В настоящее время к межсетевым экранам предъявляют ряд определенных требований, разработанный Федеральной службой по техническому и экспортному контролю. Все они представлены на соответствующей странице
Что должен предотвращать межсетевой экран?
Исходя из указанных требований, можно сказать, что любой МЭ должен осуществлять противодействие нескольким видам угроз. К ним относится доступ к данным, которые хранятся в информационных системах и закрыты для публичного использования. Связан он с наличием неконтролируемых сетевых соединений. По этой же причине происходят и отказы в обслуживании ИС. Выход из строя компонентов информационных систем может происходить и из-за уязвимости используемых сетевых протоколов, слабых защитных механизмов, проблем с ПО и т.д. При этом, согласно Профилю, такая угроза реализуется посредством установления новых сетевых соединений, не предусмотренных заложенной технологией, для отправки большого числа пакетов данных до превышения уровня пропускающей способности или передачи аномальных запросов с нестандартным весом и структурой. Иными словами, брандмауэр должен защищать оборудование пользователей от DDoS- атак.
Еще одной важной угрозой, предотвращать реализацию которой должен МЭ, является несанкционированная передача личных данных из баз пользователя в посторонние системы. Производится она путем установки на компьютеры вредоносного ПО. Таким образом, брандмауэр необходим для защиты информации от ее попадания на вычислительную технику злоумышленников. В случае возникновения угрозы МЭ производят ограничение трафика.
Чтобы обеспечивать заданный уровень безопасности, межсетевые экраны должны противостоять воздействию на самих себя, чтобы нарушители не могли ограничить их функционирование или преодолеть какие-либо возможности.
Функциональные требования к брандмауэрам
Обеспечение надежной работы МЭ осуществляется за счет реализации следующих функций:
- фильтрация и постоянный контроль;
- идентификация пользователей и проверка их подлинности;
- регистрация событий;
- обеспечение бесперебойной работы всех подконтрольных систем и их восстановление в случае сбоев;
- тестирование и проверка целостности;
- администрирование;
- взаимодействие с другими продуктами, предназначенными для защиты информации.
Межсетевые экраны способны фильтровать весь сетевой трафик в соответствии с заданными параметрами как для отправителей, так и для получателей данных. При этом требования к ним предполагают и фильтрацию операций передачи информации к узлам ИС и в обратном направлении. Условие это весьма утопично, так как предполагает открытие всех протоколов и определение всех возможностей перемещения данных, включая DNS.
Среди признаков, по которым осуществляется фильтрация современными брандмауэрами, можно выделить:
- IP-адрес хоста адресанта в компьютерной сети;
- IP-адрес хоста получателя;
- набор данных, по которым осуществляется соединение и обмен данными (сетевой протокол);
- протокол транспортного уровня;
- номера портов источника и получателя в рамках каждой сессии;
- «белый список» команд, мобильных кодов и протоколов прикладного уровня.
При этом МЭ должны учитывать управляющие команды, отдаваемые другими продуктами и решениями, с которыми они взаимодействуют. Большинство брандмауэров имеет возможность идентифицировать программное обеспечение, отвечающее за соединение, и задавать для него параметры безопасности, по которым в дальнейшем будет назначаться фильтр.
Все входящие и исходящие пакеты данных проверяются по особой таблице состояний. Контроль производится до тех пор, пока не будет определено соответствие статуса или типа каждого пакета предполагаемым параметрам. Основываясь на результатах проверок, брандмауэры пропускают или останавливают потоки. Все операции по распознаванию информации сетевого трафика могут быть зарегистрированы, а каждая запись остается доступной для поиска и чтения.
Еще одной особенностью МЭ, отраженной в Профилях, является наличие режима аварийной поддержки, из которого в любой момент можно вернуться к штатному режиму функционирования или при необходимости ограничить доступ к интернету.