1.2 Способы применения межсетевых экранов
Под способами применения МЭ в дальнейшем будем понимать варианты подключения МЭ и комбинации разных типов МЭ для решения типовых прикладных задач.
Все схемы подключения подразделяются на:
1.Стандартные схемы защиты отдельной локальной сети.
2.Схемы включения в составе средств коллективной защиты.
1.2.1 Стандартные схемы защиты отдельной локальной сети
Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном (Рис.1.). При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов.
Рис. 1. Простое включение МЭ
Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном, так как показано на рисунке 2. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.
Оба вышеприведенных случая показаны для межсетевых экранов, имеющих два сетевых интерфейса. Межсетевые экраны с одним сетевым интерфейсом существуют, но их настройка, а также настройка маршрутизаторов для работы с таким межсетевым экраном, представляет собой сложную задачу, с ценой решения превышающей стоимость замены МЭ с одним интерфейсом на МЭ с двумя сетевыми интерфейсами. Поэтому, схемы подключения межсетевых экранов с одним сетевым интерфейсом в данной статье не рассматриваются.
Рис. 2. Подключение МЭ с вынесением общедоступных серверов
1.2.2 Применение в составе средств коллективной защиты
Некоторые межсетевые экраны позволяют организовывать виртуальные корпоративные сети (Virtual Private Network). При этом несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производится прозрачно для пользователей локальных сетей. При этом обеспечивается конфиденциальность и целостность передаваемой информации при помощи различных средств: шифрования, использования цифровых подписей и т.п. При передаче может шифроваться не только содержимое пакета, но и его заголовок, включая все, входящие в него поля. Возможная схема использования межсетевых экранов в составе виртуальных корпоративных сетей приведена на рисунке 3.
Рис. 3. Построение виртуальной корпоративной сети
1.3 Персональные межсетевые экраны
Персональные межсетевые экраны предназначены для защиты компьютеров домашних пользователей или сотрудников, находящихся вне защищенных сегментов сети предприятия. Функции персональных МЭ аналогичны рассмотренным ранее, однако, некоторые возможности у них не предусмотрены, например, централизованное управление или рассылка правил политики безопасности. Некоторые защитные функции могут быть дополнительно интегрированы в персональные МЭ, например, встроенная поддержка защищенных виртуальных сетей, обнаружение атак или антивирусная защита.
Для удаленных компьютеров сотрудников организации может использоваться распределенный межсетевой экран, который отличается от персонального наличием централизованного управления с центрального офиса организации. Эта функция помогает своевременно обновлять программное обеспечение и базы данных подсистемы защиты информации
Персональный межсетевой экран рассчитан на то, чтобы защищать один ПК от нежелательного проникновения или атаки в то время, когда он подключен к Internet. Экраны выполняют эту функцию, контролируя входящий и исходящий трафик. Они не создают препятствий для передачи данных стандартных приложений и удаляют несанкционированный трафик или информацию неизвестного происхождения, применяя правила защиты, определенные пользователем. В корпоративных же сетях загрузку стандартных конфигураций защиты на межсетевые экраны предприятия обеспечивает центральный сервер политики.
Персональные межсетевые экраны должны также выявлять вторжения, что предполагает уведомление пользователя о природе и источнике предпринимаемой атаки. Обнаружение вторжений можно назвать вторичной по отношению к их предотвращению задачей, однако оно может предупредить пользователя об атаках, которые еще не учтены в наборе правил обеспечения безопасности и от которых вследствие этого межсетевой экран защитить не может. В случае необходимости межсетевые экраны должны уметь устанавливать защищенные соединения с другими хостами. Для этой цели весьма полезной могла бы быть технология VPN, хотя она еще не «прижилась» у разработчиков персональных межсетевых экранов (более подробно VPN будет обсуждаться ниже).
Сегодня существует три разновидности персональных межсетевых экранов: автономные, экраны-устройства и экраны на базе агентов.
Наиболее распространенные автономные межсетевые экраны реализуются программно. Они устанавливаются на ПК и работают под управлением большинства операционных систем, в том числе Windows 95/98/NT и иногда Windows 2000. Автономные межсетевые экраны защищают только одно рабочее место, поэтому их администрированием занимается владелец этого компьютера.
Межсетевые экраны-устройства - это аппаратные решения, работающие в точке подключения к Internet. Они выполняют функции маршрутизатора, коммутатора и межсетевого экрана. Как правило, на них не требуется устанавливать дополнительное программное обеспечение, однако DSL- или кабельный модем остается нужен по-прежнему. Большинство межсетевых экранов данного типа может защищать до 250 хостов, поэтому они часто используются предприятиями для защиты соединений с небольшими удаленными офисами. Владелец аппаратного брандмауэра может сам заниматься его администрированием, но может и доверить эту работу независимой организации, которая будет выполнять администрирование удаленно.
Межсетевые экраны на базе агентов - это программные решения, в основном подобные автономным экранам, за тем исключением, что набор правил обеспечения безопасности для них задается центральным сервером, как правило, установленным в корпоративной сети. Межсетевые экраны на базе агентов выполняют эти правила на хосте, на котором работает удаленный агент.