Сетевой фильтр — Википедия. Что такое Сетевой фильтр

Материал из Википедии — свободной энциклопедии

Сетевой фильтр — варисторный фильтр для подавления импульсных помех и LC-фильтр (индуктивно-емкостной) для подавления высокочастотных помех. Так же часто называют содержащий такой компонент электрический удлинитель.

Варистор

Варистор — полупроводниковый резистор. Варистор — элемент нелинейный, его сопротивление зависит от приложенного к его выводам напряжения: чем выше напряжение, тем ниже сопротивление. Варистор включается параллельно защищаемому оборудованию, то есть к нему приложено то же напряжение, что и к защищаемому устройству. При нормальном напряжении в сети питания и отсутствии импульсных помех ток, проходящий через варистор, очень мал, и им можно пренебречь, и в такой ситуации варистор можно считать изолятором. Если в сети питания возникает импульс высокого напряжения (напряжение импульса может быть выше 6000 В в течение короткого промежутка времени (длительность импульса 10

−6 — 10⁻⁹ с), то сопротивление варистора резко падает, и он преобразует электрическую энергию импульса в тепловую, чем защищает включенные в сетевой фильтр приборы, в этот момент через варистор может протекать ток силой в несколько тысяч ампер.

LC-фильтр

Мощный LC-фильтр (250V 50A 50/60Hz)

LC-фильтр предназначен для подавления высокочастотных помех (частотой 100 Гц — 100 МГц), которые искажают синусоиду переменного напряжения в сети и отрицательно сказываются на работе электрооборудования. Эффективность работы LC-фильтра в различных диапазонах частот измеряется в дБ. Источниками ВЧ-помех являются различные электрические устройства: электродвигатели, генераторы, сварочные аппараты и т. п.

См. также

Ссылки

Сетевой фильтр — Википедия

Материал из Википедии — свободной энциклопедии

Сетевой фильтр — варисторный фильтр для подавления импульсных помех и LC-фильтр (индуктивно-емкостной) для подавления высокочастотных помех. Так же часто называют содержащий такой компонент электрический удлинитель.

Варистор

Варистор — полупроводниковый резистор. Варистор — элемент нелинейный, его сопротивление зависит от приложенного к его выводам напряжения: чем выше напряжение, тем ниже сопротивление. Варистор включается параллельно защищаемому оборудованию, то есть к нему приложено то же напряжение, что и к защищаемому устройству. При нормальном напряжении в сети питания и отсутствии импульсных помех ток, проходящий через варистор, очень мал, и им можно пренебречь, и в такой ситуации варистор можно считать изолятором. Если в сети питания возникает импульс высокого напряжения (напряжение импульса может быть выше 6000 В в течение короткого промежутка времени (длительность импульса 10

−6 — 10⁻⁹ с), то сопротивление варистора резко падает, и он преобразует электрическую энергию импульса в тепловую, чем защищает включенные в сетевой фильтр приборы, в этот момент через варистор может протекать ток силой в несколько тысяч ампер.

LC-фильтр

Мощный LC-фильтр (250V 50A 50/60Hz)

LC-фильтр предназначен для подавления высокочастотных помех (частотой 100 Гц — 100 МГц), которые искажают синусоиду переменного напряжения в сети и отрицательно сказываются на работе электрооборудования. Эффективность работы LC-фильтра в различных диапазонах частот измеряется в дБ. Источниками ВЧ-помех являются различные электрические устройства: электродвигатели, генераторы, сварочные аппараты и т. п.

См. также

Ссылки

Как выбрать сетевой фильтр | Сетевые фильтры | Блог

С развитием технологий растет и количество полезных приборов, без которых уже трудно представить свою жизнь. Сегодня все бытовые приборы и гаджеты необходимо подключать к электросети для постоянной работы или подзарядки, поэтому потребность в большом количестве розеток постоянно растет. Сетевые фильтры оснащают защитой от короткого замыкания, отдельными или общими выключателями. Кроме этого, продвинутые и дорогие модели фильтруют высокочастотные помехи, которые образуются из-за большого количества подключенных к электрической сети приборов и плохой, старой проводки.

Как это работает?

