Міжмережевий екран - фільтруючий маршрутизатор.

При підключенні корпоративної або локальної мережі до глобальних мереж адміністратор мережної безпеки повинен вирішувати наступні завдання:

- захист корпоративної або локальної мережі від несанкціонованого віддаленого доступу з боку глобальної мережі;

- приховування інформації про структуру мережі і її компонентів від користувачів глобальної мережі;

- розмежування доступу в мережу, що захищається із глобальної мережі та із мережі, що захищається, у глобальну мережу.

(Слайд 10) Міжмережевий екран, заснований на фільтрації пакета, є найпоширенішим і найбільш простим у реалізації. Він складається з фільтруючого маршрутизатора, розташованого між мережею, що, захищається і мережею Internet (рис. 2). Фільтруючий маршрутизатор сконфігурований для блокування або фільтрації вхідних і вихідних пакетів на основі аналізу їхніх адрес і портів.

Рис.2. Міжмережевий екран на основі фільтруючого маршрутизатора

(Слайд 11) Міжмережеві екрани, засновані на фільтрації пакетів, мають ті самі недоліки, що і фільтруючі маршрутизатори, причому ці недоліки стають більш відчутними при збільшенні вимог до безпеки мережі, що захищається. Відзначимо деякі з них:

- складність правил фільтрації; у деяких випадках сукупність цих правил може стати некерованою;

- неможливість повного тестування правил фільтрації; це приводить до незахищеності мережі від непротестованих атак;

Міжмережеві екрани експертного рівня поєднують у собі елементи всіх трьох описаних вище категорій. Як і міжмережеві екрани з фільтрацією пакетів, вони працюють на мережному рівні моделі OSI, фільтруючи вхідні та вихідні пакети на основі перевірки IP-адрес і номерів портів. Міжмережеві екрани експертного рівня також виконують функції шлюзу сеансового рівня, визначаючи, чи відносяться пакети до відповідного сеансу. І, нарешті, міжмережеві екрани експертного рівня беруть на себе функції шлюзу прикладного рівня, оцінюючи вміст кожного пакета у відповідності з політикою безпеки, виробленої в конкретній організації.

Замість застосування пов'язаних з додатками програм-посередників, міжмережеві екрани експертного рівня використовують спеціальні алгоритми розпізнавання та обробки даних на рівні додатків. За допомогою цих алгоритмів пакети порівнюються з відомими шаблонами даних, що теоретично повинне забезпечити більш ефективну фільтрацію пакетів.

2. Основні схеми мережного захисту на базі міжмережевих екранів.

Міжмережевий екран на основі двопортового шлюзу.

Міжмережевий екран на базі двопортового прикладного шлюзу включає дводомний хост-компьютер із двома мережними інтерфейсами. При передачі інформації між цими інтерфейсами і здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом і мережею Internet звичайно розміщають фільтруючий маршрутизатор (рис. 3). У результаті між прикладним шлюзом і маршрутизатором утвориться внутрішня екранована підмережа. Цю підмережа можна використати для розміщення доступних ззовні інформаційних серверів. (Слайд 12)

Рис.3. Міжмережевий екран із прикладним шлюзом і фільтруючим маршрутизатором

Даний варіант міжмережевого екрана реалізує політику безпеки, засновану на принципі "заборонене все, що не дозволено в явній формі", при цьому користувачеві недоступні всі служби, крім тих, для яких визначені відповідні повноваження. Такий підхід забезпечує високий рівень безпеки, оскільки маршрути до захищеної підмережі відомі тільки міжмережевому екрану та сховані від зовнішніх систем.

Розглянута схема організації міжмережевого екрана є досить простою і досить ефективною.