2013-12-31
2952
Рис.8.7. Экран как средство разграничения доступа
Межсетевые экраны классифицируют следующим образом:
1) на внешние и внутренние, обеспечивающие защиту от внешней сети или
между сегментами сети;
2) по уровню фильтрации, соответствующему эталонной модели OSI ISO.
Говоря о внешних и внутренних сетевых экранах, необходимо отметить следующее. Внешние обычно имеют дело только с протоколом TCP/IP метасети Интернет. Для внутренних сетевых экранов может иметь место многопротокольность. Например, при использовании сетевой ОС Novell Netware, следует принимать во внимание протокол SPX/IPX.
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (табл.8.4).
Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
По уровню фильтрации межсетевые экраны разделяют на четыре типа:
1) межсетевые экраны с фильтрацией пакетов;
2) шлюзы сеансового уровня;
3) шлюзы прикладного уровня;
4) межсетевые экраны экспертного уровня.
Таблица 8.4
| Уровень модели OSI | Протоколы Интернет | Тип межсетевого экрана |
| 1. Прикладной | Telnet, FTP, DNS, NFS, PING, SMTP, HTTP | · Шлюз прикладного уровня · Межсетевой экран экспертного уровня |
| 2. Представления данных | ||
| 3. Сеансовый | TCP, UDP | · Шлюз сеансового уровня |
| 4. Транспортный | TCP, UDP | |
| 5. Сетевой | IP, ICMP | · Межсетевой экран с фильтрацией пакетов |
| 6. Канальный | ||
| 7. Физический |
1. Межсетевые экраны с фильтрацией пакетов (packet-filtering firewall) представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным их недостатком является уязвимость для IP-спуфинга – замены адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
2. Шлюзы сеансового уровня (circuit-level gateway) контролируют допустимость сеанса связи. Они следят за подтверждением (квитированием) связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т.е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функции трансляции сетевых адресов, которая скрывает внутренние IP-адреса, т.е. исключают
IP-спуфинг. Однако, так как системы контролируют пакеты только на сеансовом уровне, то и отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
3. Шлюзы прикладного уровня (application-level gateway) проверяют содержимое каждого проходящего через шлюз пакета и могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать. Это более совершенный и надежный тип брандмауэра, использующий программы-посредники (proxies) прикладного уровня или программы-агенты. Агенты формируются для конкретных служб Internet (HTTP, FTP, telnet и т.д.) с целью проверки сетевых пакетов на наличие достоверных данных. Однако шлюзы прикладного уровня снижают производительность системы из-за повторной обработки в программе-посреднике.
Это незаметно при работе в Internet из-за узости каналов связи, но существенно при работе во внутренней сети – intranet. К недостаткам можно добавить необходимость разработки новых программ-посредников (а значит, и дополнительные временные и экономические затраты) при внедрении новой службы Internet.
4. Межсетевые экраны экспертного уровня (stateful inspection firewall) сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И наконец, они берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что должно обеспечить более эффективную фильтрацию пакетов.
Поскольку брандмауэры экспертного уровня допускают прямое соединение между авторизованным клиентом и внешним хостом, то они оказывают меньшее влияние на производительность, чем шлюзы прикладного уровня.
