Межсетевым экраном называют особый программный продукт, используемый
для защиты определенных частей компьютерной сети организации. Применяя
межсетевой экран, можно разделить компьютерную сеть на две части и
задать правила фильтрации пакетов данных при переходе из одной части в
другую. Наиболее часто эта граница проводится между корпоративной сетью
компании и сетью Интернет. Межсетевой экран также называют брандмауэром
или файрволом (firewall). Исторически применение файрволов стало одним
из первых способов защиты корпоративных сетей предприятий. В настоящее
время использование сетевого экрана является одним из основных правил
защиты сети.
Для осуществления функций контроля межсетевого доступа файрвол
должен находится между защищаемой сетью компании и потенциально
враждебной внешней сетью. При этом все операции по передаче данных
между этими сетями должны реализовываться только через него. Межсетевой экран дает возможность решить, как правило, две основных задачи:
--
контроль и ограничение доступа из внешних источников к внутренним
ресурсам сети. Ограничение доступа необходимо при подключении к
корпоративной сети компании клиентов и партнеров, а также при попытках
несанкционированного доступа со стороны злоумышленников.
--
ограничение доступа пользователей внутренней сети к внешним ресурсам
данных. Как правило, это ресурсы, не имеющие прямого отношения к
выполнению сотрудниками рабочих функций.
Межсетевой экран
способен выполнять большое количество разных функций по обеспечению
информационной безопасности. В основном, его функционал зависит от
поставленных перед ним администратором сети задач.
Фильтрация
трафика. Смысл фильтрации потоков информации состоит в выборочном
пропускании через брандмауэр случайных пакетов данных. Определение
потенциально опасной информации основывается на загружаемых в файрвол
правилах, которые, в свою очередь, определяются политикой безопасности,
принятой в данной компании. Правила, загружаемые в файрвол, обозначают
как набор фильтров, каждый из которых отвечает за определенный критерий
отбора.
Аутентификация пользователей. Функции, применяемые для
фильтрации трафика, – определение какие пакеты данных могут быть
пропущены во внутреннюю сеть, а какие нет, при помощи файрвола
с тем же успехом используются и для определения уровня доступа
пользователей сети. Прежде чем дать пользователю возможность доступа к
определенному ресурсу, брандмауэр сначала проводит его аутентификацию
(как правило, ввод логина/пароля), затем, на основании полученных
данных, – авторизацию (определение прав доступа) и, сопоставляя, права
доступа к ресурсу и права доступа пользователя дает возможность
воспользоваться ресурсом или запрещает его использование.
Трансляция
сетевых адресов. Одна из наиболее важных функций файрвола. Дает
возможность скрыть фактический ip-адрес компьютера, работающего в сети
интернет от обнаружения. Достигается это тем, что ip-адреса всех
пакетов, отсылаемых компьютерами внутренней сети, проходя через файрвол
меняются на другой, стандартный и надежный. Реализация данной функции
позволяет значительно снизить опасность атаки на компьютеры сети
компании, так как для того, чтобы провести ее, злоумышленнику надо
знать настоящий ip-адрес компьютера. Кроме этого, использование функции
трансляции ip-адресов, дает возможность иметь внутри компании
собственную систему адресации ПК, не зависящую от интернет.
Функции
посредничества. Реализуются брандмауэром при помощи специальных
программ-посредников, запрещающих прямую передачу пакетов между
ресурсами внешней и внутренней сети. Таким образом, при выполнении
файрволом функций посредничества, при необходимости доступа из одной
части сети в другую, первоначально создается соединение с
программой-посредником, которая проверяет допустимость запрошенного
взаимодействия и, при его допустимости, уже сама устанавливает
соединение с нужным ресурсом. Далее, обмен информацией осуществляется
только через эту программу-посредник. Создание такого механизма
взаимодействия ресурсов дает возможность решить целый ряд задач:
проверка подлинности передаваемых данных, фильтрация потока информации
– поиск вирусов, шпионов и т.д., кэширование данных.