Сетевой фильтр, в зависимости от стоимости, выполняет следующие функции:

1. Защита от короткого замыкания;

2. Фильтрация высокочастотных помех;

3. Защита от кратковременных импульсов напряжения.

Короткое замыкание – состояние электрической цепи, когда фаза и ноль соединены напрямую без нагрузки. Т.е. если где-то обрыв провода, если что-то в каком-то приборе замкнуло, то сетевой фильтр должен вырубиться и защитить оставшуюся аппаратуру.

Помехи – следствие работы приборов, подключенных к сети. Почти вся электроника сейчас на импульсных источниках питания – телевизоры, компьютеры и т.д. Импульсные блоки питания неизбежно дают помехи в сеть. Кроме них помехи дают и приборы с индуктивной нагрузкой, например холодильник.

Высокочастотные помехи не вредят электронике, но сказываются на её работе. Например, в аудиотехнике могут появиться посторонние звуки, на экране аналогового телевизора или монитора рябь и искажения.

Импульсы напряжения возникают из-за подключения к сети любой реактивной нагрузки, опять же холодильник, сварочные аппараты и прочее. Чтобы случайно ничего не сгорело, в сетевые фильтры ставят варристоры, которые поглощают эти имульсы. Но от длительного воздействия высокого напряжения они редко защищают.

Типы сетевых фильтров

Удлинитель – самый простой прибор, состоящий из провода и розеток. У него нет фильтров и автоматов для предотвращения короткого замыкания.

Сетевой фильтр – тоже, что и удлинитель, но еще с высокочастотным фильтром, т.е. устраняет высокочастотные помехи. В дополнении к этому с выключателем и зачастую с терморазмыкателем.

Тройник , разветвитель – обычный разветвитель на несколько розеток без провода.

Ваттметр – измерительный прибор, определяет мощность потребления электричества.

Энергомер – по принципу работы похож на ваттметр, в дополнении регистрирует потребляемую мощность по аналогии со счетчиком .

Количество и тип розеток

В современных сетевых фильтрах бывает до восьми розеток. Следовательно, в одну настенную розетку вы можете через фильтр подключить до восьми сетевых приборов – это несомненный плюс. Но стоит учитывать: подключение к фильтру большого количества приборов может привести к его автоматическому отключению из-за перегрузки.

Существует множество различных видов разъемов, в сетевых фильтрах выделяют два типа розеток:

— Тип С и тип F. Европейский вид розетки, два круглых штырька. Отличие типа F в том, что у него присутствуют контактные пластины для заземления, чего нет у типа С. Заземление розетки позволяет избежать неприятных, а порой и опасных ситуаций. Многие сталкивались с проблемой, когда при прикосновении к стиральной машине или электроплите ударяет током, это возникает по причине отсутствия заземления. В большинстве квартир заземление сделано только у плиты.

Производители выпускают фильтры с вилкой IEC C14 (компьютерная). Данный тип разъема используется для прямого соединения к источнику бесперебойного питания. Сетевой фильтр подключенный напрямую через ИБП способствует более надежной защите оборудования от скачков напряжения и отключения электричества.

Основные параметры сетевых фильтров

Выбирая сетевой фильтр следует обратить внимание на максимальную мощность подключенной нагрузки и максимальный ток нагрузки. Эти параметры позволяют рассчитать целесообразность приобретения различных моделей. При расчете максимальной мощности ток необходимо умножить на напряжение (к примеру: 5 А умножаем на 220 В и получаем 1100 Вт). Затем складываем мощность приборов, которые планируется подключать через сетевой фильтр. Если суммарная мощность техники выше максимально допустимой мощности фильтра, то следует подобрать модель, выдерживающую более высокую нагрузку.

К примеру: при подключении к сетевому фильтру ПК и периферии, он будет работать без нареканий, так как мощность потребления у этих приборов невысокая. Но если планируется использовать сетевой фильтр на кухне, подключать одновременно электрочайник, плиту, водонагреватель, то при одновременной работе всех приборов фильтр отключится.

Уровни защиты

По степени защиты сетевые фильтры можно условно разделить на:

1. Базовый уровень защиты (Essential).

