ООО «А-Реал Консалтинг»
150044
Россия
Ярославль
ул. Полушкина роща, дом 16, строение 67а, офис №3
8 495 240-92-96

Виды и предназначения межсетевых экранов

В эпоху интернета и информационных технологий каждый бизнес должен заботиться о конфиденциальности и защите данных, составляющих коммерческую тайну. Даже один файл, оказавшийся в руках конкурента или злоумышленника, может дорого обойтись. Сохранить время, деньги и деловую репутацию поможет установленный в сеть межсетевой экран. Это удобный инструмент, с помощью которого можно контролировать трафик. Для этого системный администратор использует:

  • IP-адреса. При этом блокируется поток данных, который поступает с определенного IP-адреса, системный администратор вносит IP в «белый» и «черный» списки.
  • Доменные имена. Заблокировав только определенные сайты, можно улучшить рациональное использование рабочего времени сотрудниками предприятия.
  • Блокировку по портам. Используется для того, чтобы заблокировать определенный сервис (приложение). Например, 80 порт отвечает за доступ к сайтам. Заблокировав этот порт во всей локальной сети, можно добиться того, что с компьютеров сети нельзя будет зайти ни на один сайт.
  • Протоколы. Можно заблокировать протокол HTTP/HTTPS, FTP или любые другие.

Типы межсетевых экранов

Для фильтрации трафика в локальной сети применяют различные виды файрволов:

  • программные;
  • программно-аппаратные.

Первый тип имеет вид классических программ, устанавливаемых на компьютер пользователя. Иногда под него выделяют отдельный сервер.

Межсетевой экран аппаратно-программного типа может представлять собой и отдельное, самостоятельное оборудование, и быть модулем других сетевых устройств (маршрутизатора, коммутаратора и т. д.).

Использование подобных устройств для защиты информации имеет неоспоримые преимущества:

  • Программно-аппаратные межсетевые экраны характеризуются высокой степенью отказоустойчивости, выдерживают DDOS-атаки.
  • Самим устройством можно управлять посредством как стандартного, так и защищенного протокола.
  • Высокая производительность.

К данному типу МЭ можно отнести ИКС. При установке данного ПО вы получите комплексную защиту сети, которая обеспечит необходимый уровень сохранности данных.

Приведенная выше классификация межсетевых экранов далеко не единственная — существует и другая. В ее основе лежит технология, используемая для фильтрования трафика. По данному критерию они делятся на такие виды:

  • NGFW (МЭ нового поколения);
  • NGFW с функцией активной защиты
  • аппаратно-программные устройства со «вшитой» опцией контроля за сеансами;
  • UTM решения;
  • прокси-сервера.

NGFW — межсетевые экраны нового поколения

Фильтрование трафика в них выполняется не только по портам и протоколам, а на уровне приложений и их функциональности. Поэтому файрволы NGFW очень хорошо справляются и с вирусами, и с атаками хакеров.

К ним предъявляются определенные требования. Они должны:

  • защитить сеть от атак с компьютеров, которые заражены вирусами;
  • иметь возможность инспектирования трафика в защищенных и незащищенных соединениях;
  • контролировать поток трафика на уровне приложений;
  • поддерживать обновления определений IT-угроз.

Модернизацией NGFW являются межсетевые экраны с функцией активной защитой от вирусов и взломов. В их функциональности должны присутствовать:

  • учет прошлых соединений и обнаружение ресурсов, которые создают повышенные риски;
  • возможность самостоятельной установки политик и управления работой системы;
  • возможность корреляции событий, которые происходят на отдельном компьютере и в локальной сети. Благодаря этому можно эффективно отражать даже самые сложные и сильные атаки по сети.

Как работают межсетевые экраны с функцией контроля состояния сеансов

Этот вид более популярен, чем рассмотренный выше. Его работа основана на анализе:

  • протокола соединения;
  • состояния порта.

Анализируя эту информацию, экран «принимает решение», что делать: заблокировать трафик или пропустить его к пользователю. Работа базируется на определенных системным администратором правилах и так называемом контексте (данных о прошлых интернет-соединениях).

Как работают UTM-решения

UTM-решения появились в 2004 году. Необходимость их внедрения была вызвана увеличившейся изощренностью хакеров и прочих киберпреступников. Межсетевые экраны UTM сочетают в себе несколько функций:

  • контент-фильтрации;
  • IPS (барьер против атак по сети);
  • защиты от вирусов и спама;
  • контроль доступа и др.

Программно-аппаратный МЭ имеет несколько процессоров . Например, процессор контента фильтрует архивные файлы и не вызывающие доверия пакеты данных.

Сетевой процессор ответственен за:

  • обработку TCP-сегментов;
  • алгоритмы шифрования;
  • трансляцию IP-адресов.
  • Процессор безопасности отвечает за две ее составляющих: антивирус и сервис IPS. Программные составляющие файрвола также имеют несколько функций: обеспечение безопасности серфинга, антиспам.

    Преимущества и недостатки прокси-сервера

    Прокси-сервер — это шлюз, посредник между пользователем и удаленным сервером. Когда с браузера пользователя отправляется запрос, он сразу поступает на прокси-сервер. Затем шлюз перенаправляет этот запрос на требуемый сервер и получает данные, которые и пересылает пользователю (клиенту). Прокси-сервер может модифицировать ответ, который был получен от целевого сервера.

    Его преимущества:

    • гарантирует пользователю анонимность: удаленный сервер «видит» IP прокси-сервера, а не IP-клиента;
    • может защитить пользователя от определенных угроз (как правило, самых простых);
    • видит все данные о программах и частично получает сведения об актуальном соединении.

    Вместе с тем, они не лишены и некоторых недостатков:

    • несовместимы с протоколом UDP;
    • для любого интернет-сервиса потребуется отдельный прокси, что сокращает возможность масштабирования для всей системы в целом;
    • имеет недостаточно высокую производительность;
    • большая степень чувствительности к возникающим в программных платформах и отдельных приложениях сбоям.

    Недостаток анализа данных

    Любая технология имеет ограничения. Так, МЭ могут анализировать только тот трафик, который они четко понимают, интерпретируют, ведь они работают на уровне приложений и протоколов передачи данных.

    Примером не распознающего трафика может быть трафик, защищенный криптографическим шифрованием, или к которому был применен механизм туннелирования данных.

    Поэтому от системного администратора требуется задать четкие правила, что должен делать межсетевой экран при «встрече» с таким подозрительным трафиком.

    Возврат к списку
Вверх