Типы меж­се­те­вых экра­нов и ис­поль­зу­е­мые в них технологии.

 

Бла­го­да­ря своей от­кры­той ар­хи­тек­ту­ре сеть Internet стала одним из самых удоб­ных средств ком­му­ни­ка­ции. Вме­сте с тем от­кры­тость Internet по­ро­ди­ла мно­же­ство про­блем, свя­зан­ных с без­опас­но­стью. Здесь как нель­зя лучше под­хо­дит из­ре­че­ние: «Каж­дый — за себя, толь­ко Бог — за всех». Любой име­ю­щий выход в Internet ком­пью­тер дол­жен рас­смат­ри­вать­ся как по­тен­ци­аль­ный объ­ект для атаки. Про­бле­ма осо­бен­но остро стоит в слу­чае ор­га­ни­за­ций, по­сколь­ку им необ­хо­ди­мо кон­тро­ли­ро­вать ра­бо­ту в Internet боль­шо­го ко­ли­че­ства ком­пью­те­ров и се­те­вых устройств.

Без­опас­ность при под­клю­че­нии к Internet обес­пе­чи­ва­ет­ся с по­мо­щью сле­ду­ю­щих спе­ци­а­ли­зи­ро­ван­ных средств:

· меж­се­те­вых экра­нов;

· се­те­вых ска­не­ров, при­зван­ных на­хо­дить изъ­я­ны и по­тен­ци­аль­но опас­ные участ­ки внут­ри сетей;

· сниф­фе­ров, или ана­ли­за­то­ров про­то­ко­лов, поз­во­ля­ю­щих от­сле­жи­вать вхо­дя­щий и ис­хо­дя­щий тра­фи­ки;

· средств про­то­ко­ли­ро­ва­ния со­бы­тий в сетях;

· средств по­стро­е­ния вир­ту­аль­ных част­ных сетей и ор­га­ни­за­ции за­кры­тых ка­на­лов об­ме­на дан­ны­ми.

Важ­ное место в спис­ке средств обес­пе­че­ния без­опас­но­го под­клю­че­ния к Internet за­ни­ма­ют меж­се­те­вые экра­ны (часто на­зы­ва­е­мые бранд­мау­э­ра­ми, или, по-ан­глий­ски, firewall). Со­глас­но «Ру­ко­во­дя­ще­му до­ку­мен­ту. Меж­се­те­вые экра­ны» Го­сте­х­ко­мис­сии при Пре­зи­ден­те РФ «меж­се­те­вым экра­ном на­зы­ва­ет­ся ло­каль­ное (од­но­ком­по­нент­ное) или функ­ци­о­наль­но-рас­пре­де­лен­ное сред­ство (ком­плекс), ко­то­рое ре­а­ли­зу­ет кон­троль за ин­фор­ма­ци­ей, по­сту­па­ю­щей в ав­то­ма­ти­зи­ро­ван­ную си­сте­му и/или вы­хо­дя­щей из нее, и обес­пе­чи­ва­ет за­щи­ту ав­то­ма­ти­зи­ро­ван­ной си­сте­мы по­сред­ством филь­тра­ции ин­фор­ма­ции, т. е. ана­ли­за по со­во­куп­но­сти кри­те­ри­ев и при­ня­тия ре­ше­ния об ее рас­про­стра­не­нии в (из) ав­то­ма­ти­зи­ро­ван­ной си­сте­ме». К со­жа­ле­нию, такое опре­де­ле­ние имеет че­ре­с­чур общий ха­рак­тер и под­ра­зу­ме­ва­ет слиш­ком рас­ши­рен­ное толкование.

