Более подробную информацию о создании политики безопасности брандмауэра см. в главе 4.

Технологии межсетевых экранов

Существуют два основных метода создания брандмауэра: фильтрация пакетов и proxy-серверы. Некоторые администраторы предпочитают другие методы, но они обычно являются разновидностями этих двух. Каждый метод имеет свои преимущества и недостатки, поэтому для надежной защиты сети важно хорошо понимать, как они работают.

Фильтрация пакетов

Фильтры пакетов (packet filters) были первым типом брандмауэров для защиты сети при доступе в Internet. Маршрутизаторы настраивались соответствующим образом, чтобы пропускать или блокировать пакеты. Поскольку маршрутизаторы просматривают только заголовки IP-пакетов, их возможности ограничены. Так, простой фильтр пакетов нетрудно сконфигурировать таким образом, чтобы он разрешал или запрещал применение FTP, но нельзя ограничить отдельные функции этого протокола, например использование команд GET или PUT.

Вы сможете больше узнать о брандмауэрах с фильтрацией пакетов из главы 5.

Применение шлюзов

Фильтр пакетов принимает решения только на основе информации из заголовка пакета, а для создания более сложных межсетевых экранов служат proxy-серверы.

Более подробную информацию о proxy-серверах и шлюзах см. в главе 7.

О разрешить все действия, не запрещенные специально; О запретить все действия, не разрешенные специально.

Я рекомендую вам придерживаться второй стратегии. Почему? Рассуждая логически, гораздо проще определить небольшой список разрешенных действий, чем намного больший перечень запрещенных. Кроме того, поскольку новые протоколы и службы разрабатываются достаточно часто, а Internet продолжает расти, вам не придется постоянно добавлять новые правила, чтобы предотвратить появление дополнительных проблем. Новые разработки не нарушат вашу безопасность, и вам не надо будет ничего делать до принятия решения о разрешении на работу нового протокола или службы после тщательного анализа возникающих при этом угроз безопасности.

ВЫБОР МЕЖСЕТЕВОГО ЭКРАНА 23

............„,„„........ , А,„

Шлюз приложений (application gateway), или proxy-сервер (application proxy), -это программа, которая выполняется на брандмауэре и перехватывает трафик приложений заданного типа. Она способна, например, перехватывать запросы пользователей из локальной сети, а затем осуществлять соединение с сервером, расположенным за ее пределами. При этом внутренний пользователь никогда не подключается к внешнему серверу напрямую. Вместо этого proxy-сервер служит в качестве посредника между клиентом и сервером, передавая информацию от одного к другому и обратно. Преимущество такого подхода состоит в том, что ргоху-сервер можно запрограммировать на пропускание или блокировку трафика на основе сведений, содержащихся внутри пакета, а не только в его заголовке. Это значит, что ргоху-сервер понимает основные методы взаимодействия, используемые определенной службой, и его удается настроить так, чтобы он разрешал или запрещал доступ к функциональным возможностям этой службы, а не просто блокировал соединение в соответствии с номера порта, как это делает фильтр пакетов.

Другие компоненты межсетевого экрана

Фильтр пакетов и ргоху-сервер - основные методы создания брандмауэров. Более сложной для-изучения темой является их настройка и применение в них различных устройств. В разговоре о брандмауэрах вы будете часто слышать термины укрепленный компьютер (bastion host), «беззащитный» компью7пер (sacrificial host) и демилитаризованная зона (demilitarized zone, DMZ). Ниже мы внимательно рассмотрим их конфигурацию, чтобы вам было проще определить, какие из них включить в свой межсетевой экран.

Стратегии, базирующиеся на укрепленном компьютере, подробнее описаны в главе 4.

Детальное обсуждение применения укрепленного компьютера вы можете найти в главе 6.

Выбор межсетевого экрана

Брандмауэры на заре своего существования обычно представляли собой маршрутизатор, настроенный для работы в качестве фильтра пакетов (пропускающего или блокирующего пакеты на основе информации в их заголовках) и базы правил, созданной администратором сети. По мере того как функциональность брандмауэров росла, все большее их число реализовалось в виде профамм, выполнявшихся на рабочих станциях или серверах. Последнее поколение брандмауэров - это устройства, которые иногда называют аппаратными брандмауэрами (firewall appliances). Они чаще всего являются набором специализированных программ, установленных в стандартной операционной системе, например в максимально урезанной версии UNIX. Некоторые производители разрабатывают собственные операционные

системы, поскольку знают, что слабости коммерческих операционных систем хорошо известны хакерам.

Чтобы больше узнать об аппаратных брандмауэрах, доступных на рынке, см. главу 20.

Какой межсетевой экран вам следует предпочесть для защиты своей сети? Так же, как и в других случаях, вы должны делать выбор на основе требований к безопасности сети и функциональных возможностей различных брандмауэров. Безусловно, надо принимать во внимание его стоимость и, разумеется, расходы на поддержку. Постарайтесь убедить руководство в важности требований, предъявленных вами к брандмауэру, чтобы на приобретение выделили дополнительные средства.

Если сотрудники вашей службы сетевой поддержки обладают высокой квалификацией, то не исключено, что для вас будет лучше создать собственный брандмауэр, воспользовавшись уже имеющимися маршрутизаторами и серверами. Если же вы работаете в небольшой компании, которая впервые подключается к Internet, и не имеете опыта создания межсетевых экранов, стоит обратиться к одному из производителей программных и/или аппаратных брандмауэров, которые предлагают также услуги по его установке и поддержке.

Программный или аппаратный? Создавать самостоятельно или покупать? Читая эту книгу, вы будете все отчетливее понимать, как работают различные брандмауэры, сможете грамотно ставить вопросы и принимать взвешенные решения. Обязательно привлеките к процессу принятия решения ключевых пользователей и менеджеров, хорошо знакомых с повседневной работой вашей сети. Технический персонал может перечислить протоколы и приложения, для которых нужно сделать исключение в политике безопасности межсетевого экрана. Чем больше предварительной информации вы соберете, тем удачнее будет ваш выбор.

Операционные системы

На брандмауэре необязательно иметь ту же систему, что и на серверах или рабочих станциях. Например, на рабочих станциях и серверах может быть установлена система Windows NT. Означает ли это, что на брандмауэре тоже необходима Windows NT, если вы хотите организовать доступ клиентов в Internet посредством proxy-серверов? Нет.

Следует выбирать брандмауэр на основе его функциональных возможностей по обеспечению требований политики безопасности вашей сети.

Важно хорошо понимать принципы работы межсетевого экрана и аккуратно настраивать его. Иначе говоря, требуется, чтобы вы были хорошо знакомы и с его операционной системой. Если вы не понимаете, как функционируют операционная система, ее механизмы безопасности и инструменты для работы с ними.