Прокси
Уровень приложений
Уровень сетей и пакетные фильтры
Типы межсетевых экранов
Шлюзы уровня приложений
Для более надежной защиты экраны применяют прикладные фильтрующие программы при соединении с Telnet и FTP. Данное приложение носит название proxy-службы или, другими словами, — шлюза уровня приложений. При использовании шлюза данного типа взаимодействие между авторизованным клиентом и внешним хостом невозможно. Фильтрация осуществляется на прикладном уровне.
Когда шлюз обнаруживает сетевой сеанс, он останавливает его и подключает специальное приложение для завершения услуги. Шлюзы прикладного уровня обеспечивают надежную защиту, так как с внешней сетью взаимодействие происходит через маленькое количество уполномоченных приложений. Они выполняют строгий контроль входящего и исходящего трафика. Для каждого сетевого сервиса требуются отдельные приложения.
Плюсы использования шлюза уровня приложений:
- невидимость защищаемой сети из Интернета;
- эффективная и надежная аутентификация и регистрация;
- оптимальное соотношение стоимости и уровня защиты;
- простые правила фильтрации;
- возможность установки дополнительных проверок.
Существует несколько классификаций межсетевых экранов, зависящих от того, как происходит соединение, где соединение отслеживается и его состояние отслеживается.
Файрволлы уровня сети, также называемые пакетными фильтрами, действуют на сравнительно низком уровне протокола TCP/IP, не позволяя пакетам пройти сквозь экран, если они не удовлетворяют требованиям, на которые настроен файрволл. Администратор может назначать правила сам, либо они могут создаваться автоматически. Термин "пакетный фильтр" возник в контексте операционных систем BSD.
Современные файрволлы могут фильтровать трафик на основе многих свойств пакета, таких как IP адрес, источник, порт или адрес назначения и так далее. Также можно установить фильтрацию по протоколам, значениям TTL, сетям происхождения и по многим другим свойствам.
Эти экраны работают на прикладном уровне связки TCP/IP (например трафик браузера, либо весь FTP или Telnet трафик), и могут перехватить все пакеты, направляемые как приложением, так и к нему. В принципе, такие файрволы могут предотвратить весь нежелательный внешний трафик от достижения защищенных систем.
Прокси, работающие либо на отдельном оборудовании, либо программные могут действовать как межсетевые экраны, отвечая на входящие пакеты (запросы соединения, например) также, как это делало бы приложение.
Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP - и IP - заголовках пакетов.
Фильтрующие маршрутизаторы обычно может фильтровать IP -пакет на основе группы следующих полей заголовка пакета:
• IP - адрес отправителя (адрес системы, которая послала пакет);
• IP -адрес получателя (адрес системы которая принимает пакет);
• Порт отправителя (порт соединения в системе отправителя);
• Порт получателя (порт соединения в системе получателя);
Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.
В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP / UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.
Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей. которые считаются враждебными или ненадежными.