Достаточно часто в АС предприятия необходимо соединять сети различного уровня конфиденциальности, например Интернет и докальную сеть предприятия. Для управления потоками данных, пропуска только разрешенных пакетов и блокирования нежела-а'льных применяются межсетевые экраны — МСЭ (другие названия — брандмауэры, файерволы).
Типичный МСЭ состоит из подсистем:
• подсистема управления доступом (фильтрация данных и транс-Цяция адресов);
• идентификации и аутентификации;
• регистрации событий;
• анализа зарегистрированной информации;
• администрирования;
• контроля целостности;
• восстановления;
• тестирования;
• интерфейса с пользователем.
Экранирование позволяет контролировать как входящие, так и исходящие информационные потоки, что повышает режим ком фиденциальности АС. Кроме функций разграничения доступа ЭМ ранирование обеспечивает регистрацию информационных обменом,
Фильтрация информации состоит из анализа информации но совокупности критериев и принятия решения о ее распространи нии в/из АС.
|
|
МСЭ классифицируют обычно следующим образом:
• программные или аппаратно-программные;
• по уровню фильтрации, соответетвуюшему-ЭМВвС:
По последнему критерию МСЭ разделяют на четыре типа: межсс тевые экраны с фильтрацией пакетов; шлюзы сеансового уровня; шлюзы прикладного уровня; межсетевые экраны экспертного уровня,
Межсетевые экраны с фильтрацией пакетов (packet-filtering firewall) представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты, поэтому эти экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил.
Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Их основной недостаток — уязвимость для IP-спуфинга (замены адресов IP). Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня (circuit-level gateway) контролируют допустимость сеанса связи. Они следят за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние IP-адреса, т.е. исключают IP-спуфинг. Однако поскольку системы контролируют пакеты только на сеансовом уровне, то контроль содержимого пакетов, генерируемых различными службами, отсутствует. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
|
|
Шлюзы прикладного уровня (application-level gateway) проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип брандмауэра, использующий программы-посредники (proxies) прикладного уровня, или агенты. Агенты составляются для конкретных служб Internet (HTTP, ITP, telnet и т.д.) и служат для проверки сетевых пакетов на на-шчие достоверных данных. Однако шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Internet из-за узости каналов связи, но существенно при работе во Внутренней сети — Intranet. К недостаткам можно добавить необходимость (а значит и дополнительные временные и экономические затраты) в разработке новых программ-посредников при внедрении новой службы Internet.
Межсетевые экраны экспертного уровня (stateful inspection lirewall) сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают прямое соединение между авторизованным клиентом и внешним хостом, они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня. Спорным остается вопрос: обеспечивают они меньшую безопасность АС по сравнению со шлюзами прикладного уровня или нет.