В оби­хо­де меж­се­те­вы­ми экра­на­ми (МЭ) на­зы­ва­ют сред­ства за­щи­ты, уста­нав­ли­ва­е­мые между об­ще­до­ступ­ной (такой, как Internet) и внут­рен­ней сетью. Меж­се­те­вой экран вы­пол­ня­ет двой­ную функ­цию. Во-пер­вых, он при­зван огра­ни­чить до­ступ во внут­рен­нюю сеть со сто­ро­ны об­ще­до­ступ­ной сети за счет при­ме­не­ния филь­тров и средств аутен­ти­фи­ка­ции, чтобы зло­умыш­лен­ни­ки не могли по­лу­чить несанк­ци­о­ни­ро­ван­ный до­ступ к ин­фор­ма­ции или на­ру­шить нор­маль­ную ра­бо­ту се­те­вой ин­фра­струк­ту­ры. Во-вто­рых, МЭ слу­жит для кон­тро­ля и ре­гу­ли­ро­ва­ния до­сту­па поль­зо­ва­те­лей внут­рен­ней сети к ре­сур­сам об­ще­до­ступ­ной сети, когда те пред­став­ля­ют угро­зу без­опас­но­сти или от­вле­ка­ют со­труд­ни­ков от ра­бо­ты (пор­но­гра­фи­че­ские, иг­ро­вые, спор­тив­ные серверы).

Сей­час, прав­да, се­те­вые экра­ны уста­нав­ли­ва­ют и внут­ри кор­по­ра­тив­ных сетей, в целях огра­ни­че­ния до­сту­па поль­зо­ва­те­лей к особо важ­ным ре­сур­сам сети, на­при­мер к сер­ве­рам, со­дер­жа­щим фи­нан­со­вую ин­фор­ма­цию или све­де­ния, от­но­ся­щи­е­ся к ком­мер­че­ской тайне. Су­ще­ству­ют также пер­со­наль­ные меж­се­те­вые экра­ны, при­зван­ные ре­гу­ли­ро­вать до­ступ к от­дель­ным ком­пью­те­рам и уста­нав­ли­ва­е­мые на эти компьютеры.

Меж­се­те­вые экра­ны по по­нят­ным при­чи­нам ис­поль­зу­ют­ся для сетей TCP/IP и клас­си­фи­ци­ру­ют­ся в со­от­вет­ствии с уров­нем эта­лон­ной мо­де­ли вза­и­мо­дей­ствия от­кры­тых си­стем (се­те­вой мо­де­лью) OSI. Од­на­ко такая клас­си­фи­ка­ция, в силу ряда об­сто­я­тельств носит до­ста­точ­но услов­ный ха­рак­тер. Во-пер­вых, се­те­вая мо­дель сетей TCP/IP преду­смат­ри­ва­ет толь­ко 5 уров­ней (фи­зи­че­ский, ин­тер­фейс­ный, се­те­вой, транс­порт­ный и при­клад­ной), в то время как мо­дель OSI — 7 уров­ней (фи­зи­че­ский, ка­наль­ный, се­те­вой, транс­порт­ный, се­ан­со­вый, пре­зен­та­ци­он­ный и при­клад­ной). По­это­му уста­но­вить од­но­знач­ное со­от­вет­ствие между этими мо­де­ля­ми да­ле­ко не все­гда воз­мож­но. Во-вто­рых, боль­шин­ство вы­пус­ка­е­мых меж­се­те­вых экра­нов обес­пе­чи­ва­ют ра­бо­ту сразу на несколь­ких уров­нях иерар­хии OSI. В-тре­тьих, неко­то­рые экра­ны функ­ци­о­ни­ру­ют в ре­жи­ме, ко­то­рый труд­но со­от­не­сти с ка­ким-то стро­го опре­де­лен­ным уров­нем иерархии.

Тем не менее под­дер­жи­ва­е­мый уро­вень се­те­вой мо­де­ли OSI яв­ля­ет­ся ос­нов­ной ха­рак­те­ри­сти­кой при клас­си­фи­ка­ции меж­се­те­вых экра­нов. Раз­ли­ча­ют сле­ду­ю­щие типы меж­се­те­вых экранов:

· управ­ля­е­мые ком­му­та­то­ры (ка­наль­ный уро­вень);

· се­те­вые филь­тры (се­те­вой уро­вень);

· шлюзы се­ан­со­во­го уров­ня (circuit-level proxy);

· по­сред­ни­ки при­клад­но­го уров­ня;

· ин­спек­то­ры со­сто­я­ния (stateful inspection), пред­став­ля­ю­щие собой меж­се­те­вые экра­ны се­ан­со­во­го уров­ня с рас­ши­рен­ны­ми воз­мож­но­стя­ми.