Такие фильтры имеют самую простую (базовую) защиту. При импульсах напряжения принимают удар на себя, характеризуются не высокой стоимостью и простотой в конструкции. Применять их лучше с недорогой и маломощной техникой. Служат альтернативой обычным удлинителям.

2. Продвинутый уровень защиты (Home/Office). Подходят для большинства приборов в доме и офисе, представлены на рынке широким ассортиментным рядом и лояльной стоимостью по отношению к качеству.

3. Профессиональный уровень защиты (Performance). Гасит практически все помехи, рекомендуется к приобретению для дорогой чувствительной к помехам технике. Сетевые фильтры с профессиональным уровнем защиты дороже по стоимости в отличии от предыдущих, но их надежность полностью окупает издержки.

Защита от кратковременных скачков/импульсов напряжения – практически все фильтры оснащены данной функцией, принцип ее действия заключается в поглощении кратковременных высковольтных импульсов. От длительного повышенного напряжения она не защищает. Если в вашем доме большую часть времени повышенное или пониженное напряжение, то лучше отдать предпочтение стабилизатору, так как сетевой фильтр будет бесполезен.

Отключение при перегреве — за отключение отвечает датчик перегрева, при возрастании температуры выше предельно допустимой сетевой фильтр обесточивается. При использовании фильтра вблизи отопительных приборов или на максимальной мощности потребления датчик перегрева поможет избежать его поломки или возникновения опасных ситуаций.

Подавление помех — на территории России частота подачи электроэнергии составляет 50 Гц, но так же в сети присутствуют дополнительные высокочастотные гармоники. Фильтр устраняет высокочастотную «грязь», снижает ее до минимума, тем самым оставляя чистый 50 Гц синус без лишних гармоник.

Выключатель

Сетевые фильтры оборудованы выключателем для того чтобы постоянно не выдергивать вилку из розетки, выключатель бережет время и безопасен в использовании.

Выключатели встречаются нескольких видов:

Индивидуальные – установлены для каждой розетки сетевого фильтра, нет необходимости выдергивать из фильтра конкретный прибор, можно просто нажать кнопку.

Общие – устанавливаются на верхней или боковой стороне фильтра, обесточивают все приборы, подключенные к сетевому фильтру.

Пульты ДУ – модели сетевых фильтров с пультом ДУ встречаются редко, цена на них высока, но за удобство приходится платить. Удобны в использовании, подходят для людей с ограниченными возможностями.

Длина кабеля

Длинный кабель обеспечивает мобильность, увеличивает площадь, на которой можно использовать подключаемый прибор. Длинные кабели удобны в помещениях с большой площадью для строительных инструментов, пылесосов и прочей переносной техники. Но в небольших помещениях нет необходимости брать удлинитель «с запасом», достаточно ограничиться моделями со средней длиной кабеля, иначе он будет мешать и путаться. Наиболее распространенными длинами сетевых фильтров считается: 1,5; 1,8; 3; 4; 5; 10.

Дополнительные особенности

Индикатор – информирует о включении сетевого фильтра, часто совмещен с кнопкой выключателя. В зависимости от модели может быть общим или индивидуальным для каждой розетки сетевого фильтра.

Крепление на стену – некоторые фильтры оснащены петлями с обратной стороны. Такое дополнение призвано снизить риск повреждения проводов, упростить уборку. Сетевой фильтр удобно крепить к стене или же к внутренней стороне компьютерного стола, провода не будут мешать под ногами.

Крепление для проводов – необходимо если к фильтру подключено большое количество приборов, предотвращает спутывание и залом провода.

Порты USB – созданы для прямого подключения гаджетов к электросети без использования индивидуального зарядного устройства. Стандарт USB получил свое широкое распространение во всем мире, можно заряжать аккумуляторы и при этом не занимать розетку.

