SHPORA.net :: PDA | |
Main FAQ гуманитарные науки естественные науки математические науки технические науки Применение брандмауэров Брандмауэр представляет собой барьер между двумя сетями - в большинстве случаев между внутренней сетью, часто называемой защищенной (trusted network), и внешней, незащищенной сетью (untrusted network), в данном случае Internet. В брандмауэре входящие и исходящие пакеты проверяются на соответствие комплексу правил, определенных администратором, а затем в зависимости от результатов проверки они либо пересылаются по назначению, либо блокируются. В большинстве современных брандмауэров используется один или более из трех способов проверки пакетов. Во многих маршрутизаторах применяется распространенный в брандмауэрах метод, называемый фильтрацией пакетов, который основан на анализе адресов источника и приемника, а также портов входящих TCP- и UDP-пакетов; решение о пересылке или блокировании сообщений принимается на основе набора заранее определенных правил. Фильтры пакетов довольно дешевы, прозрачны для пользователей, а их влияние на пропускную способность сети пренебрежимо мало. Однако настройка конфигурации пакетных фильтров представляет собой относительно сложную процедуру. Еще одна проблема, связанная с фильтрами пакетов, это их уязвимость для IP-спуфинга (IP spoofing), приема, применяемого хакерами для получения доступа к корпоративным сетям путем замены адресов IP (Internet Protocol) в заголовках пакетов на допустимые. Более совершенный и надежный тип брандмауэра - шлюз прикладного уровня. В большинстве таких систем, в том числе в популярном семействе продуктов Eagle фирмы Raptor и изделии Gauntlet компании Trusted Information Systems, используются программы-посредники (proxies) прикладного уровня, называемые агентами. Эти программы, составленные для конкретных служб Internet, таких, как HTTP, FTP и telnet, работают на сервере с двумя сетевыми соединениями и выполняют роль сервера для клиента и роль клиента для сервера приложений. Поскольку программы-посредники прикладного уровня служат для проверки сетевых пакетов на наличие достоверных данных, специфических для конкретной программы, они считаются в целом более надежным средством защиты, нежели фильтры пакетов. В большинстве брандмауэров - шлюзов прикладного уровня имеется функция, получившая название трансляции сетевых адресов (network address translation), которая скрывает внутренние IP-адреса от пользователей, находящихся за пределами защищенной сети. Один из основных недостатков шлюзов прикладного уровня - снижение уровня производительности из-за повторной обработки в программе-посреднике. Второй недостаток заключается в том, что, возможно, придется в течение нескольких месяцев ждать от поставщика брандмауэра выпуска программы-посредника прикладного уровня для новой службы Internet, такой, как RealAudio. Но, как правило, возможности внешнего канала связи с узкой полосой пропускания будут исчерпаны прежде, чем ресурсы брандмауэра. При использовании программ-посредников прикладного уровня внутри учреждения, то следует обратить внимание на быстродействующие аппаратные решения, например PIX Firewall фирмы Cisco или Seattle Software компании Firebox. В качестве альтернативы можно рассмотреть возможность инсталляции программы-брандмауэра на многопроцессорной системе. Третий тип технологии брандмауэров, названный компанией Check Point Software Technologies комбинированным (stateful inspection), реализован в пакетах Firewall-1 компании Check Point, PIX Firewall фирмы Cisco, ON Guard фирмы ON Technology и Firewall/Plus фирмы Network-1. Как и при использовании метода фильтрации пакетов, сначала происходит перехват пакетов на сетевом уровне, однако затем пакеты анализируются целиком, их содержимое сравнивается с известными последовательностями битов (состояниями) проверенных пакетов. Комбинированный метод, как правило, имеет немного более высокую производительность, чем у программ - посредников прикладного уровня, однако вопрос о том, обеспечивает ли он такую же степень безопасности или чуть менее надежен, остается открытым. Крупные поставщики брандмауэров применяют в своих продуктах дополнительные методы защиты информации и заключают партнерские соглашения с другими поставщиками средств защиты, с тем чтобы предложить потребителям исчерпывающее решение проблемы безопасности в Internet. Большинство таких функциональных средств обсуждается ниже. Среди них шифрование данных, аутентификация, защита от вирусов и плохо отлаженных апплет Java и ActiveX, загружаемых из сети, и даже равномерное распределение нагрузки между серверами. Если вы только приступаете к делу, то обратите внимание, какой подход к построению надежной системы защиты информации избран вашим поставщиком. |