Межсетевые экраны. Классификация и описание

Просмотрено: 4141

Локальная сеть довольно уязвима для злоумышленников, не редки атаки на внутренние сети для кражи важной информации. В этой ситуации безопасности стоит уделять особое внимание. Как правило, атаки осуществляются из сети Интернет, по этому при использование ресурсов всемирной сети необходимо думать о собственной защите. Для этих целей и были разработаны межсетевые экраны (FireWall).
На сегодняшний день нет точной классификации межсетевых экранов. Но условно можно выделить следующие классы:
Фильтрующие
Шлюзы сеансового уровня
Шлюзы уровня приложений
Эти категории отражают основные функции межсетевых экранов, хотя как правило в реальных устройствах не используется только одна категория. Но для отличия их друг от друга, можно использовать именно эти ключевые моменты.
Фильтрующие. Они представляют собой фильтрующие маршрутизаторы или программное обеспечение на сервере, которые фильтрую входящиеисходящие пакеты сети. Для фильтрации используется информация, которая содержится в заголовках TCP и IP пакетов. Как правило пакеты фильтруются на основание следующих полей в заголовке пакета:
Адрес получателя
Адрес отправителя
Порт получателя
Порт отправителя
Порой дополнительной информацией для критерия отбора является сетевой интерфейс маршрутизатора с которого пришел данный пакет. Фильтрацию можно организовать по разному, например блокировать соединения с определенными адресами или компьютерами, блокировать подключение к определенным портам или полностью запретить подключение из какой – то определенной сети.
Правила по котором происходит фильтрация пакетов, обычно сформулировано достаточно сложно и как правило нет средств для проверки корректности выполнения поставленной задачи, кроме как долгого и кропотливого тестирования в ручную. Но даже, если администратор настроит все правила фильтрации очень грамотно, например будут приниматься пакеты только от достоверных узлов, это не сможет полностью обезопасить сеть от проникновения злоумышленника, в таких случаях хакеры попросту могут подменить адрес отправителя в пакете на доверительный.
К положительным сторонам фильтрующего межсетевого экрана можно отнести следующее:
Малая задержка при прохождение пакетов
Не высокая стоимость
Гибкая настройка правил фильтрации
К недостаткам можно отнести:
Внутреннею сеть можно просмотреть из вне, то есть маршрутизируется из Интернета
Отсутствует аутентификация пользователей
Трудность при описание правил фильтрации
При сбое в работе фильтрующего маршрутизатора все компьютеры становятся не защищенными или полностью теряют связь с сетью
Шлюзы сеансового уровня. Этот класс маршрутизаторов представляет собой транслятор соединения. То есть шлюз принимает запрос автоматизированного пользователя на предоставления соединения с каким – то узлом, а после прохождения процесса проверки устанавливается требуемое соединение. После того как установлено соединение все пакеты копируются и направляются адресатам, как правило место подключение заранее установлено, а вот источников может быть много. При помощи этого метода может быть установлено соединения для отдельного пользователя, а так же может вестись статистика.
В итоге, такой маршрутизатор проверяет достоверность подключаемого клиента и его права на доступ к определенным узлам. В общем виде процесс работы такого маршрутизатора выглядит следующим образом: клиент запрашивает доступ к некоторому узлу, после чего маршрутизатор проверяет базовые критерии доступа, после этого от имени клиента устанавливает связь с требуемым узлом, проверяя в ходе работы подтверждение по протоколу TCP. Процедура состоит в обмене пакетами, которые имеют отметки SYN (синхронизировать) и АСК (подтвердить).
При подключение отправляется первый пакет, который является запросом клиента на открытие сеанса, с меткой SYN, который содержит контрольное число. В ответ на этот пакет внешний хост отправляет пакет с меткой ACK, содержащий число на единицу больше, чем контрольное, то есть он подтверждает получение первого пакета от клиента. Затем происходит такая же операция, только в обратном направление. На этом процесс подтверждения связи заканчивается.
После того, как шлюз определил, что связь установлена и не противоречит базовым критериям фильтрации, устанавливается соединение. Затем, шлюз просто перенаправляет пакеты в обоих направлениях при этом фильтрация уже не происходит. ВО время работы шлюз создает таблицу в которой содержатся все установленные соединения и оперируя ей перенаправляет пакеты. После того, как сеанс закончен соединение разрывается и данные о нем удаляются из таблицы.
Основным и пожалуй самым большим недостатком является, отсутствие фильтрации содержимого пакетов. Таким образом злоумышленник может проникнуть в сеть и принести ощутимый ущерб.
Шлюзы уровня приложений. Для увеличения защиты сетей, которые используют фильтрующие маршрутизаторы, приложения должны фильтровать пакеты поступающие от сервисов Telnet и FTP. Такие приложения называются proxy-службой, а хост на котором эта служба работает – шлюзом уровня приложений. При использование этого шлюза исключается непосредственное взаимодействие пользователя с внешним хостом. То есть происходит фильтрация всех пакетов на прикладном уровне.
Этот шлюз работает следующим образом: При обнаружение сетевого сеанса или активности, шлюх останавливает его, после чего вызывает необходимое приложение для оказание запрашиваемой услуги. Чтобы обеспечить более высокий уровень безопасности и гибкость, как правило шлюз приложений и фильтрующий маршрутизатор совмещаются в один межсетевой экран. При помощи этого шлюза организуется высокая безопасность, так как весь трафик проходит и контролируется уполномоченными приложениями.
Этот тип шлюзов имеет ряд преимуществ:
Структуру сети не возможно просмотреть через Интернет.
Надежная система регистрации и аутентификации.
Отличное соотношение цены и качества.
Простые и легко настраиваемые правила фильтрации.
Возможность создания большого числа проверок входящих пакетов.
К недостаткам можно отнести:
Относительно низкая производительность, по сравнению с фильтрующим маршрутизатором.
Довольно высокая стоимость.
Одним из важнейших элементов для защиты сети является аутентификация пользователя, то есть права на использование сервисом предоставляются только после проверки подлинности пользователя. Именно для этого процесса и должен быть настроен межсетевой экран.

Мария (03.08.2016 18:22)

Очень полезная иформация, для меня она пригодилась! Спасибо

GeoWolf666 (02.16.2016 18:12)

Отличная статья! Спасибо за очень полезную информацию!

dragofreerun (01.29.2016 16:53)

"

Оставить Комментарий