S.5. Межсетевые экраны

Межсетевой экран (firewall) -это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключени­ем разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсете­вой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку опре­деленного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране мож­но настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсете­вые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настро­ить разрешенный входящий трафик для всех внутренних систем орга­низации. Это не устраняет потребность в обновлении и настройке сис­тем, но позволяет снизить вероятность неправильного конфигурирова­ния одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Существуют два основных типа межсетевых экранов: межсете­вые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией.

В их основе лежат различные принципы работы, но при правиль­ной настройке оба типа устройств обеспечивают правильное выпол­нение функций безопасности, заключающихся в блокировке запре­щенного трафика.

Межсетевые экраны прикладного уровня. Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой про­граммные пакеты, базирующиеся на операционных системах общего назначения.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него (рис. 30). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутрен­ний интерфейс межсетевого экрана. Межсетевой экран принимает со­единение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам полигики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой- сервером.

Межсетевые экраны прикладного уровня используют модули дос­тупа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед от­правкой трафика получателю. Таким образом, межсетевой экран защи­щает системы от атак, выполняемых посредством приложений.

Межсетевой экран декодирует пакет и анализирует протокол на соответствие правилам политики.

Если трафик разрешен, межсетевой экран инициирует новое соединение с сервером под видом клиента.

Системасервер ►

Межсетевой экран прикладного уровня

Межсетевой экран иниции рует новое соединение с сервером

Рис. 30. Соединения модуля доступа межсетевого экрана прикладного уровня

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на межсетевом экране, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней ад­ресации сети.

Межсетевые экраны с пакетной фильтрацией. Межсетевые эк­раны с пакетной фильтрацией могут также быть программными паке­тами, базирующимися на операционных системах общего назначения.

Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил поли­тики. Если правило не разрешает явным образом определенный тра­фик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Правила политики усиливаются посредством использования фильтр-пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию про­токола (проверка с учетом состояния).

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране (рис. 31), а на­правляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и со­стояние соединения правилами политики. Если это так, пакет переда­ется по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Сетевой экран анализирует пакет и состояние соединения на соответствие правилам политики. Если пакет разрешен, он передается напрямую серверу. Клиент передает на сервер запрос на соединение Рис. 31. Передача трафика через межсетевой экран с фильтрацией пакетов

Гибридные межсетевые экраны. Как и многие другие устройст­ва, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа.

Вследствие этого увидела свет технология модуля доступа Generic Services Proxy (GSP). GSP разработана для поддержки модулями дос­тупа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действитель­ности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.

Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространен­ных протоколов. На сегодняшний день многие межсетевые экраны с па- кегной фильтрацией поставляются с модулем доступа SMTP.

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней (что является причиной большинства «слабых мест» этих устройств), сегодня на рынке присутствуют гиб­ридные межсетевые экраны. Практически невозможно найти межсе­тевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администра­торам, отвечающим за безопасность, настраивать устройство для ра­боты в конкретных условиях.