Читать «Безопасность информационных систем. Учебное пособие» онлайн - страница 42

Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер – это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например,

Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT – Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).

Существует ряд классификаций межсетевых экранов по различным критериям:

1. В зависимости от охвата контролируемых потоков данных.

• Традиционный межсетевой экран – программа, установленная на шлюзе (сервере переедающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. Основная задача такого брандмауэра – предотвращение несанкционированного доступа во внутреннюю сеть организации.

• Персональный межсетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.

• Работающие на сетевом уровне – фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором.

• Работающие на сеансовом уровне – отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP. Такие пакеты часто используются в злонамеренных операциях: сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т. д.

• Работающие на уровне приложений – фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Передача потенциально опасной и нежелательной информации блокируется на основании политик и настроек.

3. В зависимости от отслеживания активных соединений.

• Stateless (простая фильтрация) – не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил.

• Stateful (фильтрация с учетом контекста) – отслеживают текущие соединения и пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.