Межсетевые экраны нового поколения

Межсетевой экран, сетевой экран тут — программный либо программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Среди задач, которые решают межсетевые экраны, стержневой является охрана секций сети либо отдельных хостов от несанкционированного доступа с применением уязвимых мест в протоколах сетевой модели OSI либо в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают либо воспрещают трафик, сопоставляя его колляции с заданными образцами.

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для охраны внутренних хостов от атак извне. Впрочем атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост размещен в той же сети, трафик не пересечёт рубеж сетевого периметра, и межсетевой экран не будет задействован. Следственно в реальное время межсетевые экраны размещают не только на границе, но и между разными сегментами сети, что обеспечивает добавочный ярус безопасности.

Фильтрация трафика осуществляется на основе комплекта заранее сконфигурированных правил, которые именуются ruleset. Комфортно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Всякий из фильтров предуготовлен для интерпретации отдельного правила. Последовательность правил в комплекте значительно влияет на эффективность межсетевого экрана. Скажем, многие межсетевые экраны ступенчато сопоставляют трафик с правилами до тех пор, пока не будет обнаружено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему числу трафика, следует располагать как дозволено выше в списке, увеличивая тем самым эффективность.

Существует два правила обработки поступающего трафика. 1-й правило гласит: «Что очевидно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передаётся дальше. Противоположный правило — «Что очевидно не разрешено, то запрещено» — гарантирует значительно огромную защищённость, так как он воспрещает каждый трафик, тот, что очевидно не разрешён правилами. Впрочем данный правило оборачивается дополнительной нагрузкой на менеджера.

В финальном счёте межсетевые экраны исполняют над поступающим трафиком одну из 2-х операций: пропустить пакет дальше (allow) либо отбросить пакет (deny). Некоторые межсетевые экраны имеют ещё одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается о недоступности обслуживания, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности обслуживания, что является больше безвредным.

До сих пор не существует цельной и общепринятой систематизации межсетевых экранов. Впрочем в большинстве случаев поддерживаемый ярус сетевой модели OSI является стержневой колляцией при их систематизации. Рассматривая данную модель, различают следующие типы межсетевых экранов:

Управляемые коммутаторы.
Пакетные фильтры.
Шлюзы сеансового яруса.
Посредники прикладного яруса.
Инспекторы состояния.