Межсетевое экранирование

Достаточно часто в АС предприятия необходимо соединять сети различного уровня конфиденциальности, например Интернет и докальную сеть предприятия. Для управления потоками данных, пропуска только разрешенных пакетов и блокирования нежела-а'льных применяются межсетевые экраны — МСЭ (другие назва­ния — брандмауэры, файерволы).

Типичный МСЭ состоит из подсистем:

• подсистема управления доступом (фильтрация данных и транс-Цяция адресов);

• идентификации и аутентификации;

• регистрации событий;

• анализа зарегистрированной информации;

• администрирования;

• контроля целостности;

• восстановления;

• тестирования;

• интерфейса с пользователем.

Экранирование позволяет контролировать как входящие, так и исходящие информационные потоки, что повышает режим ком фиденциальности АС. Кроме функций разграничения доступа ЭМ ранирование обеспечивает регистрацию информационных обменом,

Фильтрация информации состоит из анализа информации но совокупности критериев и принятия решения о ее распространи нии в/из АС.

МСЭ классифицируют обычно следующим образом:

• программные или аппаратно-программные;

• по уровню фильтрации, соответетвуюшему-ЭМВвС:

По последнему критерию МСЭ разделяют на четыре типа: межсс тевые экраны с фильтрацией пакетов; шлюзы сеансового уровня; шлюзы прикладного уровня; межсетевые экраны экспертного уровня,

Межсетевые экраны с фильтрацией пакетов (packet-filtering firewall) представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты, поэтому эти экраны называют иногда пакетными фильтрами. Фильтрация осуществ­ляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со скон­фигурированной таблицей правил.

Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Их основной недостаток — уязвимость для IP-спуфинга (замены адресов IP). Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Шлюзы сеансового уровня (circuit-level gateway) контролируют допустимость сеанса связи. Они следят за подтверждением (квитиро­ванием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние IP-адреса, т.е. исключают IP-спуфинг. Однако поскольку системы контролируют пакеты толь­ко на сеансовом уровне, то контроль содержимого пакетов, гене­рируемых различными службами, отсутствует. Для исключения ука­занного недостатка применяются шлюзы прикладного уровня.

Шлюзы прикладного уровня (application-level gateway) прове­ряют содержимое каждого проходящего через шлюз пакета и мо­гут фильтровать отдельные виды команд или информации в про­токолах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип брандмауэра, использу­ющий программы-посредники (proxies) прикладного уровня, или агенты. Агенты составляются для конкретных служб Internet (HTTP, ITP, telnet и т.д.) и служат для проверки сетевых пакетов на на-шчие достоверных данных. Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Internet из-за узости каналов связи, но существенно при работе во Внутренней сети — Intranet. К недостаткам можно добавить необ­ходимость (а значит и дополнительные временные и экономиче­ские затраты) в разработке новых программ-посредников при вне­дрении новой службы Internet.

Межсетевые экраны экспертного уровня (stateful inspection lirewall) сочетают в себе элементы всех трех описанных выше ка­тегорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров пор­тов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли па­кеты к соответствующему сеансу. И наконец, брандмауэры экс­пертного уровня берут на себя функции шлюза прикладного уров­ня, оценивая содержимое каждого пакета в соответствии с поли­тикой безопасности, выработанной в конкретной организации.

Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каж­дый пакет на прикладном уровне модели OSI. Вместо примене­ния связанных с приложениями программ-посредников брандма­уэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.

Поскольку брандмауэры экспертного уровня допускают пря­мое соединение между авторизованным клиентом и внешним хо­стом, они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остается вопрос: обес­печивают они меньшую безопасность АС по сравнению со шлю­зами прикладного уровня или нет.