Назначение и виды межсетевых экранов

Межсетевым экраном[3] может называться компьютер, маршрутизатор или другое коммуникационное устройство, которое ограничивает доступ к защищаемой сети. Как правило, межсетевой экран (МЭ) – это программное приложение, установленное в сети, которое осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Использование многих МЭ позволяет не только обеспечить защиту корпоративной сети от несанкционированного проникновения из Internet (из корпоративной интрасети, к которой подключена ваша сеть), но и использовать средства контроля, аутентификации и обеспечения конфиденциальности информации.

В руководящем документе «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»[4] определено, что МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Поэтому, часто МЭ называют фильтрами, поскольку основная задача межсетевых экранов — не пропускать, то есть фильтровать пакеты, которые не подходят под критерии, определённые в конфигурации. Таким образом, можно сказать, что МЭ состоит из двух механизмов: один из которых блокирует трафик, а другой его пропускает.

Для МЭ может быть реализована одна из следующих базовых политик доступа:

1) разрешить доступ для сервиса, если он явно не запрещен (то есть, МЭ пропускает все сервисы в сеть по умолчанию, если они не указаны в политике управления доступом как запрещенные);

2) запретить доступ для сервиса, если он явно не разрешен (то есть, МЭ, по умолчанию, запрещает все сервисы, кроме указанных в списке разрешенных).

Следует отметить, что первая политика более уязвима, поскольку она предоставляет больше способов обойти МЭ, однако определенные сервисы, в том числе: Windows, FTP, ARCHIE и RPC, сложно фильтровать, поэтому для них применяется МЭ, реализующий первую политику.

Обычно во всех областях информационной безопасности используется вторая политика, которая считается классической моделью доступа. Вторая политика более надежна и безопасна, однако ее сложнее реализовать, поскольку некоторые сервисы могут оказаться заблокированными или ограниченными (в том числе приведенные выше).

В зависимости от уровня, на котором происходит контроль доступа, МЭ делятся на следующие категории:

· МЭ сетевого уровня, в которых фильтрация осуществляется на основе адреса отправителя пакетов, адреса получателя пакетов и номеров портов для каждогоотдельного IP-пакета. В качестве примера традиционного МЭ сетевого уровня можно привести обычный маршрутизатор. Однако, если простые маршрутизаторы обладают ограниченными возможностями, то современные системы МЭ сетевого уровня, например, маршрутизаторы фирмы Cisco, имеют высокую степень интеллекта, распознают протоколы более высокого уровня и могут отслеживать контекст проходящих через них соединений. Таким образом, можно сказать, что самая важная черта МЭ сетевого уровня – это выполнение маршрутизации потока данных. Следует отметить, что МЭ сетевого уровня, как правило, обладают высоким быстродействием.

· МЭ сеансового уровня (stateful), которые отслеживают сеансы между приложениями, при этом, не пропуская пакеты, нарушающие спецификации TCP/IP. Такие пакеты часто применяются злоумышленниками при сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыве или замедлении соединений, инъекции данных.

· МЭ уровня приложений, в которых фильтрация выполняется на основе анализа данных приложения, которые передаются внутри пакета.МЭ уровня приложений обеспечивают блокирование нежелательной и потенциально опасной информации в соответствии с утвержденной политикой и настройками.

Выбор категории МЭ зависит от решаемой задачи, однако будущее МЭ за комплексными системами, которые будут одновременно совмещать несколько технологий.

В зависимости целевого назначения, МЭ делятся на следующие категории:

· МЭ с высоким коэффициентом готовности (high-availability), которые применяются в целях защиты периметра сети.

· МЭ класса SOHO (для малого / домашнего офиса), которые используются сервис-провайдерами.

· Арендуемые МЭ (collocated), которые используются сервис-провайдерами при обслуживании многочисленных клиентов.

· Персональные МЭ, которые предназначены для корпоративных настольных систем, имеют централизованное управление.

Однако, следует отметить, что использование МЭ должно сопровождаться соответствующими административными мерами, монитором доступа к АС сети, контролем за персоналом, обслуживающим АС корпоративной сети. Также, МЭ плохо защищает от вирусов и других вредоносных программ, поэтому для обеспечения эффективной защиты от вирусов, требуется целый комплекс технических и административных мер, в том числе установка антивирусного программного обеспечения, обучение персонала, принятие соответствующих правил безопасности в организации и контроль за их выполнением.

Дата добавления: 2014-01-20; Просмотров: 2315; Нарушение авторских прав?; Мы поможем в написании вашей работы!