Классификация межсетевых экранов

Со своей сто­ро­ны раз­ра­бот­чи­ки ин­спек­то­ров со­сто­я­ния ука­зы­ва­ют, что их си­сте­мы имеют го­раз­до боль­ше воз­мож­но­стей рас­ши­ре­ния. При по­яв­ле­нии новой служ­бы или но­во­го про­то­ко­ла при­клад­но­го уров­ня для его под­держ­ки до­ста­точ­но до­ба­вить несколь­ко шаб­ло­нов. В то же время раз­ра­бот­чи­ки по­сред­ни­ков при­клад­но­го уров­ня вы­нуж­де­ны пи­сать «с нуля» мо­дуль для каж­до­го но­во­го про­то­ко­ла. Так-то оно так, но до­ба­вить мо­дуль в по­сред­ник при­клад­но­го уров­ня ни­чуть не слож­нее, чем до­ба­вить шаб­ло­ны в ин­спек­тор со­сто­я­ния. К тому же про­из­во­ди­те­ли ин­спек­то­ров со­сто­я­ния и по­сред­ни­ков при­клад­но­го уров­ня при­вык­ли ре­шать про­бле­му кар­ди­наль­ным спо­со­бом, по­сред­ством вы­пус­ка новой вер­сии продукта.

Един­ствен­ным до­сто­ин­ством ин­спек­то­ров со­сто­я­ния (не за­тра­ги­вая во­прос про­из­во­ди­тель­но­сти) по срав­не­нию с по­сред­ни­ка­ми при­клад­но­го уров­ня яв­ля­ет­ся то, что ин­спек­тор со­сто­я­ния аб­со­лют­но про­зра­чен для кли­ен­тов и не тре­бу­ет до­пол­ни­тель­ной на­строй­ки кли­ент­ско­го ПО. Од­на­ко, в свою оче­редь, клас­си­че­ские ин­спек­то­ры со­сто­я­ния не го­дят­ся для кэ­ши­ро­ва­ния Web. По­это­му даже если меж­се­те­вой экран ос­но­ван на ин­спек­то­ре со­сто­я­ния, для кэ­ши­ро­ва­ния Web в него вклю­ча­ют по­сред­ник Web при­клад­но­го уровня.

На самом деле, спор, что лучше — ин­спек­тор со­сто­я­ния или по­сред­ник при­клад­но­го уров­ня, пред­став­ля­ет­ся бес­поч­вен­ным. Для боль­шин­ства задач они при­мер­но рав­но­цен­ны. Пре­иму­ще­ство же в про­из­во­ди­тель­но­сти ин­спек­то­ров со­сто­я­ния не имеет осо­бо­го зна­че­ния, если речь идет о под­клю­че­нии к Internet по мед­лен­ным ка­на­лам связи.

Меж­се­те­вые экра­ны экс­перт­но­го клас­са ос­но­вы­ва­ют­ся либо на тех­но­ло­гии ин­спек­то­ров со­сто­я­ния, либо на тех­но­ло­гии по­сред­ни­ков при­клад­но­го уров­ня, но обя­за­тель­но до­пол­ня­ют­ся се­те­вы­ми филь­тра­ми и шлю­за­ми се­ан­со­во­го уров­ня. По­дав­ля­ю­щее боль­шин­ство вы­пус­ка­е­мых меж­се­те­вых экра­нов пред­став­ля­ет собой по­сред­ни­ки при­клад­но­го уров­ня, но, как было от­ме­че­но ранее, ин­спек­то­ры со­сто­я­ния (вер­нее, один ин­спек­тор — FireWall-1 ком­па­нии Check Point) до­ми­ни­ру­ют на рынке.

Дру­гие воз­мож­но­сти меж­се­те­вых экранов

По­ми­мо вы­пол­не­ния своих ос­нов­ных функ­ций, меж­се­те­вые экра­ны экс­перт­но­го клас­са имеют хо­ро­шо про­ду­ман­ную си­сте­му про­то­ко­ли­ро­ва­ния со­бы­тий и опо­ве­ще­ния ад­ми­ни­стра­то­ров. МЭ поз­во­ля­ет ре­ги­стри­ро­вать все об­ра­ще­ния поль­зо­ва­те­лей к ре­сур­сам, про­хо­дя­щие через экран, в том числе кто, когда, с какой ма­ши­ны об­ра­тил­ся к кон­крет­но­му ре­сур­су или по­лу­чил отказ. Про­то­ко­ли­ро­ва­ние поз­во­ля­ет вы­явить слу­чаи про­ве­де­ния атак на внут­рен­нюю сеть, об­на­ру­жить ме­сто­на­хож­де­ние ха­ке­ра и за­ра­нее бло­ки­ро­вать тра­фик от него.

Со­став­ной ча­стью боль­шин­ства ком­мер­че­ских меж­се­те­вых экра­нов экс­перт­но­го уров­ня яв­ля­ют­ся сред­ства по­стро­е­ния вир­ту­аль­ных част­ных сетей, поз­во­ля­ю­щие шиф­ро­вать ин­фор­ма­цию при ее пе­ре­да­че по об­ще­до­ступ­ной сети. Более того, та­ки­ми сред­ства­ми об­ла­да­ют даже неко­то­рые се­те­вые филь­тры на базе ап­па­рат­ных маршрутизаторов.

Нема­лая часть меж­се­те­вых экра­нов снаб­жа­ет­ся сред­ства­ми под­держ­ки уда­лен­ных поль­зо­ва­те­лей, в том числе мощ­ны­ми сред­ства­ми аутен­ти­фи­ка­ции таких пользователей.

ЗА­КЛЮ­ЧЕ­НИЕ

Меж­се­те­вые экра­ны не яв­ля­ют­ся па­на­це­ей при борь­бе с ата­ка­ми зло­умыш­лен­ни­ков. Они не могут предот­вра­тить атаки внут­ри ло­каль­ной сети, но вме­сте с дру­ги­ми сред­ства­ми за­щи­ты иг­ра­ют ис­клю­чи­тель­но важ­ную роль для за­щи­ты сетей от втор­же­ния извне. По­ни­ма­ние тех­но­ло­гии ра­бо­ты меж­се­те­вых экра­нов поз­во­ля­ет не толь­ко сде­лать пра­виль­ный выбор при по­куп­ке си­сте­мы за­щи­ты, но и кор­рект­но на­стро­ить меж­се­те­вой экран. Враг не дол­жен пройти!