7 улучшений модуля «Брандмауэр» в Outpost 7.0
Додано: 16-01-2010 22:55:18
Второй обзор 7.0 посвящен «нашему всему» в продуктах Outpost Pro – центральной части Firewall и Security Suite – модулю «Брандмауэр». Основные 7 изменений и дополнений были произведены в части фильтрации и, как следствие, была существенно снижена загрузка ресурсов ПК при работе персонального сетевого экрана в основе клиентского решения Outpost.
1. Изменен механизм фильтрации сетевых событий и содержимого
Разработчиками Agnitum реализован новый механизм фильтрации сетевых событий и cодержимого («контент-фильтр») с использованием технологии Windows Filtering Platform (WFP). WFP позиционируется компанией Microsoft как основная платформа ОС, начиная с Windows 7 и далее. Таким образом, новый механизм фильтрации позволит предотвратить возможные проблемы совместимости Outpost с Windows 7 и в потенциале с последующими версиями ОС. Новый фильтр на основе WFP показал высокую стабильность работы в ОС Windows 7, и мы решили использовать эту же технологию на Vista. Ранее используемый фильтр TLI, построенный на перехвате недокументированных интерфейсов ОС, заменен на новый, начиная с SP1.
Естественно, в связи с тем, что интефейсы WFP на Vista и Windows 7 существенно отличаются в ряде критических аспектов, была проделана соответствующая работа по интеграции WFP-фильтра в OC Vista. Как показывают результаты внутренних тестирований, благодаря этому закрылось множество критических ошибок, приводивших к BSOD в ОС Vista при использовании TLI.
Также исправлены критические ошибки в TDI/TLI-фильтрах, применяемых в Windows 2000/XP/Vista RTM.
Результат: высокая стабильность работы Outpost, в том числе и в части взаимодействия с другими сетевыми фильтрами.
2. Новый механизм фильтрации пакетов
Для Windows 7 и Vista существенно переработан алгоритм фильтрации принимаемых пакетов на повышенных IRQL на высокоскоростных каналах. Путем организации отложенной обработки таких пакетов с помощью пула рабочих потоков, удалось снизить нагрузку на процессор.
Результат: значительно улучшена «отзывчивость» системы при интенсивной работе с сетью.
3. Отказ от фильтрации бинарных потоков
Усовершенствован механизм задания правил и поведения для контент-фильтрации, позволивший ограничить объем фильтруемых данных за счет данных, передаваемых по каналу loopback, а также бинарных данных, не представляющих интереса, с точки зрения контроля содержимого. Более того, механизм детектирования и отказа от фильтрации бинарных потоков полностью реализован в драйвере, что позволяет минимизировать количество сообщений между драйвером и сервисом, тем самым оказывая меньшее влияние на производительность системы.
Результат: существенное снижение нагрузки на процессор при мультипоточной загрузке, в т.ч. при использовании P2P-клиентов.
4. Реализация прослушивания трафика
Реализованы правила, позволяющие тонко настроить пакетный «снифер» для получения только необходимой информации о фильтруемых пакетах. Например, о пакетах заблокированных или относящихся к установке/завершению соединения.
Результат: снижение паразитной нагрузки на систему.
5. Минимизация пакетных нотификаций между драйвером и сервисом
В десятки раз снижена нагрузка на канал обмена данных между драйвером и управляющим сервисом.
Результат: повышение стабильности системы в целом и значительное снижение нагрузки на CPU.
6. Блокировка
Из недр Outpost Firewall Pro версии 4.0 вынут и реализован «SPI для UDP» механизм определения модели поведения «клиента» в схеме «клиент-сервер». Входящие датаграммы на endpoint разрешаются только с тех удаленных хостов, на которые с данного endpoint’а уже была отправлена хотя бы одна датаграмма. Попытки использования non-TCP endpoint в режиме сервера будут заблокированы.
Результат: гибкость в настройках безопасности сети.
7. Фильтрация невалидных флагов TCP
Пакетный фильтр проверяет TCP-флаги и, в случае их неправильных комбинаций, классифицирует пакет как нежелательный. Данный механизм снижает нагрузку на фаервол и сетевой стек в случае бомбардирования компьютера в сети подобными пакетами, блокируя пакеты на самом раннем этапе.
