основы межсетевых экранов

Зачем нужен межсетевой экран

При подключении сети компании к Internet следует принять во внимание множество факторов: например, какой тип соединения сможет обеспечить требуемую полосу пропускания для предполагаемого трафика и к какому провайдеру подключиться. Где-то в вашем плане, несомненно, будет пункт, касающийся приобретения брандмауэра. Важно понимать, что перед вами стоит не просто рутинная задача, поэтому указанная запись должна находиться в самом начале списка. Установка брандмауэра - одно из важнейших дел, которые необходимо выполнить при подключении к Internet.

Что такое межсетевой экран

Термин firewalt впервые появился в описаниях организации сетей около пяти лет назад. Прежде чем он был принят экспертами по сетевой безопасности для определения способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большего масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.

Межсетевой экран работает примерно так же: он помогает избежать риска повреждения систем или данных в вашей локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. В то время как брандмауэр в здании представляет собой всего лишь конструкцию из цементных блоков или других прочных огнеупорных материалов, межсетевой экран устроен намного сложнее.

В отечественной литературе ему соответствует термин межсетевой экран, или брандмауэр; эти термины употребляются как взаимозаменяемые. - Прим. науч. ред.

ЗАЧЕМ НУЖЕН МЕЖСЕТЕВОЙ ЭКРАН 17

Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов (packet filter), принимающими решение на основе анализа заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и внешним миром и служат в качестве посредника для некоторых сетевых служб.

Что такое proxy-сервер? Вы найдете описание этой технологии в главе 7.

Название «брандмауэр», казалось бы, относится к одному устройству или одной программе. Но во всех случаях, за исключением простейших, лучше представлять себе его как систему компонентов, предназначенных для управления доступом к вашей и внешней сетям на основе определенной политики безопасности. Термин «межсетевой экран» был принят для обозначения совокупности компонентов, которые находятся между вашей сетью и внешним миром и образуют защитный барьер так же, как брандмауэр в здании создает преграду, предотвращающую распространение огня.

В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран стоит на границе вашей сети и служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности. Вот некоторые из новых функций, которые имеются в современных брандмауэрах:

О кэширование (caching). Это свойство особенно характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;

О трансляция адреса (address translation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;

О фильтрация контента (content restriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;

О переадресация (address vectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP-адресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.

Здесь начинаются джунгли!

Internet - это потрясающее, но не слишком дружелюбное место. Со временем, по мере появления новых стандартов и технологий, ситуация может измениться. Но на этапе быстрого роста Сети будут постоянно возникать новые проблемы с технологиями и людьми, как это всегда происходит в процессе освоения новых рубежей. Так как в Internet попадаются люди отнюдь не с благими намерениями, вам следует быть в курсе текущих вопросов безопасности при подключении своей сети к Internet.

Подробное описание проблем безопасности вы найдете в главе 3.

Неприятности, с которыми вы уже, возможно, сталкивались, например компьютерные вирусы, после подключения к Internet усугубятся. Теперь вы поневоле будете не только беспокоиться о том, чтобы кто-либо из сотрудников не занес вирус на дискете, но и проверять файлы, присоединенные к сообщениям электронной почты, и загруженные демоверсии программ. Если раньше сотрудники могли злоупотреблять электронной почтой коллег по работе и всячески досаждать им, то теперь они могут делать то же самое практически по отношению к любому человеку, подключенному к Internet. Если прежде от вас не требовался жесткий контроль содержимого дисков рабочих станций и серверов компании с целью предотвращения появления на них предосудительных материалов, например порнографии, текстов, пропагандирующих насилие и т.д., то после подключения к Internet такой контроль, несомненно, станет необходимым!

Межсетевой экран и внутренняя политика безопасности

Прежде чем приниматься за разработку стратегии безопасности брандмауэра, следует сесть и подумать, что и как вы собираетесь защищать. Если ваша компания достаточно велика, она должна иметь собственную политику безопасности. Вам

Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса вам не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в вашей сети.