Межсетевые экраны

Программы, выполняющие фильтрацию пакетов на основе служебных данных сетевого и транспортного уровня, называются брандмауэрами (они же — файрволы, от англ. Firewall — “огненная стена”, “огнеупор”, межсетевые экраны). Брандмауэрами также называют специализированные узлы сетей, обеспечивающие с помощью таких средств взаимодействие между защищаемой сетью и всеми остальными.

Исходным основным компонентом брандмауэров являются пакетные фильтры — программные средства, разрешающие или запрещающие обработку пакетов данных при отправке или получении из сети. Современные пакетные фильтры используют для фильтрации данные основных протоколов сети Интернет — IP, TCP и UDP.

Фильтрация данных брандмауэрами осуществляется на основе правил, оговаривающих параметры пакетов. Правила могут быть разрешающими и запрещающими.

Современные брандмауэры — сложные и многофункциональные комплексы программ, задача которых — обеспечение безопасного взаимодействия сетей. Они содержат несколько компонентов, но основным до сих пор является пакетный фильтр.

Кроме пакетного фильтра, в состав современных брандмауэров часто входят:

 прокси-сервер (Proxy) — это программа-посредник, обрабатывающая запросы на прикладном уровне, в рамках конкретного протокола; например, HTTP. Применение таких программ позволяет фильтровать пакеты на основе их содержания, контролировать доступ к определенным ресурсам;

— средства организации Virtual Private Network (VPN); этот компонент брандмауэров позволяет пользователям, работающим удаленно (через небезопасные каналы), установить защищенное (шифрованием) соединение с внутренней сетью;

— элементы систем обнаружения атак;

— средства протоколирования обрабатываемых данных;

— средства фильтрации и проверки исходящих данных (применяются для предотвращения утечек существенных данных).

Для защиты отдельных узлов сети (как правило, личных компьютеров) применяют персональные брандмауэры. В отличие от брандмауэров, разграничивающих именно сети, эти программы выполняют защиту отдельного узла.

Как правило, программы такого класса выполняют следующие основные задачи:

1. Контролируют обращения от “внешних” адресов к локальной машине. Неразрешенные правилами соединения отбрасываются.

2. Контролируют обращения отдельных программ к сети. Программе может быть запрещена отправка данных.

3. Контролируют содержимое входящих данных, руководствуясь протоколом передачи. Это позволяет блокировать прием и передачу нежелательного содержимого (например, рекламы).

4. Дополнительно такие программы могут обеспечивать взаимодействие с сетями по защищенному (шифрованному) каналу.

Помимо этих функций, современные персональные брандмауэры выполняют функции кэширования некоторых видов запросов (DNS), фильтрацию рекламного и вредоносного содержимого (в частности, внедренного в web-страницы), защиту электронной почты от активных вложений.

Персональный брандмауэр — необходимый компонент любого компьютера, работающего с глобальными сетями. Тот или иной продукт этого типа входит в комплект любой пользовательской операционной системы.

Примеры программных продуктов:

Agnitum Outpost, Symantec Firewall, ZoneAlarm