Межсетевой экран и его функции |
Межсетевым экраном называют особый программный продукт, используемый для защиты определенных частей компьютерной сети организации. Применяя межсетевой экран, можно разделить компьютерную сеть на две части и задать правила фильтрации пакетов данных при переходе из одной части в другую. Наиболее часто эта граница проводится между корпоративной сетью компании и сетью Интернет. Межсетевой экран также называют брандмауэром или файрволом (firewall). Исторически применение файрволов стало одним из первых способов защиты корпоративных сетей предприятий. В настоящее время использование сетевого экрана является одним из основных правил защиты сети. Для осуществления функций контроля межсетевого доступа файрвол должен находится между защищаемой сетью компании и потенциально враждебной внешней сетью. При этом все операции по передаче данных между этими сетями должны реализовываться только через него. Межсетевой экран дает возможность решить, как правило, две основных задачи: -- контроль и ограничение доступа из внешних источников к внутренним ресурсам сети. Ограничение доступа необходимо при подключении к корпоративной сети компании клиентов и партнеров, а также при попытках несанкционированного доступа со стороны злоумышленников. -- ограничение доступа пользователей внутренней сети к внешним ресурсам данных. Как правило, это ресурсы, не имеющие прямого отношения к выполнению сотрудниками рабочих функций. Фильтрация трафика. Смысл фильтрации потоков информации состоит в выборочном пропускании через брандмауэр случайных пакетов данных. Определение потенциально опасной информации основывается на загружаемых в файрвол правилах, которые, в свою очередь, определяются политикой безопасности, принятой в данной компании. Правила, загружаемые в файрвол, обозначают как набор фильтров, каждый из которых отвечает за определенный критерий отбора. Аутентификация пользователей. Функции, применяемые для фильтрации трафика, – определение какие пакеты данных могут быть пропущены во внутреннюю сеть, а какие нет, при помощи файрвола с тем же успехом используются и для определения уровня доступа пользователей сети. Прежде чем дать пользователю возможность доступа к определенному ресурсу, брандмауэр сначала проводит его аутентификацию (как правило, ввод логина/пароля), затем, на основании полученных данных, – авторизацию (определение прав доступа) и, сопоставляя, права доступа к ресурсу и права доступа пользователя дает возможность воспользоваться ресурсом или запрещает его использование. Трансляция сетевых адресов. Одна из наиболее важных функций файрвола. Дает возможность скрыть фактический ip-адрес компьютера, работающего в сети интернет от обнаружения. Достигается это тем, что ip-адреса всех пакетов, отсылаемых компьютерами внутренней сети, проходя через файрвол меняются на другой, стандартный и надежный. Реализация данной функции позволяет значительно снизить опасность атаки на компьютеры сети компании, так как для того, чтобы провести ее, злоумышленнику надо знать настоящий ip-адрес компьютера. Кроме этого, использование функции трансляции ip-адресов, дает возможность иметь внутри компании собственную систему адресации ПК, не зависящую от интернет. Функции посредничества. Реализуются брандмауэром при помощи специальных программ-посредников, запрещающих прямую передачу пакетов между ресурсами внешней и внутренней сети. Таким образом, при выполнении файрволом функций посредничества, при необходимости доступа из одной части сети в другую, первоначально создается соединение с программой-посредником, которая проверяет допустимость запрошенного взаимодействия и, при его допустимости, уже сама устанавливает соединение с нужным ресурсом. Далее, обмен информацией осуществляется только через эту программу-посредник. Создание такого механизма взаимодействия ресурсов дает возможность решить целый ряд задач: проверка подлинности передаваемых данных, фильтрация потока информации – поиск вирусов, шпионов и т. д., кэширование данных.
|