Межсетевые экраны. Классификация и описание

Просмотрено: 6823
article-15

Локальная сеть довольно уязвима для злоумышленников, не редки атаки на внутренние сети для кражи важной информации. В этой ситуации безопасности стоит уделять особое внимание. Как правило, атаки осуществляются из сети Интернет, по этому при использование ресурсов всемирной сети необходимо думать о собственной защите. Для этих целей и были разработаны межсетевые экраны (FireWall).
На сегодняшний день нет точной классификации межсетевых экранов. Но условно можно выделить следующие классы:
Фильтрующие
Шлюзы сеансового уровня
Шлюзы уровня приложений
Эти категории отражают основные функции межсетевых экранов, хотя как правило в реальных устройствах не используется только одна категория. Но для отличия их друг от друга, можно использовать именно эти ключевые моменты.
Фильтрующие. Они представляют собой фильтрующие маршрутизаторы или программное обеспечение на сервере, которые фильтрую входящиеисходящие пакеты сети. Для фильтрации используется информация, которая содержится в заголовках TCP и IP пакетов. Как правило пакеты фильтруются на основание следующих полей в заголовке пакета:
Адрес получателя
Адрес отправителя
Порт получателя
Порт отправителя
Порой дополнительной информацией для критерия отбора является сетевой интерфейс маршрутизатора с которого пришел данный пакет. Фильтрацию можно организовать по разному, например блокировать соединения с определенными адресами или компьютерами, блокировать подключение к определенным портам или полностью запретить подключение из какой – то определенной сети.
Правила по котором происходит фильтрация пакетов, обычно сформулировано достаточно сложно и как правило нет средств для проверки корректности выполнения поставленной задачи, кроме как долгого и кропотливого тестирования в ручную. Но даже, если администратор настроит все правила фильтрации очень грамотно, например будут приниматься пакеты только от достоверных узлов, это не сможет полностью обезопасить сеть от проникновения злоумышленника, в таких случаях хакеры попросту могут подменить адрес отправителя в пакете на доверительный.
К положительным сторонам фильтрующего межсетевого экрана можно отнести следующее:
Малая задержка при прохождение пакетов
Не высокая стоимость
Гибкая настройка правил фильтрации
К недостаткам можно отнести:
Внутреннею сеть можно просмотреть из вне, то есть маршрутизируется из Интернета
Отсутствует аутентификация пользователей
Трудность при описание правил фильтрации
При сбое в работе фильтрующего маршрутизатора все компьютеры становятся не защищенными или полностью теряют связь с сетью
Шлюзы сеансового уровня. Этот класс маршрутизаторов представляет собой транслятор соединения. То есть шлюз принимает запрос автоматизированного пользователя на предоставления соединения с каким – то узлом, а после прохождения процесса проверки устанавливается требуемое соединение. После того как установлено соединение все пакеты копируются и направляются адресатам, как правило место подключение заранее установлено, а вот источников может быть много. При помощи этого метода может быть установлено соединения для отдельного пользователя, а так же может вестись статистика.
В итоге, такой маршрутизатор проверяет достоверность подключаемого клиента и его права на доступ к определенным узлам. В общем виде процесс работы такого маршрутизатора выглядит следующим образом: клиент запрашивает доступ к некоторому узлу, после чего маршрутизатор проверяет базовые критерии доступа, после этого от имени клиента устанавливает связь с требуемым узлом, проверяя в ходе работы подтверждение по протоколу TCP. Процедура состоит в обмене пакетами, которые имеют отметки SYN (синхронизировать) и АСК (подтвердить).
При подключение отправляется первый пакет, который является запросом клиента на открытие сеанса, с меткой SYN, который содержит контрольное число. В ответ на этот пакет внешний хост отправляет пакет с меткой ACK, содержащий число на единицу больше, чем контрольное, то есть он подтверждает получение первого пакета от клиента. Затем происходит такая же операция, только в обратном направление. На этом процесс подтверждения связи заканчивается.
После того, как шлюз определил, что связь установлена и не противоречит базовым критериям фильтрации, устанавливается соединение. Затем, шлюз просто перенаправляет пакеты в обоих направлениях при этом фильтрация уже не происходит. ВО время работы шлюз создает таблицу в которой содержатся все установленные соединения и оперируя ей перенаправляет пакеты. После того, как сеанс закончен соединение разрывается и данные о нем удаляются из таблицы.
Основным и пожалуй самым большим недостатком является, отсутствие фильтрации содержимого пакетов. Таким образом злоумышленник может проникнуть в сеть и принести ощутимый ущерб.
Шлюзы уровня приложений. Для увеличения защиты сетей, которые используют фильтрующие маршрутизаторы, приложения должны фильтровать пакеты поступающие от сервисов Telnet и FTP. Такие приложения называются proxy-службой, а хост на котором эта служба работает – шлюзом уровня приложений. При использование этого шлюза исключается непосредственное взаимодействие пользователя с внешним хостом. То есть происходит фильтрация всех пакетов на прикладном уровне.
Этот шлюз работает следующим образом: При обнаружение сетевого сеанса или активности, шлюх останавливает его, после чего вызывает необходимое приложение для оказание запрашиваемой услуги. Чтобы обеспечить более высокий уровень безопасности и гибкость, как правило шлюз приложений и фильтрующий маршрутизатор совмещаются в один межсетевой экран. При помощи этого шлюза организуется высокая безопасность, так как весь трафик проходит и контролируется уполномоченными приложениями.
Этот тип шлюзов имеет ряд преимуществ:
Структуру сети не возможно просмотреть через Интернет.
Надежная система регистрации и аутентификации.
Отличное соотношение цены и качества.
Простые и легко настраиваемые правила фильтрации.
Возможность создания большого числа проверок входящих пакетов.
К недостаткам можно отнести:
Относительно низкая производительность, по сравнению с фильтрующим маршрутизатором.
Довольно высокая стоимость.
Одним из важнейших элементов для защиты сети является аутентификация пользователя, то есть права на использование сервисом предоставляются только после проверки подлинности пользователя. Именно для этого процесса и должен быть настроен межсетевой экран.

