Що потрібно знати про одну з головних технологій мережного захисту.

Міжмережеві екрани відіграють центральну роль в ІТ-безпеки, перебуваючи між внутрішніми мережами і зовнішнім світом, і призначені для захисту комп’ютерів, додатків та інших ресурсів від зовнішніх атак.

Хоча є кілька типів брандмауерів, технологію можна в цілому визначити як сукупність відповідних програм безпеки, які знаходяться на мережевому шлюзі і забезпечують колективний захист мережі від користувачів інших мереж.


Види Брандмауерів

Хоча всі міжмережеві екрани являють собою програмне забезпечення, брандмауери самі по собі діляться на дві загальні категорії: апаратні та програмні. Апаратні брандмауери являють собою виділене пристрій безпеки, на якому вже встановлено захисне програмне забезпечення, типове для різних ОС. Програмне забезпечення брандмауерів, з іншого боку, може бути встановлено на будь-який сервер, оснащений мережевою ОС, такий як Windows або Linux.

Підприємства, як правило, при виборі брандмауера виходять з потреб і переваг, які є унікальними для кожної компанії. Загалом враховується: архітектура брандмауера (апаратний або програмний), кількість одночасних сесій пропускаються міжмережевим екраном, тип необхідного зовнішнього доступу, тип та кількість необхідних протоколів VPN (віртуальних приватних мереж), число одночасних VPN’ів, які потребують захисту, переважні типи управління — користувацькі інтерфейси (командний рядок, графічний або web-based інтерфейси) і потреба в більш складних функціях.

Ціна на брандмауер може коливатися від менш ніж $100 за базову модель — програмного продукту, який призначений для захисту домашньої мережі або малого офісу, до $20000 і більше за промислові апаратні пристрої, що забезпечують захист ресурсів підприємств.

Типи Брандмауерів

Оскільки не існує двох однакових мереж, виробники пропонують безліч різних типів брандмауерів (як апаратних, так і програмних), які покликані задовольнити конкретні потреби клієнта. Основні підходи поділяються на пакетну фільтрацію, фільтрацію на рівні додатків і ланцюгову фільтрацію.

Брандмауери пакетної фільтрації: це основна форма брандмауера. Брандмауер не робить нічого, крім фільтрації пакетів. Це означає, що брандмауер приймає або відкидає IP-пакети на основі визначених правил. При пакетної фільтрації брандмауер уважно аналізує в кожному пакеті протокол та адресу; зміст і контекст даних при цьому не розглядаються. Основними перевагами пакетної фільтрації брандмауерів є їх відносна простота, низька вартість, а також швидке і просте розгортання. Програмні міжмережеві екрани для дому та малого бізнесу, як правило, дуже різні, в тому числі брандмауер, який вбудований в деякі версії Windows.

Брандмауер сеансового рівня: Цей тип брандмауера дозволяє не просто прийняти або відкинути пакет, а визначає, чи з’єднання підходящим під набір певних правил. Якщо всі перевірки пройдено, то брандмауер відкриває сесію, і допускає трафік тільки від авторизованого джерела. Трафік також може бути дозволено лише на обмежений період часу. Крім того, брандмауер може перевіряти IP-адресу і порт джерела, IP-адресу і порт одержувача, використовуваний протокол, ідентифікатор користувача, пароль, час, або, швидше за все, кілька з цих умов одночасно. Крім того, на цьому рівні може застосовуватися і пакетна фільтрація.

Великим недоліком цього рівня міжмережевих екранів є те, що вони функціонують на транспорті рівні і, отже, можуть потребувати значних змін у функціях транспортного рівня. Це може позначитися на працездатності і функціонування мережі. Крім того, брандмауер ланцюгового рівня вимагає більш широких знань при установці і обслуговуванні.

Брандмауери рівня додатків. При такому підході, брандмауер діє як проксі-сервер додатків, кеш всіх дані і здійснює обмін інформацією з віддаленою системою. Основна ідея цієї концепції полягає в тому, щоб сервер, що знаходиться за фаєрволом був невидимий для віддаленої системи.

Брандмауер рівня додатків може прийняти або відкинути трафік на підставі конкретного набору правил. Брандмауер може, наприклад, вирішити деякі команди, відкидаючи інші. Ця технологія також може бути використана для обмеження доступу до певних типів файлів, а також надавати різні рівні доступу авторизованим і неавторизованим користувачам. Міжмережевий екран рівня додатків, в основному, використовують користувачі, які хочуть бачити детальний моніторинг трафіку і протоколювати звернення до хосту. IT-адміністратори можуть встановити міжмережевий екран рівня додатків для створення попереджень і повідомлень у разі виникнення певних станів. Шлюз рівня додатків, як правило, розміщений на окремому комп’ютері, підключеному до мережі і зазвичай називається проксі-сервером.

Багаторівневі брандмауери. Як правило, пропоновані виробниками як «кращі в своєму класі рішення, такі продукти поєднують кращі властивості декількох типів брандмауерів. Багаторівневі брандмауери призначені для виконання фільтрації пакетів на мережному рівні при одночасній обробці даних на рівні додатків. Ці міжмережеві екрани забезпечують дуже високий рівень захисту мережі, але можуть бути дуже дорогими.

Багато виробників пропонують набір додаткових можливостей, які розширюють базовий набір функцій брандмауера. А саме: антивірусний захист, фільтрацію вмісту, запобігання вторгнень і сповіщення про активності та використанні даних. З огляду на швидко мінливі темпи мережевої безпеки, найкращим для підприємства було б придбання продукту, який можна легко оновити для посилення ефективності і додавання нових можливостей.

Джерело