Ценовой диапазон

Сетевой фильтр это тот прибор, который может себе позволить каждый, незаменимая вещь в любом доме. Помимо широкого ассортиментного ряда фильтры имеют и большой ценовой диапазон. Стоимость варьируется в зависимости от производителя, степени защиты, максимальной мощности и дополнительных функций. Если нет необходимости в высокой степени защиты, если в вашем доме скачки напряжения редкое явление, то нет смысла переплачивать. В случае постоянных помех электросети сетевой фильтр с высокой степенью защиты незаменим. Следует отметить, что дешевой моделью лучше не ограничиваться, как известно, «скупой платит дважды». Ниже приведена примерная стоимость в зависимости от типа изделия:

Ваттметр — от 890 р.

Разветвитель — от 270 р.

Удлинитель — от 270 до 1400 р.

Тройник — от 290 р.

Сетевой фильтр — от 300 до 3000 р.

Энергомер -от 1300 р.

Сетевой фильтр — Википедия

Материал из Википедии — свободной энциклопедии

Сетевой фильтр — варисторный фильтр для подавления импульсных помех и LC-фильтр (индуктивно-емкостной) для подавления высокочастотных помех. Так же часто называют содержащий такой компонент электрический удлинитель.

Варистор

Варистор — полупроводниковый резистор. Варистор — элемент нелинейный, его сопротивление зависит от приложенного к его выводам напряжения: чем выше напряжение, тем ниже сопротивление. Варистор включается параллельно защищаемому оборудованию, то есть к нему приложено то же напряжение, что и к защищаемому устройству. При нормальном напряжении в сети питания и отсутствии импульсных помех ток, проходящий через варистор, очень мал, и им можно пренебречь, и в такой ситуации варистор можно считать изолятором. Если в сети питания возникает импульс высокого напряжения (напряжение импульса может быть выше 6000 В в течение короткого промежутка времени (длительность импульса 10⁻⁶ — 10⁻⁹ с), то сопротивление варистора резко падает, и он преобразует электрическую энергию импульса в тепловую, чем защищает включенные в сетевой фильтр приборы, в этот момент через варистор может протекать ток силой в несколько тысяч ампер.

LC-фильтр

Мощный LC-фильтр (250V 50A 50/60Hz)

LC-фильтр предназначен для подавления высокочастотных помех (частотой 100 Гц — 100 МГц), которые искажают синусоиду переменного напряжения в сети и отрицательно сказываются на работе электрооборудования. Эффективность работы LC-фильтра в различных диапазонах частот измеряется в дБ. Источниками ВЧ-помех являются различные электрические устройства: электродвигатели, генераторы, сварочные аппараты и т. п.

См. также

Ссылки

Сетевой фильтр — это… Что такое Сетевой фильтр?

Сетевой фильтр — варисторный фильтр для подавления импульсных помех и LC-фильтр (индуктивно-емкостной) для подавления высокочастотных помех. Так же часто называют содержащий такой компонент электрический удлинитель.

Варистор

Варистор — полупроводниковый резистор. Варистор — элемент нелинейный, его сопротивление зависит от приложенного к его выводам напряжения: чем выше напряжение, тем ниже сопротивление. Варистор включается параллельно защищаемому оборудованию, то есть к нему приложено то же напряжение, что и к защищаемому устройству. При нормальном напряжении в сети питания и отсутствии импульсных помех ток, проходящий через варистор, очень мал, и им можно пренебречь, и в такой ситуации варистор можно считать изолятором. Если в сети питания возникает импульс высокого напряжения (напряжение импульса может быть выше 6000 В в течение короткого промежутка времени (длительность импульса 10⁻⁶ — 10⁻⁹ с), то сопротивление варистора резко падает, и он преобразует электрическую энергию импульса в тепловую, чем защищает включенные в сетевой фильтр приборы, в этот момент через варистор может протекать ток силой в несколько тысяч ампер.

LC-фильтр

LC-фильтр предназначен для подавления высокочастотных помех (частотой 100 Гц — 100 МГц), которые искажают синусоиду переменного напряжения в сети и отрицательно сказываются на работе электрооборудования. Эффективность работы LC-фильтра в различных диапазонах частот измеряется в дБ. Источниками ВЧ-помех являются различные электрические устройства: электродвигатели, генераторы, сварочные аппараты и т. п.

См. также

Ссылки

Межсетевой экран — Википедия

Межсетевой экран на границе сетевого периметра.

Межсетево́й экра́н, сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами^[1].

