Защищаемые объекты

Способ реализации

КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ

Различные возможности управления сетевым трафиком, реали­зуемые в межсетевых экранах, разные подходы производителей их реализации определяют многообразие рынка МЭ. В главе рассмот­рены схемы классификации МЭ на основе способа реализации, ти­пов защищаемых объектов и уровней модели взаимодействия от­крытых систем. Предлагаемая классификация упорядочивает знания о МЭ, и ее можно использовать при сравнении МЭ, выборе и предъявлении функциональных требований к МЭ.

По способу реализации МЭ бывают программными и аппарат­но-программными. И те, и другие имеют свои достоинства и недо­статки. Программные МЭ ориентированы на конкретную платфор­му (Windows NT Intel, Solaris Sun и др.), что дает следующие преимущества:

• возможность интеграции с другими программными продукта­ми;

• простота наращивания мощности аппаратного обеспечения;

• возможность быстрого проведения апгрейдов и «латания дыр» программного обеспечения МЭ.

К недостаткам программных МЭ можно отнести:

• уязвимость ОС, на которой базируется МЭ, может стать при­чиной нарушения ИБ;

• администратор МЭ должен хорошо знать как сам экран, так и ОС, поскольку ошибки администрирования ОС могут привести к нарушению ИБ.

, Программно-аппаратные МЭ выполняются в виде «черного ящика», конфигурируемого через интерфейсы удаленного управле­ния на основе собственных приложений либо с использованием стандартных интерфейсов (Web, SSH и др.). Основными, досто-

инствами таких МЭ являются простота эксплуатации и более вы­сокая производительность и надежность по сравнению с программ­ными МЭ.

Технология МЭ нашла широкое применение не только непос­редственно в МЭ, но и при реализации таких технологий, как раз­деление доступа (dial-up, DSL sharing connection), маршрутизации, VPN. Продукты, реализующие эти технологии, также попадают под определение МЭ, но имеют другое основное функциональное назначение, чем экранирование сетей, и будут рассмотрены ниже.

По типам защищаемых объектов различают МЭ: сегментные, встраиваемые и персональные (рис. 3.1). Сегментные МЭ пред­назначены для контроля сетевых потоков между двумя и более сетями, т. е. выполняют защиту сетей. Встраиваемые МЭ уста­навливаются на прикладных серверах и предназначены для защи­ты этих серверов. Персональные МЭ защищают рабочие станции пользователей от внешних сетевых угроз и сетевых троянских про­грамм.

Рис.3.1. Классификация МЭ по типу защищаемых объектов