Межсетевое экранирование
Как было показано выше, использование сети Интернет связано с определенными рисками ИБ. Сети организаций, подключенные к Интернет без использования специальных мер защиты, становятся полноценными ее членами, а значит, и являются потенциальными объектами воздействий злоумышленников. При непосредственном подключении сети к Интернет злоумышленник может без особых трудностей выполнить следующие действия (рис. 1.2):
• получить информацию об адресной структуре сети и пространстве имен DNS;
• установить типы и версии используемого сетевого ПО (сетевое оборудование, операционные системы, прикладные и служебные сервисы);
• получить информацию о пользователях сети;
• попытаться осуществить несанкционированное подключение к информационным ресурсам сети;
• вызвать отказ в обслуживании легальных пользователей.
Кроме явных, т. е. непосредственно направленных на сеть организации, внешних угроз ИБ, существуют угрозы, связанные с неумышленным распространением зловредного программного кода самими сотрудниками организации. К зловредному программному коду относят вирусы, троянские программы, «опасные» компоненты прикладных протоколов.
В большинстве случаев подключение локальных сетей к Интернет (и вообще сетей между собой) осуществляется таким
образом, что в точке соединения сетей существует возможность контроля всего сетевого трафика, проходящего между этими сетями. Исключение составляет случай, когда локальная сеть одновременно подключена к Интернет более чем одним соединением, например, для резервирования каналов связи или повышения пропускной способности.
МЭ, будучи первым эшелоном обороны, позволяет значительно уменьшить, а в некоторых случаях и полностью исключить зону возможных рисков при подключении к потенциально опасным сетям, таким как Интернет (рис. 1.3 и 1.4). В идеальном случае МЭ должен блокировать все угрозы ИБ, имеющие место в Интернет, на своем внешнем сетевом интерфейсе.
Под контролем трафика понимается возможность его блокирования (запрещения), разрешения или изменения. Такие действия и выполняет МЭ, обеспечивая защиту («экранирование») сети.
Говоря о МЭ, прежде всего подразумевают что они используются в Интернет, которая базируется на стеке протоколов TCP/IP. Сети на основе протокола IP являются сетями с коммутацией пакетов. Пакеты в таких сетях выступают единицей передачи данных между участниками сетевого обмена. В самом общем случае,
МЭ выполняет фильтрацию сетевых пакетов согласно некоторым правилам. Но как будет показано далее, перед принятием решения о судьбе пакета современные МЭ выполняют более сложную проверку.
Межсетевой экран представляет собой программный, аппаратный или программно-аппаратный комплекс, реализующий функции фильтрации сетевого трафика (информационных потоков) между двумя (или более) автоматизированными системами по некоторому набору правил, определяемых политикой безопасности защищаемой сети (рис. 1.5).
Другими словами, МЭ - это компонент сетевой инфраструктуры, устанавливающий барьер безопасности между сетями или сетевыми сегментами. МЭ представляет собой устройство, частично реализующее принятую политику безопасности сети организации. Межсетевой экран разделяет физически и логически две и более, как правило, IP-сети на сети с различными политиками безопасности. В большинстве случаев МЭ разделяет две сети, одна из которых является сетью защищаемой организации, а другая - Интернет.