Межсетевой экран и его функции
Понятием «межсетевой экран» обозначают особый программный комплекс, используемый для защиты определенных частей компьютерной сети организации. Применяя Межсетевой экран можно разделить компьютерную сеть на две части и указать правила фильтрации пакетов данных при переходе из одной части в другую. В основном эта граница устанавливается между корпоративной сетью компании и сетью Интернет. Межсетевой экран также называют брандмауэром или файрволом (firewall). Исторически применение файрволов стало одним из первых методов защиты корпоративных сетей компаний. На данный момент использование сетевого экрана является одним из базовых правил защиты сети.
Для осуществления функций контроля межсетевого доступа файрвол должен располагаться между защищаемой сетью компании и потенциально опасной внешней сетью. При этом все действия по передаче данных между этими сетями должны осуществляться только через него.
Межсетевой экран решает, как правило, две основных задачи:
-- контроль и ограничение доступа из внешних источников к внутренним ресурсам сети. Ограничение доступа необходимо при подключении к корпоративной сети организации клиентов и партнеров, а также при попытках несанкционированного доступа со стороны злоумышленников.
-- ограничение доступа пользователей внутренней сети к внешним ресурсам данных. Как правило, это ресурсы, не имеющие прямого отношения к выполнению сотрудниками служебных обязанностей.
Межсетевой экран способен выполнять большое количество разнообразных функций по обеспечению информационной безопасности. В основном, его функционал зависит от поставленных перед ним администратором сети задач.
Фильтрация трафика. Суть фильтрации потоков информации состоит в выборочном пропускании через брандмауэр случайных пакетов данных. Идентификация потенциально опасной информации основывается на загружаемых в файрвол правилах, которые, в свою очередь, определяются политикой безопасности, принятой в данной компании. Правила, загружаемые в файрвол, представляют как набор фильтров, каждый из которых отвечает за определенный критерий отбора.
Аутентификация пользователей. Методы, применяемые для фильтрации трафика, – определение какие пакеты данных могут быть пропущены во внутреннюю сеть, а какие нет, при помощи файрвола, с тем же успехом используются и для определения уровня доступа пользователей сети. Прежде чем предоставить пользователю возможность доступа к определенному ресурсу, брандмауэр сначала проводит его аутентификацию (как правило, ввод логина/пароля), затем, на основании полученных данных, – авторизацию (определение прав доступа) и, сопоставляя, права доступа к ресурсу и права доступа пользователя дает возможность воспользоваться ресурсом или запрещает его использование.
Трансляция сетевых адресов. Одна из важнейших функций файрвола. Позволяет скрыть фактический ip-адрес ПК, работающего в сети интернет от обнаружения. Достигается это благодаря тому, что ip-адреса всех пакетов, отсылаемых компьютерами внутренней сети, проходя через файрвол меняются на другой, стандартный и надежный. Реализация данной функции позволяет значительно снизить опасность атаки на компьютеры сети компании, так как для того, чтобы провести ее, злоумышленнику надо знать настоящий ip-адрес компьютера. Кроме этого, применение функции трансляции ip-адресов, дает возможность иметь внутри компании собственную систему адресации ПК, не зависящую от интернет.
Функции посредничества. Реализуются брандмауэром при помощи специальных программ-посредников, запрещающих непосредственную передачу пакетов между ресурсами внешней и внутренней сети. Таким образом, при выполнении файрволом функций посредничества, при необходимости доступа из одной части сети в другую, первоначально устанавливается соединение с программой-посредником, которая проверяет возможность запрошенного взаимодействия и, при его допустимости, уже сама устанавливает соединение с нужным ресурсом. Далее, обмен информацией осуществляется только через эту программу-посредник. Реализация такого механизма взаимодействия ресурсов позволяет решить целый ряд задач: проверка подлинности передаваемых данных, фильтрация потока информации – поиск вирусов, шпионов и т.д., кэширование данных.