Технологии межсетевых экранов

Межсетевой экран представляет собой локальное (однокомпонентное) или функционально распределенное средство (ком­плекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и (или) выходящей из нее, и обеспечивает защиту АС посредством фильтрации информа­ции, т.е. ее анализа по совокупности критериев и принятия ре­шения о ее распространении. МЭ просматривает пакеты, прохо­дящие через него в обоих направлениях, и принимает решение о допуске или уничтожении пакетов. Таким образом, МЭ реализует одну точку защиты между двумя сетями — он защищает одну сеть от другой.

Развитие технологий межсетевых экранов

Технологии МЭ сравнительно молоды, но быстро развиваются. Приблизительные временные рамки развития этих технологий при­ведены на рис. Первое появление МЭ как технологии связывается с маршру­тизаторами, которые появились в 1983—1985 гг. Эти МЭ называ­лись фильтрами пакетов. Первая статья, описывавшая процесс фильтрации пакетов для целей защиты, опубликована Digital Equipment Corporation в 1988 г

В 1989— 1990 гг. в AT&T Bell Lab появилось второе поколение архитектур МЭ, связанное с исследованием задержек в цепях. При этом исследователи предложили первую рабочую модель третьего поколения — МЭ прикладного уровня, но данные идеи не были детально проработаны и реализованы.

Поэтому межсетевые экраны третьего поколения одновремен­но предложены несколькими исследователями в конце 1980-х — начале 1990-х гг. В первых публикациях Спаффорд (Gene Spafford) из университета Purdue, Чезвик (Bill Cheswick) из AT&T Bell Lab и Ранум (Marcus Ranum) описали МЭ прикладного уровня в 1990— 1991 гг.

В 1991 г. Ранум предложил форму хоста-бастиона, выполняю­щего службу proxy. Она была вскоре реализована фирмой DEC (продукт SEAL).

В 1991 г. Чезвик и Белловин (Steve Bellovin) начали исследовать динамические фильтры пакетов и разрабатывать в Bell Lab соот­ветствующую архитектуру, но она не была до конца реализована. В 1992 г. Брайден (Bob Braden) и Дешан (Annette Deschan) из USC Informatics Science Institute разработали систему динамичес­кой фильтрации «Visas» Check Point Software, реализованную в 1994 г. Данная технология была запатентована компанией под на­званием «инспекция состояний» (statefull inspection).

В 1996 г. начались работы по разработке 5-го поколения: Kernel Proxy. В 1997 г. был реализован Cisco Centry FW — первый коммер­ческий МЭ 5-го поколения.

В 1999 г. была предложена идея построения распределенных межсетевых экранов. Необходимо отметить, что как исследова­тельские (академические), так и коммерческие МЭ представляли и представляют собой громадные и сложные программные про­дукты. Стоимость их практически недоступна для рядовых пользо­вателей. Поэтому начиная с 2000 г. широкое направление исследо­ваний было нацелено на разработку персональных МЭ. Такие МЭ разрабатывались для использования на отдельном компьютере, обеспечивая персональную защиту пользователя. К этому же времени относятся исследовательские разработки по созданию рас­пределенных систем МЭ.

Далее рассмотрим основные элементы технологий построения межсетевых экранов.