Результат: снижение нагрузки на CPU, противостояние DOS-атакам, более эффективное использование сетевого подключения.
Источник: http://www.internet-security.ru/2009/12 ... _firewall/
1. Изменен механизм фильтрации сетевых событий и содержимого
Разработчиками Agnitum реализован новый механизм фильтрации сетевых событий и cодержимого («контент-фильтр») с использованием технологии Windows Filtering Platform (WFP). WFP позиционируется компанией Microsoft как основная платформа ОС, начиная с Windows 7 и далее. Таким образом, новый механизм фильтрации позволит предотвратить возможные проблемы совместимости Outpost с Windows 7 и в потенциале с последующими версиями ОС. Новый фильтр на основе WFP показал высокую стабильность работы в ОС Windows 7, и мы решили использовать эту же технологию на Vista. Ранее используемый фильтр TLI, построенный на перехвате недокументированных интерфейсов ОС, заменен на новый, начиная с SP1.
Естественно, в связи с тем, что интефейсы WFP на Vista и Windows 7 существенно отличаются в ряде критических аспектов, была проделана соответствующая работа по интеграции WFP-фильтра в OC Vista. Как показывают результаты внутренних тестирований, благодаря этому закрылось множество критических ошибок, приводивших к BSOD в ОС Vista при использовании TLI.
Также исправлены критические ошибки в TDI/TLI-фильтрах, применяемых в Windows 2000/XP/Vista RTM.
Результат: высокая стабильность работы Outpost, в том числе и в части взаимодействия с другими сетевыми фильтрами.
2. Новый механизм фильтрации пакетов
Для Windows 7 и Vista существенно переработан алгоритм фильтрации принимаемых пакетов на повышенных IRQL на высокоскоростных каналах. Путем организации отложенной обработки таких пакетов с помощью пула рабочих потоков, удалось снизить нагрузку на процессор.
Результат: значительно улучшена «отзывчивость» системы при интенсивной работе с сетью.
3. Отказ от фильтрации бинарных потоков
Усовершенствован механизм задания правил и поведения для контент-фильтрации, позволивший ограничить объем фильтруемых данных за счет данных, передаваемых по каналу loopback, а также бинарных данных, не представляющих интереса, с точки зрения контроля содержимого. Более того, механизм детектирования и отказа от фильтрации бинарных потоков полностью реализован в драйвере, что позволяет минимизировать количество сообщений между драйвером и сервисом, тем самым оказывая меньшее влияние на производительность системы.
Результат: существенное снижение нагрузки на процессор при мультипоточной загрузке, в т.ч. при использовании P2P-клиентов.
4. Реализация прослушивания трафика
Реализованы правила, позволяющие тонко настроить пакетный «снифер» для получения только необходимой информации о фильтруемых пакетах. Например, о пакетах заблокированных или относящихся к установке/завершению соединения.
Результат: снижение паразитной нагрузки на систему.
5. Минимизация пакетных нотификаций между драйвером и сервисом
В десятки раз снижена нагрузка на канал обмена данных между драйвером и управляющим сервисом.
Результат: повышение стабильности системы в целом и значительное снижение нагрузки на CPU.
6. Блокировка
Из недр Outpost Firewall Pro версии 4.0 вынут и реализован «SPI для UDP» механизм определения модели поведения «клиента» в схеме «клиент-сервер». Входящие датаграммы на endpoint разрешаются только с тех удаленных хостов, на которые с данного endpoint’а уже была отправлена хотя бы одна датаграмма. Попытки использования non-TCP endpoint в режиме сервера будут заблокированы.
Результат: гибкость в настройках безопасности сети.
7. Фильтрация невалидных флагов TCP
Пакетный фильтр проверяет TCP-флаги и, в случае их неправильных комбинаций, классифицирует пакет как нежелательный. Данный механизм снижает нагрузку на фаервол и сетевой стек в случае бомбардирования компьютера в сети подобными пакетами, блокируя пакеты на самом раннем этапе.
Результат: снижение нагрузки на CPU, противостояние DOS-атакам, более эффективное использование сетевого подключения.
Источник: http://www.internet-security.ru/2009/12 ... _firewall/