Функции межсетевых экранов

Назначение межсетевых экранов

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

МЭ – это система, позволяющая разделить сеть на 2 или более частей

Достоинства:

  • может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через файрво́л смогут пройти только указанные протоколы;
  • может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
  • дает возможность контролировать доступ к системам сети;
  • может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet;
  • может сообщать с помощью соответствующих сигналов тревоги,которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки;
  • предоставляет средства регламентирования порядка доступа к сети, тогда как без файрво́л этот порядок целиком зависит от совместных действий пользователей.

Недостатки:

  • может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, Windows, NFS, и т.д.;
  • не защищает объект от проникновения через "люки" (back doors);
  • не обеспечивает защиту от внутренних угроз;
  • не защищает от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ через электронную почту;
  • обладает низкой пропускной способностью, поскольку через него осуществляются все соединения, а в некоторых случаях еще и подвергаются фильтрации;
  • все средства безопасности сосредоточены в одном месте, а не распределены между системами.

Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.

Рис. 9.1. Схема подключения межсетевого экрана МЭ

МЭ, защищающий сразу множество узлов внутренней сети, призван решить:

• задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;

• задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.

До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.

По функционированию на уровнях модели OSI:
• пакетный фильтр (экранирующий маршрутизатор — screening router);
• шлюз сеансового уровня (экранирующий транспорт);
• прикладной шлюз (application gateway);
• шлюз экспертного уровня (stateful inspection firewall).

По используемой технологии:
• контроль состояния протокола (stateful inspection);
• на основе модулей посредников (proxy).

По исполнению:
• аппаратно-программный;
• программный.

По схеме подключения:
• схема единой защиты сети;
• схема с защищаемым закрытым и не защищаемым открытым сегментами сети;
• схема с раздельной защитой закрытого и открытого сегментов сети.