Другие названия^[2]:

• Брандма́уэр (нем. Brandmauer — противопожарная стена) — заимствованный из немецкого языка термин;
• Файрво́л (англ. Firewall — противопожарная стена) — заимствованный из английского языка термин.

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами^[3].

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности^[4].

Первые устройства, выполняющие функцию фильтрации сетевого трафика, появились в конце 1980-х, когда Интернет был новшеством и не использовался в глобальных масштабах. Этими устройствами были маршрутизаторы, инспектирующие трафик на основании данных, содержащихся в заголовках протоколов сетевого уровня. Впоследствии, с развитием сетевых технологий, данные устройства получили возможность выполнять фильтрацию трафика, используя данные протоколов более высокого, транспортного уровня. Маршрутизаторы можно считать первой программно-аппаратной реализацией межсетевого экрана^[5].

Программные межсетевые экраны появились существенно позже и были гораздо моложе, чем антивирусные программы. Например, проект Netfilter/iptables (один из первых программных межсетевых экранов, встраиваемых в ядро Linux с версии 2.4) был основан в 1998 году. Такое позднее появление вполне объяснимо, так как долгое время антивирус решал проблему защиты персональных компьютеров от вредоносных программ. Однако в конце 1990-х вирусы стали активно использовать отсутствие межсетевых экранов на компьютерах, что привело к повышению интереса пользователей к данному классу устройств^[6].

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил, которые называются ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность^[7][8].

Существует два принципа обработки поступающего трафика. Первый принцип гласит: «Что явно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передаётся далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищённость, так как он запрещает весь трафик, который явно не разрешён правилами. Однако этот принцип оборачивается дополнительной нагрузкой на администратора^[7][8].

В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые межсетевые экраны имеют ещё одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается о недоступности сервиса, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным^[7][8].

Схематическое изображение классификации межсетевых экранов на основе сетевой модели OSI

До сих пор не существует единой и общепризнанной классификации межсетевых экранов^[9]. Однако в большинстве случаев поддерживаемый уровень сетевой модели OSI является основной характеристикой при их классификации. Учитывая данную модель, различают следующие типы межсетевых экранов^[10][11]:

1. Управляемые коммутаторы.
2. Пакетные фильтры.
3. Шлюзы сеансового уровня.
4. Посредники прикладного уровня.
5. Инспекторы состояния.

Управляемые коммутаторы[править | править код]

Управляемые коммутаторы иногда причисляют к классу межсетевых экранов, так как они осуществляют фильтрацию трафика между сетями или узлами сети. Однако они работают на канальном уровне и разделяют трафик в рамках локальной сети, а значит не могут быть использованы для обработки трафика из внешних сетей (например, из Интернета)^[11].

Многие производители сетевого оборудования, такие как Cisco, Nortel, 3Com, ZyXEL, предоставляют в своих коммутаторах возможность фильтрации трафика на основе MAC-адресов, содержащихся в заголовках фреймов. Например, в коммутаторах семейства Cisco Catalyst эта возможность реализована при помощи механизма Port Security.^[12]. Однако данный метод фильтрации не является эффективным, так как аппаратно установленный в сетевой карте MAC-адрес легко меняется программным путем, поскольку значение, указанное через драйвер, имеет более высокий приоритет, чем зашитое в плату^[13]. Поэтому многие современные коммутаторы позволяют использовать другие параметры в качестве признака фильтрации — например, VLAN ID. Технология виртуальных локальных сетей (англ. Virtual Local Area Network) позволяет создавать группы хостов, трафик которых полностью изолирован от других узлов сети^[14].

При реализации политики безопасности в рамках корпоративной сети, основу которых составляют управляемые коммутаторы, они могут быть мощным и достаточно дешёвым решением. Взаимодействуя только с протоколами канального уровня, такие межсетевые экраны фильтруют трафик с очень высокой скоростью. Основным недостатком такого решения является невозможность анализа протоколов более высоких уровней^[15].