Су­ще­ству­ет также по­ня­тие «меж­се­те­вой экран экс­перт­но­го уров­ня». Такие МЭ обыч­но ба­зи­ру­ют­ся на по­сред­ни­ках при­клад­но­го уров­ня или ин­спек­то­рах со­сто­я­ния, но обя­за­тель­но ком­плек­ту­ют­ся шлю­за­ми се­ан­со­во­го уров­ня и се­те­вы­ми филь­тра­ми. К МЭ экс­перт­но­го клас­са от­но­сят­ся почти все име­ю­щи­е­ся на рынке ком­мер­че­ские брандмауэры.

Меж­се­те­вые экра­ны могут опи­рать­ся на один из двух вза­и­мо­ис­клю­ча­ю­щих прин­ци­пов об­ра­бот­ки по­сту­па­ю­щих па­ке­тов дан­ных. Пер­вый прин­цип гла­сит: «Что явно не за­пре­ще­но, то раз­ре­ше­но». Т. е. если МЭ по­лу­чил пакет, не под­па­да­ю­щий не под одно из при­ня­тых огра­ни­че­ний или не иден­ти­фи­ци­ро­ван­ный пра­ви­ла­ми об­ра­бот­ки, то он пе­ре­да­ет­ся далее. Про­ти­во­по­лож­ный прин­цип — «Что явно не раз­ре­ше­но, то за­пре­ще­но» — га­ран­ти­ру­ет го­раз­до боль­шую за­щи­щен­ность, но обо­ра­чи­ва­ет­ся до­пол­ни­тель­ной на­груз­кой на ад­ми­ни­стра­то­ра. В этом слу­чае внут­рен­няя сеть из­на­чаль­но пол­но­стью недо­ступ­на, и ад­ми­ни­стра­тор вруч­ную уста­нав­ли­ва­ет раз­ре­шен­ные при об­мене дан­ны­ми с об­ще­до­ступ­ной сетью се­те­вые ад­ре­са, про­то­ко­лы, служ­бы и операции.

Пра­ви­ла об­ра­бот­ки ин­фор­ма­ции во мно­гих меж­се­те­вых экра­нах экс­перт­но­го клас­са могут иметь мно­го­уров­не­вую иерар­хи­че­скую струк­ту­ру. На­при­мер, они могут поз­во­лять за­дать такую схему: «Все ком­пью­те­ры ло­каль­ной сети недо­ступ­ны извне, за ис­клю­че­ни­ем до­сту­па к сер­ве­ру A по про­то­ко­лу ftp и к сер­ве­ру B по про­то­ко­лу telnet, од­на­ко при этом за­пре­щен до­ступ к сер­ве­ру A с опе­ра­ци­ей PUT сер­ви­са ftp».

Меж­се­те­вые экра­ны могут вы­пол­нять над по­сту­па­ю­щи­ми па­ке­та­ми дан­ных одну из двух опе­ра­ций: про­пу­стить пакет далее (allow) или от­бро­сить пакет (deny). Неко­то­рые МЭ имеют еще одну опе­ра­цию — reject, при ко­то­рой пакет от­бра­сы­ва­ет­ся, но от­пра­ви­те­лю со­об­ща­ет­ся по про­то­ко­лу ICMP о недо­ступ­но­сти сер­ви­са на ком­пью­те­ре-по­лу­ча­те­ле ин­фор­ма­ции. В про­ти­во­вес этому при опе­ра­ции deny от­пра­ви­тель не ин­фор­ми­ру­ет­ся о недо­ступ­но­сти сер­ви­са, что яв­ля­ет­ся более безопасным.

Ниже мы рас­смот­рим до­сто­ин­ства и недо­стат­ки каж­до­го типа меж­се­те­во­го экра­на более подробно.