Функции брандмауэров

 

Большинству из нас следует ориентироваться на уровень сетевой безопасности. Под этим термином подразумевается защита всех точек доступа к сети с применением хостовой безопасности внутри нее. Ключевым компонентом сетевой безопасности является брандмауэр (firewall) — компьютер, который обеспечивает взаимодействие сети и Интернетом, уделяя основное внимание безопасности. Брандмауэр выполняет несколько функций:

  • Сокращение количества точек доступа к сети до минимума.
  • Предотвращение несанкционированного доступа к сети.
  • Принудительная отправка трафика в Интернет через защищенные точки.
  • Предотвращение атак типа отказа от обслуживания.
  • Ограничение возможных действий в сети со стороны пользователей Интернета.

Брандмауэры не ограничиваются подключениями сети к Интернету, они также используются на серверах удаленного (модемного) доступа и при объединении сетей. Принцип работы брандмауэра заключается в направлении всего входящего и исходящего трафика по каналу, настройка которого обеспечивает контроль за службами и доступом.

Использование брандмауэров

Многие полагают, что брандмауэр представляет собой отдельный компьютер, и в некоторых сетях это действительно так. Существуют готовые конфигурации, которые не делают ничего, кроме выполнения шлюзовых функций в системе безопасности. Кроме того, администратор сети может создать отдельный хост, на котором будет работать только программное обеспечение брандмауэра. Тем не менее термин брандмауэр в большей степени относится к выполняемым функциям, нежели к физическому устройству. Брандмауэр может состоять из нескольких компьютеров, совместная работа которых обеспечивает управление взаимодействием сети с Интернетом. Для выполнения этих функций существует множество различных программ. Однако возможности брандмауэров отнюдь не ограничиваются простым отслеживанием обращений к сети. Брандмауэры не обеспечивают стопроцентной гарантии при обслуживании компьютеров. Довольно часто в них обнаруживаются дефекты, которые могут использоваться хакерами. Вдобавок брандмауэры весьма дороги, а на их установку и настройку уходит немало времени. И все же преимущества, получаемые большинством сетей от применения брандмауэров, значительно превышают проблемы. Брандмауэры способны на многое. Они обеспечивают единую точку для реализации всех мер безопасности в сети, благодаря чему изменения вносятся в одном месте, а не на каждом компьютере в сети (например, можно запретить анонимный доступ FTP). Брандмауэры обеспечивают соблюдение политики безопасности на уровне сети — например, запретить доступ к службам Интернета для всех, кто находится внутри сети. Впрочем, брандмауэры не всесильны, и вы должны понимать, чего они сделать не смогут. Брандмауэр никак не помешает пользователю, находящемуся внутри сети, сделать что-либо с другим компьютером сети. Брандмауэр не защитит сеть от вторжения с другого подключения — например, если компьютер с системой Windows подключится к Интернету по модему через поставщика (если пересылка данных не проходит через брандмауэр, вся безопасность, предоставляемая брандмауэром, будет фактически обойдена). Наконец, брандмауэр не спасает от многих напастей, распространяемых через Интернет, таких как вирусы и троянские программы. Существует два варианта реализации брандмауэра в сети:

Второй вариант проще, но он обходится достаточно дорого. Например, типичный пакет программного обеспечения брандмауэра для Unix в небольшой сети стоит от $10 ООО и выше. С увеличением размеров сети стоимость программного обеспечения брандмауэра может возрасти более чем в 10 раз! Преимущества коммерческих пакетов просты: большая часть работы уже выполнена за вас. Остается лишь воспользоваться меню для выбора служб, доступ к которым нужно разрешить или запретить, а пакет сделает все остальное. При самостоятельном построении брандмауэра для решения тех же задач приходится настраивать компьютер, находящийся между сетью и Интернетом. Разрешение или запрет доступа требует ручной настройки каждой службы. Например, на компьютерах с системой Unix для блокировки некоторых типов запросов приходится редактировать файлы конфигурации сети и такие файлы, как /etc/services. Самостоятельное построение брандмауэра занимает много времени, требует опыта и долгих экспериментов. С другой стороны, вам не придется тратить много денег на покупку коммерческого пакета. При установке брандмауэра вам будет предоставлена возможность настроить несколько аспектов защиты.