Пакетные фильтры[править | править код]

Пакетные фильтры функционируют на сетевом уровне и контролируют прохождение трафика на основе информации, содержащейся в заголовке пакетов. Многие межсетевые экраны данного типа могут оперировать заголовками протоколов и более высокого, транспортного, уровня (например, TCP или UDP). Пакетные фильтры одними из первых появились на рынке межсетевых экранов и по сей день остаются самым распространённым их типом. Данная технология реализована в подавляющем большинстве маршрутизаторов и даже в некоторых коммутаторах^[16].

При анализе заголовка сетевого пакета могут использоваться следующие параметры^[10]:

• IP-адреса источника и получателя;
• тип транспортного протокола;
• поля служебных заголовков протоколов сетевого и транспортного уровней;
• порт источника и получателя.

Достаточно часто приходится фильтровать фрагментированные пакеты, что затрудняет определение некоторых атак. Многие сетевые атаки используют данную уязвимость межсетевых экранов, выдавая пакеты, содержащие запрещённые данные, за фрагменты другого, доверенного пакета. Одним из способов борьбы с данным типом атак является конфигурирование межсетевого экрана таким образом, чтобы блокировать фрагментированные пакеты^[17]. Некоторые межсетевые экраны могут дефрагментировать пакеты перед пересылкой во внутреннюю сеть, но это требует дополнительных ресурсов самого межсетевого экрана, особенно памяти. Дефрагментация должна использоваться очень обоснованно, иначе такой межсетевой экран легко может сам стать жертвой DoS-атаки^[18].

Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры^[18]:

Так как пакетные фильтры обычно проверяют данные только в заголовках сетевого и транспортного уровней, они могут выполнять это достаточно быстро. Поэтому пакетные фильтры, встроенные в пограничные маршрутизаторы, идеальны для размещения на границе с сетью с низкой степенью доверия. Однако в пакетных фильтрах отсутствует возможность анализа протоколов более высоких уровней сетевой модели OSI. Кроме того, пакетные фильтры обычно уязвимы для атак, которые используют подделку сетевого адреса. Такие атаки обычно выполняются для обхода управления доступом, осуществляемого межсетевым экраном^[19][20].

Шлюзы сеансового уровня[править | править код]

Межсетевой экран сеансового уровня исключает прямое взаимодействие внешних хостов с узлом, расположенным в локальной сети, выступая в качестве посредника (англ. proxy), который реагирует на все входящие пакеты и проверяет их допустимость на основании текущей фазы соединения. Шлюз сеансового уровня гарантирует, что ни один сетевой пакет не будет пропущен, если он не принадлежит ранее установленному соединению. Как только приходит запрос на установление соединения, в специальную таблицу помещается соответствующая информация (адреса отправителя и получателя, используемые протоколы сетевого и транспортного уровня, состояние соединения и т. д.). В случае, если соединение установлено, пакеты, передаваемые в рамках данной сессии, будут просто копироваться в локальную сеть без дополнительной фильтрации. Когда сеанс связи завершается, сведения о нём удаляются из данной таблицы. Поэтому все последующие пакеты, «притворяющиеся» пакетами уже завершённого соединения, отбрасываются^[21].

Так как межсетевой экран данного типа исключает прямое взаимодействие между двумя узлами, шлюз сеансового уровня является единственным связующим элементом между внешней сетью и внутренними ресурсами. Это создаёт видимость того, что на все запросы из внешней сети отвечает шлюз, и делает практически невозможным определение топологии защищаемой сети. Кроме того, так как контакт между узлами устанавливается только при условии его допустимости, шлюз сеансового уровня предотвращает возможность реализации DoS-атаки, присущей пакетным фильтрам^[22].

Несмотря на эффективность этой технологии, она обладает серьёзным недостатком: как и у всех вышеперечисленных классов межсетевых экранов, у шлюзов сеансового уровня отсутствует возможность проверки содержания поля данных, что позволяет злоумышленнику передавать «троянских коней» в защищаемую сеть^[23].

