Межсетевые экраны уровня соединения
Данные межсетевые экраны проверяют факт того, что пакет является либо запросом на TCP соединение, либо представляет данные, относящиеся к уже установленному соединению, либо относится к виртуальному соединению между двумя транспортными уровнями.
Для проверки соединения МЭ исследует каждое установленное соединение. Никакие пакеты не передаются до завершения «рукопожатия». Для этого межсетевой экран формирует таблицу действительных (установленных) соединений, которая включает в себя полную информацию о состоянии соединения и выполнение необходимой последовательности.
Разрешается прохождение пакетов, информация в которых соответствует входу в таблицу виртуальных соединений. По окончанию соединения соответствующий вход в таблице удаляется.
Обозначения:
1 – Сетевой стек
2 – Отфильтрованные пакеты
3 – Фильтр соединений
4 – Упорядоченный список правил
5 – Строки состояний на каждое установленное соединение
После установления соединения в таблице состояний обычно хранится:
идентификатор сеанса
состояние соединения (рукопожатие, установлено или закрыто)
последовательная информация (номера принятых байт, состояние шагов и т.д.)
IP-адрес источника и IP-адрес назначения
номера портов, участвующих в сеансе
физический интерфейс (куда прибыл пакет)
временные метки начала открытия сеанса и т.д.
При функционировании такого межсетевого экрана должно обеспечиваться минимальное количество проверок, что реализуется посредством постраничного ограничения формы состояния соединений. Для обеспечения дополнительных возможностей могут применяться дополнительные проверки. Также может использоваться NAT.
Достоинства:
Возможность запрещать соединение с определенными хостами.
При использовании NAT происходит скрытие внутренних IP-адресов.
Недостатки:
Не могут ограничивать доступ протоколов, отличных от TCP.
Не осуществляет проверки для протоколов высших уровней
Ограниченный аудит
Трудности тестирования правил
Межсетевые экраны прикладного уровня.
Данные МЭ оценивают сетевые пакеты на соответствие определенному уровню на соответствие определенному приложению.
Устанавливается состояние полного (завершенного) соединения. Кроме того, межсетевые могут проверять другие параметры безопасности, которые содержатся внутри данных прикладного уровня.
Большинство МЭ прикладного уровня включают в себя приложения ПО и службу Proxy.
Обозначения:
1 – Proxy-сервер
2 – Анализ прикладного протокола
3 – Proxy-клиент
Каждая proxy-служба является специфичной для каждого протокола и может осуществлять усиленный контроль доступа, проверку данных, а также генерировать записи аудит. службы proxy не позволяет прямого соединения пользователя с серверами. Они прозрачны для пользователя и работают в прикладной области ОС.
Использование Proxy позволяет производить анализ множества команд и проводить анализ содержания данных.
Рисунок «Функционирование МЭ», обозначения:
1 – служба Proxy
2 – список разрешений и запретов (accept/denied)
3 – анализ данных в сравнении со списками допустимых команд
4 – специальный сетевой стек
5 – Отфильтрованные пакеты
Достоинства:
Работа с протоколами высшего уровня (HTTP, FTP)
Возможность хранения частичной информации о состоянии, полной информации о состоянии приложений, частичной информации о сеансе.
Возможность ограничения доступа к определенным сетевым службам.
Возможность оперирования с информацией данных пакетов.
Запрещение прямого соединения с внешними серверами.
Прозрасность Proxy.
Возможность реализации дополнительных свойств (фильтрация адресов, аутентификация, кеширование…)
Хороший аудит.
Недостатки:
Служба Proxy требует замены сетевого стека на сервера межсетевого экрана.
Служба Proxy «слушает» порты.
Временная задержка.
Новый Proxy обычно требует модификации процедур клиента.
Служба Proxy обычно требует модификации процедур клиента.
Служба Proxy уязвима к ошибкам ОС и программного обеспечения прикладного уровня.
Не осуществляется проверка информации в пакетах, содержащихся в низших уровнях.
Служба Proxy может требовать дополнительные пароли или процедуры аутентификации.