Межсетевые экраны

Классификация

Межсетевой экран (МЭ, файрвол, брандмауэр) — сетевое средство защиты информации, реализующее различные механизмы контроля входящего и исходящего трафика. Они покрывают пять уровней модели OSI и обычно используются в сочетаниях. 

Рассмотрим подробнее эти функции межсетевого экрана.

Статическая фильтрация пакетов (packet filtering firewall)

Базовая возможность файрвола — фильтрация пакетов по информации из заголовков. Она называется статической потому что анализирует пакеты изолированно, не учитывая состояние сеанса связи. Относится к третьему и четвертому уровням OSI.

Используются следующие данные:

Они проверяются по набору правил (ACL), и если пакет удовлетворяет хотя бы одному из них, то он разрешается и транслируется далее (ALLOW). В противном случае —  запрет с уведомлением в источник (DENY) или без него (DROP). 

Такой простой алгоритм подразумевает хорошую скорость, но и высокий уровень администрирования правил, в особенности, для исходящих соединений. Также он уязвим к угрозам уровня приложений и имеет ограниченные возможности логирования.

Динамическая фильтрация пакетов (stateful firewall)

Дополнительно межсетевой экран может инспектировать статусы сессий, например, трехэтапного рукопожатия TCP. В соответствии с таблицей проверяются состояния (инициализация, передача данных, закрытие) и  определяется легитимность сессии. При этом ответ источнику приходит непосредственно от файрвола, сохраняя анонимность защищаемой им инфраструктуры.

Динамическая фильтрация защищает от большего количества атак, но  требовательна к ресурсам и сложна в настройке. 

По модели OSI добавляется уровень сессий.

Шлюз прикладного уровня (Application Gateway Firewall, AGF) 

Работает на нескольких уровнях модели OSI (сетевой). Контролирует непосредственно передаваемые данные внутри пакетов по определенному протоколу. Пример такого файрвола — прокси-сервер. Если он настроен, например, на HTTP, то будет анализировать команды этого протокола.

Особенность шлюза прикладного уровня — аутентификация пользователей при запросе соединений. Это в значительной степени нивелирует возможности злоумышленников. Для удобства пользователей брандмауэр хранит аутентификационные данные. AGF предоставляет наибольшие возможности логирования.

Комплексные решения

Современные файрволы объединяют в себе лучшие черты перечисленных методов анализа трафика, а также обрастают дополнительными механизмами обеспечения безопасности сетевого взаимодействия, например:

Примеры таких межсетевых экранов — продукты компаний Cisco, Palo Alto и С-Терра, партнером которых является интегратор ВИСТЛАН.

Варианта два: дистрибутив ПО и устройство. Последнее может быть либо маршрутизатором с установленным ПО, либо специализированным — аппаратным межсетевым экраном. Например, в домашнем роутере установлен файрвол с графическим интерфейсом. 

Независимо от исполнения, основные функции межсетевых экранов неизменны, главное отличие в производительности. Аппаратное исполнение гарантирует оптимально подобраное и сконфигурированное “железо” вплоть до уровня интегральных микросхем. Скорость анализа данных у аппаратных МЭ существенно выше.

У программных файрволов при этом есть один особый сценарий применения. Речь о host-based брандмауэрах, устанавливаемых на компьютеры и мобильные устройства. Это позволяет защитить и отдельную рабочую станцию, и обеспечивает гибкость при разработке системы защиты информации в компании.

Межсетевое экранирование — основа защиты от сетевых атак, выполняемое как на границе сети и сегментов, так и на конечных устройствах пользователей. Применяемые алгоритмы анализа направлены на блокирование нежелательного трафика и стабильную работу с разрешенными ресурсами сети.