Посредники прикладного уровня[править | править код]

Межсетевые экраны прикладного уровня, к которым, в частности, относится файрвол веб-приложений, как и шлюзы сеансового уровня, исключают прямое взаимодействие двух узлов. Однако, функционируя на прикладном уровне, они способны «понимать» контекст передаваемого трафика. Межсетевые экраны, реализующие эту технологию, содержат несколько приложений-посредников (англ. application proxy), каждое из которых обслуживает свой прикладной протокол. Такой межсетевой экран способен выявлять в передаваемых сообщениях и блокировать несуществующие или нежелательные последовательности команд, что зачастую означает DoS-атаку, либо запрещать использование некоторых команд (например, FTP PUT, которая даёт возможность пользователю записывать информацию на FTP сервер).

Посредник прикладного уровня может определять тип передаваемой информации. Например, это позволяет заблокировать почтовое сообщение, содержащее исполняемый файл. Другой возможностью межсетевого экрана данного типа является проверка аргументов входных данных. Например, аргумент имени пользователя длиной в 100 символов либо содержащий бинарные данные является, по крайней мере, подозрительным.

Посредники прикладного уровня способны выполнять аутентификацию пользователя, а также проверять, что SSL-сертификаты подписаны конкретным центром. Межсетевые экраны прикладного уровня доступны для многих протоколов, включая HTTP, FTP, почтовые (SMTP, POP, IMAP), Telnet и другие^[24][25].

Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент^[26].

Инспекторы состояния[править | править код]

Каждый из вышеперечисленных типов межсетевых экранов используется для защиты корпоративных сетей и обладает рядом преимуществ. Однако, куда эффективней было бы собрать все эти преимущества в одном устройстве и получить межсетевой экран, осуществляющий фильтрацию трафика с сетевого по прикладной уровень. Данная идея была реализована в инспекторах состояний, совмещающих в себе высокую производительность и защищённость. Данный класс межсетевых экранов позволяет контролировать^[27]:

• каждый передаваемый пакет — на основе таблицы правил;
• каждую сессию — на основе таблицы состояний;
• каждое приложение — на основе разработанных посредников.

Осуществляя фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния — прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний по сравнению с посредниками прикладного уровня свойственна более низкая защищённость^[28].

Термин инспектор состояния (англ. stateful inspection), внедрённый компанией Check Point Software, полюбился производителям сетевого оборудования настолько, что сейчас практически каждый межсетевой экран причисляют к этой технологии, даже если он и не реализует её полностью.

Существует два варианта исполнения межсетевых экранов — программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности — в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

В настоящее время чаще используется программное решение, которое на первый взгляд выглядит более привлекательным. Это вызвано тем, что для его применения достаточно, казалось бы, всего лишь приобрести программное обеспечение межсетевого экрана и установить на любой имеющийся в организации компьютер. Однако, как показывает практика, в организации далеко не всегда находится свободный компьютер, да ещё и удовлетворяющий достаточно высоким требованиям по системным ресурсам. После того, как компьютер всё-таки найден (чаще всего — куплен), следует процесс установки и настройки операционной системы, а также, непосредственно, программного обеспечения межсетевого экрана. Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как может показаться. Именно поэтому всё большее распространение стали получать специализированные программно-аппаратные комплексы, называемые security appliance, на основе, как правило, FreeBSD или Linux, «урезанные» для выполнения только необходимых функций. Достоинствами данных решений являются^[29]:

• Простота внедрения: данные устройства имеют предустановленную и настроенную операционную систему и требуют минимум настроек после внедрения в сеть.
• Простота управления: данными устройствами можно управлять откуда угодно по стандартным протоколам, таким как SNMP или Telnet, либо посредством защищённых протоколов, таких как SSH или SSL.
• Производительность: данные устройства работают более эффективно, так как из их операционной системы исключены все неиспользуемые сервисы.
• Отказоустойчивость и высокая доступность: данные устройства созданы выполнять конкретные задачи с высокой доступностью.

