥ ያለማቋረጥ ከፍተኛ ውጤት በ Kaspersky፣ Outpost እና PC Tools ታይቷል።
ነገር ግን, በበርካታ የተሞከሩ ምርቶች ሁኔታ, መደበኛ ቅንጅቶች የተቀመጡበት አመክንዮ ግልጽ አይደለም. በዚህ ምክንያት ጥበቃን መጠቀም የለመዱ የአብዛኞቹ ተጠቃሚዎች የጥበቃ ደረጃ መደበኛ ቅንብሮች, ጉልህ በሆነ መልኩ የተገመተ ሆኖ ይወጣል. ይህ በዋነኝነት የሚመለከተው ከ Bitdefender፣ Kaspersky፣ Eset እና PC Tools የመጡ ምርቶችን ነው።
የፈተና ላብራቶሪ ድረ-ገጽ ኃላፊ ሚካሂል ካርታቬንኮ፡-
"ይህን ፈተና ያለፈው ተመሳሳይ ፈተና እንደቀጠለ በመቁጠር በፋየርዎል አሠራር ላይ በርካታ ዋና ዋና አዝማሚያዎችን እና ችግሮችን መለየት እንችላለን።
በመጀመሪያ ፣ በአማካይ ፣ አብዛኛዎቹ ምርቶች ከ 1.5 ዓመታት በፊት የተሻለ ውጤት አሳይተዋል ፣ ግን ይህንን ያደረጉት በዋነኝነት በጣም ቀላል የሆነውን ደረጃ 1 ጥቃቶችን በመቃወም ነው። ይበልጥ ውስብስብ የሆኑ ጥቃቶች በተወሰኑ ምርቶች ላይ ብቻ ከባድ ናቸው.
በሁለተኛ ደረጃ, የሂደቶች ጥበቃ ከማቋረጡ (1 ኛ የጥቃት ደረጃ) ቢሰራም, የበርካታ ምርቶች የተጠቃሚ በይነገጽ ወድቋል. ይህ ተጠቃሚው ጥበቃው እየሰራ መሆኑን ወይም አለመሆኑን በማይረዳበት አስከፊ ቦታ ላይ ያደርገዋል።
በሶስተኛ ደረጃ, በመደበኛ እና በከፍተኛ ቅንጅቶች ላይ በፋየርዎል አፈፃፀም ላይ ትልቅ ክፍተት አለ. በውጤቱም, ተቀባይነት ያለው የጥበቃ ደረጃ ብዙውን ጊዜ ፋየርዎሎችን በትክክል በሚያውቋቸው ልምድ ባላቸው ተጠቃሚዎች ብቻ ሊገኝ ይችላል.
ስለዚህም በፈተናው የዘመናዊ ፋየርዎል ፋየርዎል ህመም የሚያስከትሉ ነጥቦችን ለይቷል፣ መፍትሄውም ጥበቃውን ያሻሽላል።
የዊንዶውስ ፋየርዎል ቅንጅቶች አሏቸው ወሳኝበኢንተርኔት እና በአካባቢያዊ አውታረ መረቦች ላይ በሚሰሩበት ጊዜ የኮምፒተርን እና በእሱ ላይ የተከማቸውን መረጃ ደህንነት ለማረጋገጥ. የፋየርዎል ውቅረት ክዋኔው የሚከናወነው መደበኛ የዊንዶውስ ዘዴዎችን በመጠቀም እና ልዩ የኮምፒዩተር እውቀት አያስፈልገውም.