2015-10-16
1941
Брандмауэр, или межсетевой экран, — это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены в виде как аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. д.), встроенного в операционную систему или представлять собой работающую под ее управлением программу.
Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуске пакетов во внутреннюю сеть (сегмент сети) или полном их отфильтровывании. Эффективность работы межсетевого экрана, работающего под управлением Windows, обусловлена тем, что он полностью замещает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно.
|
|
|
Межсетевые экраны обычно выполняют следующие функции:
- физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
- многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);
- проверку полномочий и прав доступа пользователей к внутренним ресурсам сети;
- регистрацию всех запросов к компонентам внутренней подсети извне;
- контроль целостности программного обеспечения и данных;
- экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);
- сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.
Брандмауэры могут работать на разных уровнях протоколов модели OSI.
На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым снаружи запрещен; не пропускать пакеты с фальшивыми обратными адресами или с IP-адресами, занесенными в «черный список», и т. д.).
На транспортном уровне фильтрация допустима еще и по номерам портов TCP и флагов, содержащихся в пакетах (например запросов на установление соединения).
|
|
|
На прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP и т. д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например).
Можно в брандмауэре создавать и экспертную систему, которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна также в случае опасности (спам, например) автоматически ужесточать условия фильтрации и т. д.
В качестве популярных эффективных брандмауэров можно назвать Netscreen 100 (фирмы Netscreen Technologies) и CyberGuard Firewall (фирмы Cyberguard Corp.).
