УМК Комп. сети ч.2 / ответы к вопросам / Фильтрация трафика Брандмауэр

^Основы МЕЖСЕТЕВЫХ ЭКРАНОВ

При подключении сети компании к Internet следует принять во внимание множество факторов: например, какой тип соединения сможет обеспечить требуемую полосу пропускания для предполагаемого трафика и к какому провайдеру под­ключиться. Где-то в вашем плане, несомненно, будет пункт, касающийся приоб­ретения брандмауэра. Важно понимать, что перед вами стоит не просто рутин­ная задача, поэтому указанная запись должна находиться в самом начале списка. Установка брандмауэра - одно из важнейших дел, которые необходимо выпол­нить при подключении к Internet.

Что такое межсетевой экран

Термин firewall впервые появился в описаниях организации сетей около пяти лет назад. Прежде чем он был принят экспертами по сетевой безопасности для опре­деления способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большего масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разде­ляющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.

Межсетевой экран работает примерно так же: он помогает избежать риска повреж­дения систем или данных в вашей локальной сети из-за возникающих проблем, вы­званных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. В то время как брандмауэр в здании представляет собой всего лишь конструкцию из цементных блоков или дру­гих прочных огнеупорных материалов, межсетевой экран устроен намного сложнее.

В отечественной литературе ему соответствует термин межсетевой экран, или брандмауэр; эти термины употребляются как взаимозаменяемые

Механизмы для пропускания или блокирования трафика могут быть просты­ми фильтрами пакетов (packet filter), принимающими решение на основе ана­лиза заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и внешним миром и служат в качестве по­средника для некоторых сетевых служб.

Название «брандмауэр», казалось бы, относится к одному устройству или од­ной программе. Но во всех случаях, за исключением простейших, лучше представ­лять себе его как систему компонентов, предназначенных для управления досту­пом к вашей и внешней сетям на основе определенной политики безопасности. Термин «межсетевой экран» был принят для обозначения совокупности компонен­тов, которые находятся между вашей сетью и внешним миром и образуют защит­ный барьер так же, как брандмауэр в здании создает преграду, предотвращающую распространение огня.

В результате конкуренции среди производителей межсетевых экранов и их попы­ток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран стоит на границе вашей сети и служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности. Вот некоторые из новых функций, которые имеются в современных брандмауэрах:

О кэширование (caching). Это свойство особенно характерно для сетей, содержа­щих Web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэконо­мить полосу пропускания, которая потребовалась бы для повторной загруз­ки данных;

О трансляция адреса (address translation). Настроенный соответствующим обра­зом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден

О фильтрация контента (content restriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежела­тельный контент, или поиска заданных ключевых слов в приходящих паке­тах данных;

О переадресация (address vectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP-адресом, а с другим. Таким спосо­бом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер. В результате этого удается скрыть внутренние IP-адреса сети от хакеров, что повышает безопасность.

Технологии межсетевых экранов

Существуют два основных метода создания брандмауэра: фильтрация пакетов и proxy-серверы. Некоторые администраторы предпочитают другие методы, но они обычно являются разновидностями этих двух. Каждый метод имеет свои пре­имущества и недостатки, поэтому для надежной защиты сети важно хорошо по­нимать, как они работают.

Фильтры пакетов (packet filters) были первым типом брандмауэров для защиты сети при доступе в Internet. Маршрутизаторы настраивались соответствующим образом, чтобы пропускать или блокировать пакеты. Поскольку маршрутизато­ры просматривают только заголовки IP-пакетов, их возможности ограничены. Так, простой фильтр пакетов нетрудно сконфигурировать таким образом, чтобы он разрешал или запрещал применение FTP, но нельзя ограничить отдельные функции этого протокола, например использование команд GET или PUT.

Фильтр пакетов принимает решения только на основе информации из заголовка пакета, а для создания более сложных межсетевых экранов служат proxy-серверы.

Шлюз приложений (application gateway), или proxy-сервер (application proxy), это программа, которая выполняется на брандмауэре и перехватывает трафик приложений заданного типа. Она способна, например, перехватывать запросы пользователей из локальной сети, а затем осуществлять соединение с сервером расположенным за ее пределами. При этом внутренний пользователь никогда не подключается к внешнему серверу напрямую. Вместо этого proxy-сервер служит в качестве посредника между клиентом и сервером, передавая информацию от од­ного к другому и обратно. Преимущество такого подхода состоит в том, что ргоху-сервер можно запрограммировать на пропускание или блокировку трафика на основе сведений, содержащихся внутри пакета, а не только в его заголовке. Это значит, что ргоху-сервер понимает основные методы взаимодействия, используе­мые определенной службой, и его удается настроить так, чтобы он разрешал или запрещал доступ к функциональным возможностям этой службы, а не просто бло­кировал соединение в соответствии с номера порта, как это делает фильтр пакетов

Фильтр пакетов и ргоху-сервер - основные методы создания брандмауэров.

Выбор межсетевого экрана

Брандмауэры на заре своего существования обычно представляли собой маршру­тизатор, настроенный для работы в качестве фильтра пакетов (пропускающего или блокирующего пакеты на основе информации в их заголовках) и базы правил, со­зданной администратором сети. По мере того как функциональность брандмауэров росла, все большее их число реализовалось в виде программ, выполнявшихся нг рабочих станциях или серверах. Последнее поколение брандмауэров - это устрой­ства, которые иногда называют аппаратными брандмауэрами (firewall appliances) Они чаще всего являются набором специализированных программ, установленных в стандартной операционной системе, например в максимально урезанной версия UNIX. Некоторые производители разрабатывают собственные операционные системы.