- •Введение
- •Историческая справка
- •Функции межсетевых экранов
- •12 Посредником на основе заданного набора правил. Здесь следует различать
- •Идентификация и аутентификация пользователей
- •13 Сеть межсетевые экраны могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном.
- •15 " Дополнительная аутентификация в течение времени, определяемого администратором.
- •Трансляция сетевых адресов
- •Администрирование, регистрация событий и генерация отчетов
3
Введение
Межсетевой экран (МЭ) - это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой Fierwall.
■м -Г
Межсетевой экран позволяет разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet.
Обычно межсетевые экраны защищают внутреннюю сеть предприятия от вторжений из глобальной сети Internet, хотя они могут использоваться и для защиты от нападений из корпоративной интрасети, к которой подключена локальная сеть предприятия. Для большинства коммерческих организаций установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети.
4
Историческая справка
Internet: и электронная коммерция сыграли ключевую роль в формировании спроса на высокозащищенные сети и ^еЪ-сайты. Одной из самых первых технологий защиты корпоративных сетей от внешних угроз стала технология межсетевых экранов (Fierwall).
Первоначально термин Fierwall описывал аппаратное устройство, которое блокировало нежелательный сетевой трафик, одновременно пропуская полезный сетевой трафик. В сущности, Fierwall является первой линией обороны локальной сети. Действуя как шлюз между собственной информацией компании и птЬегпех, Fierwall разрешает только тот трафик Ьйегпех., который допустим для локальной сети компании.
За сравнительно короткое время технологии Fierwall прошли эволюционный путь развития от громоздких, сложных, часто ненадежных аппаратных средств к высоконадежным программным решениям, которые относительно просто инсталлируются и эффективно используются.
Первые зесштгу Fierwall появились в самом начале 1990-х годов. Они были выполнены в виде IР-маршрутизаторов с правилами фильтрации. Первая политика безопасности была примерно следующей:
О-разрешить доступ из внутренней сети во внешнюю сеть;
О запретить любой доступ извне во внутреннюю сеть.
Эти Fierwall были вполне работоспособными, однако обладали ограниченными возможностями. В частности, трудно было сформулировать приемлемые правила фильтрации. В некоторых случаях трудно было идентифицировать все части приложения, на которые накладывались ограничения. По мере распространения применений Internet-технологий растет также число попыток нелегального проникновения в сети организаций, соответственно повышаются и требования к Fierwallз.
Последующие зесипгу йгешаПз разрабатывались тщательнее, обладали более широкими возможностями и легче настраивались. Появились Fierwall,
5 встроенные в так называемые Ъазйоп поз1з. Вероятно, первым коммерческим Fierwall этого типа, использующим фильтры и шлюзы прикладного уровня (ргох1ез), был йге^аП от корпорации Е)1§11:а1 Едшртеп! Согрогайоп, созданный в 1991 году на базе корпоративного йгелуаП БЕС. Этот йге^аП был назван ОЕС 8ЕАЬ (8есиге Ех1егпа1 Ассезз Ыпк).
В это же время В. Р. Чесвик (\\Л Я. Спезлуюк) и С. М. Белловин (8. М. ВеИоут) в лаборатории ВеП ЬаЪз экспериментировали с сксип. ге1ау-Ъазес1 йгешаПз. Примерно через шесть месяцев после разработки ЭЕС 8ЕАЬ появился Fierwall Кар1ог Еа§1е. 1 октября 1993 года были выпущены в форме исходного кода инструментальные средства Тшз1:ес11пгогтайоп 8уз1етз (Т18) Пге^аП Тоо1кп. (Р\УТК). Это обеспечило базу для коммерческого Т18-продукта Fierwall, позднее названного Оаип11е1.
Рынок йгешаП стремительно развивался с начала 90-х годов прошлого века. Уже в 1992-1993 годах технологии йге^аП достигли расцвета; с этого момента рынок изобилует разнообразными продуктами подобного типа.
В начале 90-х годов требования к йгелуаП были сравнительно легко выполнимыми, потому что они ограничивались теми Internet-сервисами, которые были тогда доступны. Типичная организация или фирма, подключенные к Internet, нуждались в безопасном доступе к сервисам удаленного терминала (Тете!), передачи файлов (РПе Тгапз1ег Ргоюсо1 - РТР), электронной почты (8ттр1е МаП Тгапз1ег Рго1осо1 - 8МТР) и ТГ8ЕКЕТ №\уз (№г\Уогк Ые^з Тгапз&г Ргоюсо1 -Ы1ЫТР). В последние годы к этому перечню требований добавляются доступ к \\^ог1ё ^1(1е ^еЪ, трансляция новостей, информация о погоде, котировки акций, музыка по запросу, аудио- и видеоконференции, телефония, доступ к базам данных, совместное использование файлов, и этот перечень продолжает расти.
В 1994 году компания СЬеск Рот1 выпустила продукт Рп*е \Уа11-1, введя в мир Internet;-безопасности дружественный интерфейс для пользователя. До появления продукта Р1ге\Уа11-1 межсетевые экраны требовали редактирования А8СП-файлов с помощью А8СП-редакторов. Компания
6
СЬеск Рот* ввела графический интерфейс конфигурирования и управления пге\уа11 с использованием мыши и пиктограмм (юопз), значительно упростив процесс инсталяции и управления.
В январе 1996 года Кар1ог 8у81ет8 выпустила Еа§1е ЫТ - первый Fierwall на базе \Утсю\У8 1ЧТ, с помощью которого администраторы сетей могут сконфигурировать надежную защиту без знания 1Ж1Х. С тех пор такие компании, как Спескрот1, №гОиагс1 и др., тоже выпустили программные МЭ для ^тёо\У8 N1/2000.
Сегодня пге\уа118 по-прежнему являются горячей темой для сферы электронного бизнеса, поскольку множество компаний во всем мире стремится получить безопасное подключение к Internet;.