Ограниченность анализа межсетевого экрана[править | править код]

Межсетевой экран позволяет осуществлять фильтрацию только того трафика, который он способен «понимать». В противном случае, он теряет свою эффективность, так как не способен осознанно принять решение о том, что делать с нераспознанным трафиком. Существуют протоколы, такие как TLS, SSH, IPsec и SRTP, использующие криптографию для того, чтобы скрыть содержимое, из-за чего их трафик не может быть проинтерпретирован. Также некоторые протоколы, такие как OpenPGP и S/MIME, шифруют данные прикладного уровня, из-за чего фильтровать трафик на основании информации, содержащейся на данном сетевом уровне, становится невозможно. Ещё одним примером ограниченности анализа межсетевых экранов является туннелированный трафик, так как его фильтрация является невозможной, если межсетевой экран «не понимает» используемый механизм туннелированния. Во всех этих случаях правила, сконфигурированные на межсетевом экране, должны явно определять, что делать с трафиком, который они не могут интерпретировать.^[30]

1. ↑ Лебедь, 2002, с. 22.
2. ↑ Шаньгин, 2011, с. 193.
3. ↑ Лебедь, 2002, с. 22—25.
4. ↑ Лапонина, 2014, с. 43.
5. ↑ Forrest, p. 2.
6. ↑ Фаронов, 2016, с. 62.
7. ↑ ^{1 2 3} Лапонина, 2014, с. 131.
8. ↑ ^{1 2 3} Шаньгин, 2011, с. 195.
9. ↑ Шаньгин, 2011, с. 194.
10. ↑ ^{1 2} Фокс, 2003, с. 30.
11. ↑ ^{1 2} Лебедь, 2002, с. 48.
12. ↑ Cisco.
13. ↑ Cardenas, 2003.
14. ↑ Лебедь, 2002, с. 50.
15. ↑ Лебедь, 2002, с. 52.
16. ↑ Лапонина, 2014, с. 52.
17. ↑ Лапонина, 2014, с. 51—56.
18. ↑ ^{1 2} Лапонина, 2014, с. 53.
19. ↑ Фокс, 2003, с. 30—31.
20. ↑ Лебедь, 2002, с. 54.
21. ↑ Фокс, 2003, с. 31.
22. ↑ Лебедь, 2002, с. 58.
23. ↑ Лапонина, 2014, с. 63—64.
24. ↑ Лебедь, 2002, с. 55—56.
25. ↑ Лапонина, 2014, с. 59.
26. ↑ Лебедь, 2002, с. 56.
27. ↑ Лебедь, 2002, с. 58—61.
28. ↑ Фокс, 2003, с. 32.
29. ↑ Шаньгин, 2011, с. 207.
30. ↑ Лапонина, 2014, с. 73.

Книги[править | править код]

Статьи[править | править код]

Сетевой фильтр — Википедия. Что такое Сетевой фильтр

Материал из Википедии — свободной энциклопедии

Сетевой фильтр — варисторный фильтр для подавления импульсных помех и LC-фильтр (индуктивно-емкостной) для подавления высокочастотных помех. Так же часто называют содержащий такой компонент электрический удлинитель.

Варистор

Варистор — полупроводниковый резистор. Варистор — элемент нелинейный, его сопротивление зависит от приложенного к его выводам напряжения: чем выше напряжение, тем ниже сопротивление. Варистор включается параллельно защищаемому оборудованию, то есть к нему приложено то же напряжение, что и к защищаемому устройству. При нормальном напряжении в сети питания и отсутствии импульсных помех ток, проходящий через варистор, очень мал, и им можно пренебречь, и в такой ситуации варистор можно считать изолятором. Если в сети питания возникает импульс высокого напряжения (напряжение импульса может быть выше 6000 В в течение короткого промежутка времени (длительность импульса 10⁻⁶ — 10⁻⁹ с), то сопротивление варистора резко падает, и он преобразует электрическую энергию импульса в тепловую, чем защищает включенные в сетевой фильтр приборы, в этот момент через варистор может протекать ток силой в несколько тысяч ампер.

LC-фильтр

Мощный LC-фильтр (250V 50A 50/60Hz)

LC-фильтр предназначен для подавления высокочастотных помех (частотой 100 Гц — 100 МГц), которые искажают синусоиду переменного напряжения в сети и отрицательно сказываются на работе электрооборудования. Эффективность работы LC-фильтра в различных диапазонах частот измеряется в дБ. Источниками ВЧ-помех являются различные электрические устройства: электродвигатели, генераторы, сварочные аппараты и т. п.

См. также

Ссылки