Описание функционирования межсетевых экранов

Что нужно знать про одну из главных технологий сетевой защиты.

Межсетевые экраны играют центральную роль в ИТ-безопасности, находясь между внутренними сетями и внешним миром, и предназначены для защиты компьютеров, приложений и других ресурсов от внешних атак.

Хотя есть несколько типов брандмауэров, технологию можно в целом определить как совокупность соответствующих программ безопасности, которые находятся на сетевом шлюзе и обеспечивают коллективную защиту сети от пользователей других сетей.


Виды Брандмауэров

Хотя все межсетевые экраны представляют собой программное обеспечение, брандмауэры сами по себе делятся на две общие категории: аппаратные и программные. Аппаратные межсетевые экраны представляют собой выделенное устройство безопасности, на котором уже предустановленно защитное программное обеспечение, типичное для различных ОС. Программное обеспечение брандмауэров, с другой стороны, может быть установлено на любой сервер, оснащенный сетевой ОС, такой как Windows или Linux.

Предприятия, как правило, при выборе брандмауэра исходят из потребностей и предпочтений, которые являются уникальными для каждой компании. В общем учитывается: архитектура брандмауэра (аппаратный или программный), количество одновременных сессий пропускаемых межсетевым экраном, тип требуемого внешнего доступа, тип и количество необходимых протоколов VPN (виртуальных частных сетей), число одновременных VPN’ов, нуждающихся в защите, предпочтительные типы управления —  пользовательские интерфейсы (командная строка, графический или web-based интерфейсы), и потребность в более сложных функциях.

Цена на брандмауэр может колебаться от менее чем $100 для базовую модель —  программного продукта, который предназначен для защиты домашней сети или малого офиса, до $20000 и более за промышленные аппаратные устройства, которое обеспечивают защиту ресурсов предприятий.

Типы Брандмауэров

Поскольку не существует двух одинаковых сетей, производители предлагают множество различных типов брандмауэров (как аппаратных, так и программных), которые призваны удовлетворить конкретные потребности клиента. Основные подходы делятся на пакетную фильтрацию, фильтрацию на уровне приложений и цепную фильтрацию.

Брандмауэры пакетной фильтрации: это основная форма брандмауэра. Файервол не делает ничего, кроме фильтрации пакетов. Это означает, что брандмауэр принимает или отвергает IP-пакеты на основе предопределенных правил. При пакетной фильтрации брандмауэр внимательно анализирует в каждом пакете протокол и адрес; содержание и контекст данных при этом не рассматриваются. Основными преимуществами пакетной фильтрации брандмауэров являются их относительная простота, низкая стоимость, а также быстрое и простое развертывание. Программные межсетевые экраны для дома и малого бизнеса, как правило, очень различны, в том числе брандмауэр, который встроен в некоторые версии Windows.

Брандмауэр сеансового уровня: Этот тип брандмауэра позволяет не просто принять или отвергнуть пакет, а определяет, является ли соединение подходящим под набор определенных правил. Если все проверки пройдены, то брандмауэр открывает сессию, и допускает трафик только от авторизованного источника. Трафик также может быть разрешен только на ограниченный период времени. Кроме того, брандмауэр может проверять  IP-адрес и порт источника, IP-адрес и порт получателя, используемый протокол, пользовательский идентификатор, пароль, время, или, скорее всего, несколько из этих условий одновременно. Кроме того, на этом уровне может применяться и пакетная фильтрация.

Большим недостатком этого уровня межсетевых экранов является то, что они функционируют на транспорте уровне и, следовательно, могут потребовать значительных изменений в функциях транспортного уровня. Это может сказаться на работоспособности и функционировании сети. Кроме того, брандмауэр цепного уровня требует более широких знаний при установке и обслуживании.

Брандмауэры уровня приложений. При таком подходе, брандмауэр действует как прокси-сервер приложений, кэширующий всех данные и осуществляющий обмен информацией с удаленной системой. Основная идея этой концепции состоит в том, чтобы сервер, находящийся за межсетевым экраном был невидим для удаленной системы.

Брандмауэр уровня приложений может принять или отвергнуть трафик на основании  конкретного набора правил. Брандмауэр может, к примеру, разрешить некоторые команды, отвергая другие. Эта технология также может быть использована для ограничения доступа к определенным типам файлов, а также предоставлять различные уровни доступа авторизированным и неавторизированным пользователям. Межсетевой экран уровня приложений, в основном, используют пользователи, которые хотят видеть  подробный мониторинг трафика и протоколировать обращения к хосту. IT-администраторы могут установить межсетевой экран уровня приложений для создания предупреждений и уведомлений в случае возникновения определенных состояний. Шлюз уровня приложений, как правило, размещен на отдельном компьютере, подключенном к сети и обычно называется прокси-сервером.

Многоуровневые брандмауэры. Как правило, предлагаемые производителями как «лучшие в своем классе» решения, такие продукты объединяют лучшие свойства нескольких типов брандмауэров. Многоуровневые брандмауэры предназначены для выполнения фильтрации пакетов на сетевом уровне при одновременной обработке данных на уровне приложений. Эти межсетевые экраны обеспечивают очень высокий уровень защиты сети, но могут быть очень дорогостоящими.

Многие производители предлагают набор дополнительных возможностей, которые расширяют базовый набор функций брандмауэра. А именно: антивирусную защиту, фильтрацию содержимого, предотвращение вторжений и оповещение об активности и использовании данных. Учитывая быстро меняющиеся темпы сетевой безопасности, наилучшим для предприятия было бы приобретение продукта, который можно легко обновить для усиления эффективности и добавления новых возможностей.

Источник

22 сентября 2008 14:09 | Статьи

5 комментариев к “Описание функционирования межсетевых экранов”

  1. Блог про IT безопасность » Blog Archive » 10 советов как сделать ваш брандмауэр действительно безопасным говорит:

    […] брандмауэра является первым важным шагом в направлении […]

  2. Блог про IT безопасность » Blog Archive » Описание вредоносных программ говорит:

    […] разные  методы и технологии  для защиты систем. Межсетевые экраны, например, используются для фильтрации потенциально […]

  3. kokk1 говорит:

    Автор, давай иШШО пиши! Очень твои посты нравятся!

  4. CO3PEBШИЙ говорит:

    Конечно же присоединяюсь к вышесказанному!

  5. Winner говорит:

    За статью сенкс, все по делу, достаточно много кто это применяет на практике

Оставить коментарий