Программно-математическое воздействие

Межсетевой экран

Межсетевой экран (МЭ) – это программное или программно-аппаратное средство, которое разграничивает информационные потоки на границе защищаемой системы.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации.

Применение МЭ позволяет:

• повысить безопасность объектов внутри системы за счет игнорирования неавторизированных запросов из внешней среды;
• контролировать информационные потоки во внешнюю среду;
• обеспечить регистрацию процессов информационного обмена.

В основе принятия решения МЭ о том, пропускать трафик или нет, лежит фильтрация по тем или иным правилам. Существует два метода настройки МЭ:

• изначально "запретить всё", а затем определить то, что следует разрешить.
• изначально "разрешить всё", а затем определить то, что следует запретить.

Очевидно, что первый вариант является более безопасным, так как запрещает всё и, в отличие от второго, не может пропустить нежелательный трафик.

В зависимости от принципов функционирования выделяют несколько классов МЭ. Основным признаком классификации является уровень модели ISO/OSI, на котором функционирует МЭ.

1. Фильтры пакетов.

   Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по следующим критериям:

   • IP-адрес источника;
   • IP-адрес получателя;
   • порт источника;
   • порт получателя;
   • специфические параметры заголовков сетевых пакетов.
   Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.
2. Шлюзы сеансового уровня.

   Данные межсетевые экраны работают на сеансовом уровне модели ISO/OSI. В отличие от фильтров пакетов, они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня. К положительным качествам фильтров пакетов можно отнести следующие:

   • невысокая стоимость;
   • возможность гибко настраивать правила фильтрации;
   • небольшая задержка при прохождении пакетов.
   К недостаткам можно отнести следующее:
   • правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP. Зачастую такие МЭ требуют многочасовой ручной настройки высококвалифицированных специалистов;
   • при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
   • отсутствует аутентификация на пользовательском уровне.
3. Шлюзы прикладного уровня.

   Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого используются прокси-сервисы – программы специального назначения, управляющие трафиком через межсетевой экран для определённых высокоуровневых протоколов (http, ftp, telnet и т.д.) Если без использование прокси-сервисов сетевое соединение устанавливается между взаимодействующими сторонами A и B напрямую, то в случае использования прокси-сервиса появляется посредник – прокси-сервер, который самостоятельно взаимодействует со вторым участником информационного обмена. Такая схема позволяет контролировать допустимость использования отдельных команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне; при этом прокси-сервер на основании установленных политик может принимать решение о возможности или невозможности передачи этих данных клиенту A.
4. Межсетевые экраны экспертного уровня.

   Наиболее сложные межсетевые экраны, сочетающие в себе элементы всех трёх приведённых выше категорий. Вместо прокси-сервисов в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений.

   Помимо функции фильтрации МЭ позволяет скрыть реальные адреса узлов в защищаемой сети с помощью трансляции сетевых адресов - NAT ( Network Address Translation ). При поступлении пакета в МЭ, он заменяет реальный адрес отправителя на виртуальный. При получении ответа МЭ выполняет обратную процедуру.

   Большинство используемых в настоящее время межсетевых экранов относятся к категории экспертных. Наиболее известные и распространённые МЭ – CISCO PIX и CheckPoint FireWall-1.