МЕЖСЕТЕВЫЕ ЭКРАНЫ (FIREWALL, БРАНДМАУЭРЫ): ПОНЯТИЕ, КЛАССИФИКАЦИЯ И НАЗНАЧЕНИЕ

Когда создавались сети TCP/IP, в них был заложен следующий принцип: каждый компьютер может соединиться с любым другим компьютером в сети. Это было достаточно давно, компьютеров на тот момент было очень мало, и большая часть из них находилась в научных институтах и университетах. Сейчас ситуация поменялась кардинально: интернет стал огромной сетью, в которой есть в том числе и злоумышленники. Поэтому такой принцип на данный момент уже не работоспособен. Людям стал нужен механизм, который бы позволил защитить сеть или компьютер в сети от потенциальных недоброжелательных действий. Именно такой механизм предоставляет межсетевой экран.

Межсетевой экран – это средство, которое используется для того, чтобы отфильтровать пакетный трафик, приходящий из внешней сети. Также межсетевые экраны получили другие, не менее популярные варианты названий – это «firewall» или брандмауэр. [1]

 Основное предназначение межсетевых экранов – это защита сети (или отдельных ее фрагментов) от несанкционированного проникновения. Это может произойти, если используется уязвимое и ненадежное программное обеспечение. Таким образом, брандмауэр блокирует исходящие извне запросы, но пропускает все исходящие.

У межсетевых экранов имеется таблица правил, где описано какие пакеты можно пропускать во внутреннюю сеть, а какие пропускать нельзя. Межсетевой экран проверяет заголовки протоколов сетевого и транспортного уровня, сравнивает их с правилами в таблице и если находит разрешающее правило, то передает пакет во внутреннюю сеть, в противном случае пакет отбрасывается и во внутреннюю сеть не передается. Тоже самое происходит с пакетами, которые приходят из внутренней сети. Производится проверка по таблице правил и во внешнюю сеть передаются только те пакеты, которым разрешен доступ, остальные пакеты отбрасываются. [4]

Рисунок 1. Таблица правил доступа

На рисунке 1 представлен пример таблицы правил. Первые 2 столбца – это IP адрес и порт отправителя и получателя. Также есть поле «Протокол», в котором может стоять протокол транспортного и сетевого уровня (TCP, UDP, ICMP и тд) и поле «Действие» - разрешить прохождение пакетов, которые попадают под это правило или запретить. Предположим, что организация существенно хочет ограничить политику использования сети для обеспечения безопасности. То есть она разрешает пользователям работать с сайтами в интернете, но все остальные действия должны быть запрещены. Для этого понадобятся следующие правила (рисунок 1):

Правило 1: в адресе отправителя будет стоять адрес внутренней сети организации, порт любой больше 1024. В адресе получателя все IP адреса кроме внутренней сети и порт 80, на котором работают WEB сервера. Протоколом будет являться TCP, который используется протоколом HTTP. В поле «Действие» прохождение пакетов разрешено.

Правило 2: Разрешает прохождение пакетов, которые содержат ответы WEB серверов. IP адрес отправителя любой кроме внутренней сети, порт 80. IP адрес получателя во внутренней сети, порт любой больше 1024. Протокол также TCP и действие – разрешить.

Правило 3: Запрещает прохождение всех остальных пакетов.

Межсетевой экран просматривает таблицу правил последовательно сверху вниз. Сначала берется во внимание первое правило и если полученный пакет подходит под это правило, то он сразу передается, если нет, рассматривается второе правило. Если пакет не подходит под 2 предыдущих правила, то начинает действовать третье, по которому запрещается передача всех пакетов.

Современные сетевые экраны имеют гибкую систему управления и настроек, которые позволяют разрешать и запрещать соединения по различным критериям, к примеру, по адресу, протоколу, сети или порту. [2]

Классификация межсетевых экранов

Наиболее распространенным распределением брандмауэров на группы является классификация по уровню сетевой модели, который в них поддерживается. Так можно выделить пять основных категорий:

1. Управляемые коммутаторы. Хоть они и относятся к числу межсетевых экранов, отличаются они тем, что не способны на обработку поступающего извне трафика, так как работают на канальном уровне. Это самый простой из межсетевых экранов. На сегодняшний день некоторые производители стараются улучшить ситуацию, добавив возможность обрабатывать данные, основываясь на первоначальной обработке МАС-адресов. Тем не менее, управляемые коммутаторы отлично подходят, к примеру, для небольших корпоративных сетей. В такой ситуации они остаются наиболее дешевым и эффективным решением. Но существенным минусом все же остается отсутствие способности работать с протоколами более высокого уровня.

2. Пакетные фильтры. Это устройства, которые анализируют внешние данные, основываясь на полученном заголовке того или иного пакета данных. Именно так и происходит контроль трафика при использовании пакетных фильтров. Их недостатки проявляются в ситуации, когда вредоносный код разбивается на несколько сегментов. Тогда каждый вредоносный пакет выдает себя за составляющую другого разрешенного сегмента. Некоторые межсетевые экраны могут вовремя блокировать фрагментированные данные, а некоторые все же подвергаются DOS-атаке.

3. Шлюзы сеансового уровня. Шлюзы являются неким связующим элементом между сетями: внутренней и внешней. В данном случае межсетевой экран берет на себя роль прокси. Он анализирует все поступившие пакеты и подтверждает лишь те соединения, что были успешно установлены ранее.

4. Посредники прикладного уровня. Такие брандмауэры занимаются анализом самого контента, а не заголовками или МАС-адресами. Прикладные межсетевые экраны способны блокировать доступ для потенциально опасных или нежелательных последовательностей команд, которые зачастую характерны для DOS-атаки. Но несмотря на высокое качество работы данного типа брандмауэров, они несут существенные потери по времени, ведь на анализ контента может потребоваться намного больше времени, чем для рассмотренных выше типов.

5. Инспекторы состояния. Их работа похожа на принцип, на котором основываются шлюзы сеансового уровня, но инспекторы состояния имеют более удобный и простой в использовании интерфейс, у них более широкий спектр возможностей и понятная установка.

Для чего нужен межсетевой экран?

• Для того чтобы обезопасить и изолировать внутренние данные от нежелательного вмешательства и подозрительного трафика, который может исходить из глобальной сети Интернет.

• Для контроля за доступами хостов, принадлежащих внутренней сети, к выходам внешней сети, а точнее для ограничения и запрещения доступа списку хостов, адресов, портом и т.п.

• Для того, чтобы поддержать преобразование адресов сети. Необходимо для использования приватных IP для совместного подключения к интернету.

Таким образом, брандмауэры являются отличным средством для повышения безопасности сети или хоста, а также для сохранности конфиденциальных данных.

Список литературы:

1. Межсетевой_экран - [Электронный ресурс.] – Режим доступа. — URL: https://ru.wikipedia.org/wiki/Межсетевой_экран (Дата обращения: 15.08.2018).
2. Межсетевые экраны или firewall – [Электронный ресурс.] – Режим доступа. — URL: https://advsoft.ru/articles/Firewalls.php (Дата обращения: 15.08.2018).
3. What Is a Firewall? – [Электронный ресурс]. Режим доступа. — URL: https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-firewall.html (Дата обращения: 16.08.2018).
4. FIREWALL RULES – [Электронный ресурс]. Режим доступа. — URL: http://www.idconline.com/technical_references/pdfs/data_communications/Firewall_Rules.pdf (Дата обращения: 17.08.2018).