Применение брандмауэров
Брандмауэр представляет собой барьер между двумя сетями - в большинстве случаев
между внутренней сетью, часто называемой защищенной (trusted network), и
внешней, незащищенной сетью (untrusted network), в данном случае Internet. В
брандмауэре входящие и исходящие пакеты проверяются на соответствие комплексу
правил, определенных администратором, а затем в зависимости от результатов
проверки они либо пересылаются по назначению, либо блокируются.
В большинстве современных брандмауэров используется один или более из трех
способов проверки пакетов. Во многих маршрутизаторах применяется
распространенный в брандмауэрах метод, называемый фильтрацией пакетов, который
основан на анализе адресов источника и приемника, а также портов входящих TCP- и
UDP-пакетов; решение о пересылке или блокировании сообщений принимается на
основе набора заранее определенных правил. Фильтры пакетов довольно дешевы,
прозрачны для пользователей, а их влияние на пропускную способность сети
пренебрежимо мало. Однако настройка конфигурации пакетных фильтров представляет
собой относительно сложную процедуру. Еще одна проблема, связанная с фильтрами
пакетов, это их уязвимость для IP-спуфинга (IP spoofing), приема, применяемого
хакерами для получения доступа к корпоративным сетям путем замены адресов IP
(Internet Protocol) в заголовках пакетов на допустимые.
Более совершенный и надежный тип брандмауэра - шлюз прикладного уровня. В
большинстве таких систем, в том числе в популярном семействе продуктов Eagle
фирмы Raptor и изделии Gauntlet компании Trusted Information Systems,
используются программы-посредники (proxies) прикладного уровня, называемые
агентами. Эти программы, составленные для конкретных служб Internet, таких, как
HTTP, FTP и telnet, работают на сервере с двумя сетевыми соединениями и
выполняют роль сервера для клиента и роль клиента для сервера приложений.
Поскольку программы-посредники прикладного уровня служат для проверки сетевых
пакетов на наличие достоверных данных, специфических для конкретной программы,
они считаются в целом более надежным средством защиты, нежели фильтры пакетов. В
большинстве брандмауэров - шлюзов прикладного уровня имеется функция, получившая
название трансляции сетевых адресов (network address translation), которая
скрывает внутренние IP-адреса от пользователей, находящихся за пределами
защищенной сети.
Один из основных недостатков шлюзов прикладного уровня - снижение уровня
производительности из-за повторной обработки в программе-посреднике. Второй
недостаток заключается в том, что, возможно, придется в течение нескольких
месяцев ждать от поставщика брандмауэра выпуска программы-посредника прикладного
уровня для новой службы Internet, такой, как RealAudio. Но, как правило,
возможности внешнего канала связи с узкой полосой пропускания будут исчерпаны
прежде, чем ресурсы брандмауэра.
При использовании программ-посредников прикладного уровня внутри учреждения, то
следует обратить внимание на быстродействующие аппаратные решения, например PIX
Firewall фирмы Cisco или Seattle Software компании Firebox. В качестве
альтернативы можно рассмотреть возможность инсталляции программы-брандмауэра на
многопроцессорной системе.
Третий тип технологии брандмауэров, названный компанией Check Point Software
Technologies комбинированным (stateful inspection), реализован в пакетах
Firewall-1 компании Check Point, PIX Firewall фирмы Cisco, ON Guard фирмы ON
Technology и Firewall/Plus фирмы Network-1. Как и при использовании метода
фильтрации пакетов, сначала происходит перехват пакетов на сетевом уровне,
однако затем пакеты анализируются целиком, их содержимое сравнивается с
известными последовательностями битов (состояниями) проверенных пакетов.
Комбинированный метод, как правило, имеет немного более высокую
производительность, чем у программ - посредников прикладного уровня, однако
вопрос о том, обеспечивает ли он такую же степень безопасности или чуть менее
надежен, остается открытым.
Крупные поставщики брандмауэров применяют в своих продуктах дополнительные
методы защиты информации и заключают партнерские соглашения с другими
поставщиками средств защиты, с тем чтобы предложить потребителям исчерпывающее
решение проблемы безопасности в Internet. Большинство таких функциональных
средств обсуждается ниже. Среди них шифрование данных, аутентификация, защита от
вирусов и плохо отлаженных апплет Java и ActiveX, загружаемых из сети, и даже
равномерное распределение нагрузки между серверами. Если вы только приступаете к
делу, то обратите внимание, какой подход к построению надежной системы защиты
информации избран вашим поставщиком.