Межсетевой экран, который еще именуют, как Firewall или Брандмауэр состоит из программных продуктов, которые призваны надежно защищать передаваемую информацию.
По сути, МЭ разделяет сеть на два узла (в редких случаях на большее количество) и при дальнейшем соблюдении определенных правил и условий, производится передача данных и файлов между этими двумя узлами. Как правило, подобные программные продукты размещаются в корпоративной (локальной) и глобальной сети.
Функции межсетевого экрана
Для того, чтобы надежно защищать корпоративную сеть от несанкционированных подключений и перехвата пакетов информации, фаервол должен быть размещен между защищаемой корпоративной сетью и внешней, которую принято считать потенциально опасной. При этом стоит сразу же учесть тот факт, что абсолютно все операции по взаимодействию между этими двумя сетями должны однозначно проходить через сетевой экран, только этот факт поможет защитить надежно персональную информацию.
Межсетевой экран защищает множество узлов, которые входят в состав локальной сети и призван реализовать:
- разграничение прав пользователя для посещения лишь определенных внешних ресурсов;
- невозможность подключения и получения доступа к внутренней информации сторонних пользователей, лишь определенные люди могут подключаться.
Классы межсетевых экранов
На данный момент отсутствуют какие-то упорядоченные виды классификации МЭ, при этом они различаются по определенным признакам и параметрам:
- По используемой МЭ технологии (proxy, statefull inspection).
- По принципу работы на уровнях модели OSI (экранирующий транспорт, маршрутизатор, прикладной шлюз и шлюз на экспертном уровне).
- По исполнению (программный, аппаратно-программный).
Работа межсетевого экрана осуществляется по определенным правилам, которые изначально устанавливаются администратором. Производится отбор передаваемых пакетов информации. Если передача будет ограничена правилами, операция будет прекращена, в иной же ситуации определенная информация или файлы будут передаваться конечному адресату. По мере того, насколько руководство компании будет предпринимать попытки защититься от несанкционированного доступа, подобные правила будут наращиваться. Подобные фильтры работают последовательно и схематически ее можно описать следующим образом ( см. скриншот)
Типы межсетевых экранов
Фаерволы можно разделить на три типа, которые имеют свои преимущества и недостатки. Рассмотрим каждый из них в отдельности:
- Пакетные фильтры.
Подобные МЭ принимают решение, отбросить или пропустить передаваемый пакет. С его помощью просматриваются последовательно определенные параметры, а уж затем принимается решение. Алгоритм действия можно описать следующим образом.
Среди положительных моментов данного МЭ можно выделить следующие:
- небольшая стоимость по сравнению с другими типами;
- гибкость при установке правил фильтрации;
- оперативная работа, то есть минимальный порог задержки при передаче пакета.
При этом стоит учесть и недостатки, которые в реальности не дают возможности реализации этого типа в больших корпорациях, а именно:
- маршрутизация локальной сети производится извне (непосредственно из глобальной сети);
- познания в создании и написании фильтров (правил) должны быть на наивысшем уровне;
- аутентификация при помощи IP-адреса довольно просто обманывается при помощи спуфинга;
- при сбое в работе фаервола, фактически все рабочие станции и сервера перестают быть доступными или становятся полностью уязвимыми перед угрозами;
- отсутствие аутентификации на пользовательском уровне.
- Серверы прикладного уровня.
Подобные типы межсетевых экранов используют в начальной и конечной точке однотипные сервисы, например, FTP, Telnet и пр. С их помощью реализуется передача данных для конкретного сервиса. Иными словами, пакет отправляется от клиента, поступает на брандмауэр, после чего данные передаются в конечный пункт назначения. Применение подобных МЭ позволяют решить важные задачи, а именно:
- скрывать заголовки пакетов от юзеров извне;
- производить аутентификацию на пользовательском уровне;
- уровень безопасности очень высокий, ведь весь входящий и исходящий трафик контролируется прикладными программами и подключение извне фактически невозможно.
- Серверы уровня соединения.
Подобные брандмауэры создают соединение с определенным портом одного из сервисов при помощи транслятора TCP-соединения, вследствие чего, передаваемый пакет будет получен лишь определенным пользователем (рабочей станцией). Этот тип МЭ является наиболее надежным, однако стоит учесть тот факт, что стоимость подобного фаервола довольно высокая и не каждая компания готова тратить такие деньги. К тому же, время передачи пакетов будет существенно больше, нежели в двух других вышеописанных межсетевых экранах.
Напоследок стоит отметить, что одного лишь брандмауэра будет мало для надежной защиты корпоративной или локальной сети. Помимо этого инструмента рекомендуется использовать и иные, что в комплексе поможет реализовать действительно неплохую защиту от несанкционированного доступа и потери персональных данных.