Функции межсетевых экранов
Назначение межсетевых экранов
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
МЭ – это система, позволяющая разделить сеть на 2 или более частей
Достоинства:
- может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через файрво́л смогут пройти только указанные протоколы;
- может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
- дает возможность контролировать доступ к системам сети;
- может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet;
- может сообщать с помощью соответствующих сигналов тревоги,которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки;
- предоставляет средства регламентирования порядка доступа к сети, тогда как без файрво́л этот порядок целиком зависит от совместных действий пользователей.
Недостатки:
- может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, Windows, NFS, и т.д.;
- не защищает объект от проникновения через "люки" (back doors);
- не обеспечивает защиту от внутренних угроз;
- не защищает от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ через электронную почту;
- обладает низкой пропускной способностью, поскольку через него осуществляются все соединения, а в некоторых случаях еще и подвергаются фильтрации;
- все средства безопасности сосредоточены в одном месте, а не распределены между системами.
Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.
Рис. 9.1. Схема подключения межсетевого экрана МЭ
МЭ, защищающий сразу множество узлов внутренней сети, призван решить:
• задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;
• задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.
До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.
По функционированию на уровнях модели OSI:
• пакетный фильтр (экранирующий маршрутизатор — screening router);
• шлюз сеансового уровня (экранирующий транспорт);
• прикладной шлюз (application gateway);
• шлюз экспертного уровня (stateful inspection firewall).
По используемой технологии:
• контроль состояния протокола (stateful inspection);
• на основе модулей посредников (proxy).
По исполнению:
• аппаратно-программный;
• программный.
По схеме подключения:
• схема единой защиты сети;
• схема с защищаемым закрытым и не защищаемым открытым сегментами сети;
• схема с раздельной защитой закрытого и открытого сегментов сети.