- •Разновидности сетевых экранов
- •Пакетные фильтры
- •Шлюзы уровня соединения
- •Шлюзы прикладного уровня
- •Технологии Proxy и Stateful inspection
- •Типичные возможности
- •Проблемы, не решаемые файрволом
- •Тема 25: Межсетевые экраны Введение
- •Основные сведения
- •Пакетные фильтры
- •Шлюзы уровня соединения
- •Шлюзы прикладного уровня
- •Технологии Proxy и Stateful inspection
Шлюзы уровня соединения
Этот и следующий тип межсетевой экран основан на использовании так называемого принципа посредничества, т.е. запрос принимается межсетевой экран, анализируется и только потом перенаправляется реальному серверу. Прежде чем разрешить установление соединения TCP между компьютерами внутренней и внешней сети, посредники уровня соединения сначала как минимум регистрируют клиента. При этом неважно, с какой стороны (внешней или внутренней) этот клиент находится. При положительном результате регистрации между внешним и внутренним компьютерами организуется виртуальный канал, по которому пакеты передаются между сетями.
Наиболее известным примером шлюза уровня соединения можно считать шлюз с преобразованием IP -адресов ( Network Address Translation , NAT ).
Шлюзы прикладного уровня
Шлюзы прикладного уровня ( application - level proxy ), часто называемые proxy -серверами, контролируют и фильтруют информацию на прикладном уровне модели OSI . Они различаются по поддерживаемым протоколам прикладного уровня. Наиболее часто поддерживаются службы Web ( HTTP ), ftp , SMTP , РОРЗ/ I МАР, NNTP , Gopher , telnet , DNS , RealAudio / RealVideo . Когда клиент внутренней сети обращается, например; к серверу Web , то его запрос попадает к посреднику Web (или перехватывается им). Последний устанавливает связь с сервером от имени клиента, а полученную информацию передает клиенту. Для внешнего сервера посредник выступает в качестве клиента, а для внутреннего клиента - в качестве сервера Web . Аналогично посредник может работать и в случае внешнего клиента и внутреннего сервера.
Технологии Proxy и Stateful inspection
В рассмотренных выше типах межсетевой экран, предполагающих посредничество при установлении соединения (шлюзах уровня соединения и прикладного) реализована так называемая технология Proxy . Эта технология широко распространена и применяется в таких известных моделях межсетевой экран, как Microsoft Proxy Server и CyberGuard Firewall .
Однако для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать, сделать запись об этом в журнале), межсетевой экран должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой семиуровневой модели и из других приложений.
Недостаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из имевших место ранее соединений и других приложений, используется для принятии окончательного решения о текущей попытке установления соединения. В зависимости от типа проверяемого пакета, для принятия решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.
Таким образом, для обеспечения наивысшего уровня безопасности, МЭ должен уметь считывать, анализировать и использовать следующую информацию:
• Информацию о соединении - информацию со всех семи уровней модели.
• Состояние соединения - состояние, полученное из предыдущих пакетов. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки встречного входящего соединения FTP data .
• Состояние приложения - информация о состоянии, полученная из других приложений. Например, когда-либо авторизованному пользователю был разрешен доступ через firewall только для разрешенных типов сетевых протоколов.
Кроме того, МЭ должен уметь выполнять действия над передаваемой информацией в зависимости от всех вышеизложенных факторов.
Stateful Inspection -технология нового поколения, удовлетворяет всем требованиям к безопасности, приведенным выше.
Технология инспекции пакетов с учетом состояния протокола на сегодня является наиболее передовым методом контроля трафика (она разработана и запатентована компанией Check Point Software Technologies ).
Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного процесса-посредника ( proxy ) для каждого защищаемого протокола или сетевой службы. В результате достигаются высокие показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, МЭ обеспечивает наивысший уровень безопасности. Метод stateful inspection обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает максимально возможный уровень безопасности, контролируя соединения на уровнях от 3 до 7 сетевой модели OSI , тогда как proxy посредники могут контролировать соединения только на 5 - 7 уровнях.
Обработка нового соединения при этом осуществляется следующим образом:
После того как соединение занесено в таблицу, обработка последующих пакетов этого соединения происходит на основе анализа таблиц.