Лика (01.18.2017 12:45)

Как хорошо что придумали межсетевые экраны, ведь все пользуются интернетом и всем нужна защита от атак, и что самое важное - сберечь важную информацию. Нужно не забывать и о web proxy - посреднике для загрузки контента, его польза очень велика. Работа межсетевых экранов и веб-прокси - залог защиты пользователей.

Оксана Л. (01.18.2017 12:16)

Здравствуйте! Вопрос от новичка в тематике межсетевых экранов. По специфике работы я постоянно ищу различную информацию в интернете. Периодически на тех или иных страничках появляются всплывающие экраны, которые я обычно не посещаю. Но все же время от времени мой антивирус находит на компьютере несколько вирусов, непонятно как туда попавших. В мониторинге системы отображаются процессы приложений, которых у меня и быть то не должно. Так же не всегда уверена в содержимом скачиваемых программ, хотя стараюсь посещать только проверенные ресурсы. Поможет ли мне файрвол решить проблему устанавливаемых без моего ведома приложений или скрытой деятельности уже установленных? Еще, конечно же, хотелось бы с помощью того же файрфола выявить вредоносные программы на моем компьютере. Насколько я понимаю, это можно проанализировать опосредованно при проверке исходящего трафика? Ну и также буду рада советам, какой файрвол лучше установить.

Igor Li (01.18.2017 10:05)

Для обеспечения максимальной безопасности ваших данных, которыми могут быть какие-либо корпоративные документы или информация только для служебного пользования, либо же банковские данные карт и счетов вам просто необходимо использовать все описанные в статье способы защиты. Я часто сталкивался с ситуациями, когда работа всей фирмы замирала из-за вредоносных программ, проникших во внутреннюю компьютерную сеть через интернет. И все уже наслышаны о хакерских атаках на крупные серверы и сайты, даже государственных структур. Не зря в серьезных компаниях сисадмины блокируют доступ ко всем сайтам, которые могут быть рассадником компьютерных вирусов или шпионских программ. Даже на частном компьютере обычного пользователи могут храниться пароли к банковским картам, личным страницам в соцсетях, иногда даже телефоны и адреса, а эти данные могут использоваться мошенниками для хищений ваших денег или различных лохотронов под прикрытием вашей странички в контакте например. Поэтому большинство прокси-серверов уже имеют все описанные типы защиты, которые пользователь может использовать бесплатно или за небольшую плату. Для создания такого щита против хакеров и вирусов придется потратить гораздо больше денег. Для обычного пользователя часто достаточно обычной программы с доступом к бесплатным серверам прокси, а вот крупным компаниям или организациям лучше использовать элитные прокси, которые хорошо защищены от всевозможных хакерских атак.

Светлана (01.18.2017 05:16)

Никогда бы не подумала, что буду интересоваться данной темой, но, как говорится, случай вынудил. Наша работа вплотную связана с персональными данными и мы естественно, по закону о защите персональных данных обязаны обеспечить полую надежность и конфеденциальность. Однако как раз перед новым годом, кто то из коллег потерял бдительность и система подверглась dоs-атаке! Почему то такую ситуацию никто не предусмотрел и большая часть информации была слита. Сейчас мы перенастроили прокси сервер и установили межсетевой экран, надеемся таких внештатных ситуаций больше не повторится.

Оставить Комментарий

Вы должны быть залогинены чтобы могли оставить комментарий.