Межсетевой экран

1 декабря 2011 г.

Межсетевой экран  ( другие названия – сетевой экран, брандмауэр (от немецкого Brandmauer),  файервол (от английского firewall))  — это комплекс программных или аппаратных средств для контроля и фильтрации проходящего через него трафика  в соответствии с заданными правилами. Основная задача сетевого экрана - это защита компьютерных сетей  или отдельных узлов  сети от несанкционированного доступа.

Межсетевые экраны разных типов выполняют различные функции:

  • создают экран между двумя или более различными сетями или между одним узлом и сетью;
  • обеспечивает контроль трафика на разных уровнях сетевых протоколов;
  • отслеживают состояния активных соединений.

Охват контролируемых потоков данных определяет - является ли экран традиционным межсетевым экраном, или это персональный сетевой экран, а именно программа, установленная на пользовательском компьютере и предназначенная для обеспечения безопасности именно  данного компьютера.
Контроль доступа может осуществляться на разных уровнях – сетевом, сеансовом, на уровне приложений. На сетевом уровне фильтрация выполняется на основе адресов получателя и отправителя пакетов данных, статических правил и номеров портов транспортного уровня OSI модели. На сеансовом уровне отслеживаются сеансы связи между приложениями, не пропускающие трафик с нарушениями спецификации TCP/IP, которые часто используются во время попыток несанкционированного доступа (сканирование, инъекция данных, т.п.). На уровне приложений фильтрация производится на основании анализа внутрипакетных данных, передаваемых приложениями. Такой тип фильтрации реализуется на основе политик и настроек безопасности и обеспечивает блокировку передачи потенциально опасного трафика.

В зависимости от отслеживания активных соединений брандмауэры подразделяют на экраны:

  • с простой фильтрацией ( stateless) (они не отслеживают текущие соединения, а фильтруют поток данных только на основе статических правил);
  • с фильтрацией, учитывающей контекст (stateful ) ( отслеживают текущие соединения и пропускают только пакеты, удовлетворяющие логике и алгоритмам работы соответствующих  приложений и протоколов. Сетевые экраны такого типа обеспечивают более эффективную защиту от различного вида DoS-атак, а также устраняют недостатки некоторых сетевых протоколов. Они также обеспечивают функционирование протоколов, использующих сложные схемы передачи данных, таких как FTP, SIP и т. п.).

Полный перечень функций типичных сетевых фильтров включает в себя:

  • фильтрацию доступа к заведомо незащищенным службам;
  • предотвращение доступа к закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных посредством уязвимых служб;
  • контроль доступа к отдельным узлам сети;
  • способность регистрации всех попыток доступа  внутренней сети и извне ( что позволяет вести учёт использования доступа в Internet);
  • возможность регламентировать порядок доступа к сети;
  • уведомление о подозрительной активности, попытках атаки на сам экран или узлы сети.

Вследствие  ограничений безопасности обычно могут блокироваться некоторые необходимые пользователю службы, такие как FTP, NFS, SMB, Telnet и других. Вот почему правильное конфигурирование требует  участия специалиста по сетевой безопасности  в настройках файервола. Необходимо также отметить, что использование сетевого экрана увеличивает время отклика и снижает скорость передачи данных, так как процесс фильтрация происходит не мгновенно.

Надо иметь ввиду также то, что межсетевой экран не является панацеей абсолютно от всех угроз для сети. Так например, он не защитит от уязвимости ПО и от проникновения через «люки» (от английского back doors), не устранит возможности утечки данных или загрузки пользователем вирусов и других вредоносных программ. Для решения этих проблем используют дополнительные программные средства (например, антивирусы).

Представленные в нащем магазины межсетевые экраны вы можете посмотреть здесь.

Перейти в раздел «Основы технологий»