1. Основні компоненти міжмережевих екранів.

Більшість компонентів міжмережевих екранів можна віднести до однієї із трьох категорій: (Слайд 5)

- фільтруючі маршрутизатори;

- шлюзи мережного рівня;

- шлюзи прикладного рівня;

- міжмережеві екрани експертного рівня.

(Слайд 6) Фільтруючий маршрутизатор це звичайний маршрутизатор або програма, що працює на сервері, сконфігуровані таким чином, щоб фільтрувати вхідні та вихідні пакети, фільтрація пакетів здійснюється на основі інформації, що є в TCP- і IP-заголовках пакетів (є одним з основних протоколів з набору протоколів Інтернет. TCP є одним з двох оригінальних компонентів пакета, на додаток до Internet Protocol (IP), і, отже, весь набір зазвичай називають TCP/IP. TCP забезпечує надійну впорядковану доставку потоку октетів з програмою на одному комп'ютері в іншу програму на іншому комп'ютері. TCP це протокол, що використовується великими інтернет-додатками, таких як World Wide Web, електронної пошти, віддаленого управління і передачі файлів. Інші програми, які не вимагають надійного потоку даних послуг, можуть використовувати User Datagram Protocol (UDP), який забезпечує дейтаграми служба підкреслює, що зниженої латентністю над надійністю.).

Фільтруючий маршрутизатор, звичайно може фільтрувати IP-пакети на основі групи наступних полів заголовка пакета:

- IP-адреса відправника (адреса системи, що послала пакет);

- IP-адреса одержувача (адреса системи, що приймає пакет);

- порт відправника (порт з'єднання в системі-відправнику);

- порт одержувача (порт з'єднання в системі-одержувачі).

Порт - це програмне поняття, що використається клієнтом або сервером для посилки або прийому повідомлень; порт ідентифікується16-бітовим числом.

Настроювання правил виглядає як заповнення такої таблиці:

Тип	Адреса відправника	Адреса одержувача	Порт відправника	Порт одержувача	Дія
TCP	*	123.4. 5.6	>1023	23	Дозволити

До позитивних якостей фільтруючих маршрутизаторів варто віднести:

- порівняно невисоку вартість;

- гнучкість у визначенні правил фільтрації;

- невелику затримку при проходженні пакетів.

Недоліками фільтруючих маршрутизаторів є:

- внутрішня мережа видна (маршрутизується) з мережі Internet;

- правила фільтрації пакетів складні в описанні та вимагають дуже добрих знань технологій TCP та UDP (протокол користувальницьких датаграм) - один з ключових елементів Internet Protocol Suite (більш відомого як TCP / IP), набору мережевих протоколів для Інтернету. З UDP комп'ютерні додатки можуть надсилати повідомлення (в даному випадку звані датаграми) іншим хостам по IP-мережі без необхідності попереднього повідомлення для установки спеціальних каналів передачі або шляхів даних. Протокол був розроблений Девідом П. Рідом в 1980 році і офіційно визначений в RFC 768);

- при порушенні працездатності міжмережевого екрана з фільтрацією пакетів всі комп'ютери за ним стають повністю незахищеними або недоступними.

(Слайд 7) Шлюз мережного рівня іноді називають системою трансляції мережних адрес або шлюзом сеансового рівня моделі OSІ (абстрактна модель для мережних комунікацій і розробки мережевих протоколів. Представляє рівневий підхід до мережі. Кожен рівень обслуговує свою частину процесу взаємодії. Завдяки такій структурі спільна робота мережного обладнання й програмного забезпечення стає набагато простішою й зрозумілішою.). Такий шлюз виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хост-компьютером.

Шлюз мережного рівня приймає запит довіреного клієнта на конкретні послуги та після перевірки допустимості запитаного сеансу встановлює з'єднання із зовнішнім хост-компьютером. Після цього шлюз копіює пакети в обох напрямах, не здійснюючи їхньої фільтрації.

Шлюз мережного рівня виконує ще одну важливу функцію захисту: він використається як сервер-посередник. Цей сервер-посередник виконує процедуру трансляції адрес, при якій відбувається перетворення внутрішніх IP-адрес в одну "надійну" IP-адресу. Ця адреса асоціюється з міжмережевим екраном, з якого передаються всі вихідні пакети. У результаті в мережі із шлюзом мережного рівня всі вихідні пакети виявляються відправленими із цього шлюзу, що виключає прямий контакт між внутрішньою (авторизованою) мережею та потенційно небезпечною зовнішньою мережею. IP-адреса шлюзу мережного рівня стає єдино активною IP-адресою, що попадає в зовнішню мережу. Таким чином, шлюз мережного рівня та інших серверів-посередників захищають внутрішні мережі від нападів типу підміни адресу.

(Слайд 8) Шлюзи прикладного рівня. Для усунення низки недоліків, властивим фільтруючим маршрутизаторам, міжмережеві екрани повинні використати додаткові програмні засоби для фільтрації повідомлень сервісів типу TELNET та FTP (сервіс FTP - система файлових архівів, забезпечує зберігання і пересилку файлів різних типів; сервіс Telnet, призначений для управління віддаленими комп'ютерами в термінальному режимі). Такі програмні засоби називаються повноважними серверами (серверами-посередниками), а хост-компьютер, на якому вони виконуються, - шлюзом прикладного рівня.

Шлюз прикладного рівня виключає пряму взаємодія між авторизованим клієнтом і зовнішнім хост-компьютером. Шлюз фільтрує всі вхідні та вихідні пакети на прикладному рівні. Пов'язані з додатками сервери-посередники перенаправляють через шлюз інформацію, що генерується конкретними серверами.

Для досягнення більш високого рівня безпеки та гнучкості шлюзи прикладного рівня та фільтруючі маршрутизаторів можуть бути об'єднані в одному міжмережевому екрані.

Шлюзи прикладного рівня дозволяють забезпечити найбільш високий рівень захисту, оскільки взаємодія із зовнішнім світом реалізується через невелику кількість прикладних повноважних програм-посередників, що повністю контролюють ввесь вхідний і вихідний трафік.

(Слайд 9) Шлюзи прикладного рівня мають низку серйозних переваг у порівнянні із звичайним режимом, при якому прикладний трафік пропускається безпосередньо до внутрішніх хост-компьютерів. Перелічимо ці переваги.

1. Невидимість структури мережі, що захищається, із глобальної мережі Internet.

2. Надійна аутентифікація та реєстрація.

3. Оптимальне співвідношення між ціною та ефективністю.

4. Прості правила фільтрації.