Категории брандмауэров

На современном рынке доминирует три категории брандмауэров: фильтры пакетов, контекстные фильтры и шлюзы уровня приложений, обычно называемые proxy-серверами.

Существуют фильтры пакетов следующих уровней: прикладного, транспортного, сетевого и канального, причем данная классификация не является единственной.

Первые три фильтра могут быть введены в заблуждение злоумышленниками, подделавшими заголовки IP-, TCP- и UDP-пакетов. Канальный уровень, то есть уровень сопряжения с физической средой, имеет смысл контролировать только в локальной сети, а при модемном соединении с провайдером эта операция ничего не дает, так как в этом случае все пакеты на канальном уровне приходят только от провайдера и никакой информации о физическом адресе узла-отправителя в них не содержится.

Контекстные фильтры работают более надежно, но области их применения ограниченны. К тому же они не способны к отражению новых атак, разработанных после их появления. Обычно такие фильтры используются для поиска ключевых слов таких тем, которые строгие родители запрещают читать своим детям.

Шлюзы удобны в корпоративных сетях, но абсолютно не нужны частным пользователям. Но, если имеется два компьютера, то, выделив один под proxy-сервер, можно попытаться обезопасить другой.

При работе в Интернете часто складывается такая ситуация, когда просматривается один и тот же документ или повторно посещается один и тот же сайт. В подобных случаях очень полезны системы оптимизации Интернет-трафика, которые устанавливаются таким образом, что пропускают весь трафик через себя и хранят его копию на диске. И если пользователю необходимо повторно просмотреть ту или иную страницу, то она не будет выкачиваться из Интернета, а будет взята непосредственно с диска системы оптимизации Интернет-трафика. Таким образом, увеличивается скорость доступа к страницам. Эти системы называются proxy-серверами. Помимо этого proxy-сервер регулирует доступ к ресурсам Интернета. Он имеет весьма гибкие настройки, позволяющие ограничить доступ пользователей к определенным сайтам, контролировать объем выкачиваемой пользователем из Интернета информации и настраивать возможность доступа тех или иных пользователей в Интернет в зависимости от дня недели и времени суток.

Довольно часто межсетевые экраны попутно обеспечивают блокировку рекламы, ускорение работы с Сетью, блокировку активного содержимого Web-страниц. Программные брандмауэры также применяются в виде программного обеспечения, устанавливаемого на маршрутизаторы, proxy-серверы и т.п. в больших корпоративных сетях, но обычно это очень дорогие продукты, недоступные рядовому пользователю.

Одним из новых свойств межсетевых экранов стала антивирусная проверка почты, сообщений новостей, прилагаемых файлов и прочего трафика, проходящего сквозь экран. Для этого используются антивирусы, внедряемые в программное обеспечение межсетевого экрана. Эта функция все увереннее становится более востребованной, учитывая эпидемию вирусов и троянов, захлестнувшую Интернет.

Неправильно настроенный брандмауэр не только не защищает ПК, но в ряде случаев способен ухудшить общую защищенность системы, поскольку создает ложное ощущение безопасности. Кроме того, нельзя забывать и об уязвимости самого стека протоколов TCP/IP (Transmission Control Protocol/Internet Protocol), который в принципе не отвечает современным требованиям безопасности.