Сетевая безопасность — насущная задача для любой сети, независимо от того, домашняя ли она или же это сеть предприятия. И купить межсетевой экран для этой цели — верное решение. Дело в том, что для поверхностной защиты сети встроенного брандмауэра хватает, а вот для полноценной веб-фильтрации этого будет мало. Да и полноценную защиту от атак таким способом обеспечить не выйдет. Тут-то и пригодится фаервол.
Что такое межсетевой экран и как он работает
Такое устройство представляет собой программный или же программно-аппаратный компонент компьютерной сети. Он контролирует и фильтрует сетевой трафик, который через него проходит, по заданным правилам. У него есть несколько фильтров, задача которых заключается в обработке информационного потока. При этом у каждого фильтра есть свое, отдельное правило, которое он интерпретирует.
Примечание: если мы говорим о программно-аппаратном экране, то он может быть выполнен в виде отдельного устройства. Также он может быть представлен модулем, интегрированным в другое устройство, например, свитч или же маршрутизатор.
Модели могут обрабатывать трафик, который к ним поступает, согласно одному из двух принципов:
Что не запрещено, то разрешено. Это означает, что если устройство получило пакет данных, которые не попадают ни под одно установленное правило, то они передают его дальше.
Что не разрешено, то запрещено. Устройство, функционирующее по этому принципу, обеспечивает большую надежность. Дело в том, что любой трафик, если в правилах не сказано, что он разрешен, автоматически блокируется. Однако стоит помнить, что несмотря на лучшую защиту, такой принцип чреват дополнительной нагрузкой для администратора.
В любом случае, межсетевые экраны выполняют простую, но очень важную функцию. Они либо пропускают пакет информации дальше на компьютер пользователя или отклоняют трафик. Существуют также модели, которые не просто отклоняют трафик. Дополнительно они сообщают пользователю, который пытался получить доступ к данным, что сервис недоступен. Однако считается, что это менее безопасно, чем запрет трафика без сообщения об этом.
Классификация межсетевых экранов
До сих пор четкой классификации, которая являлась бы общепринятой, нет. Впрочем, наиболее часто модели делят на виды исходя из того, какой уровень OSI они поддерживают. Итак, по этому признаку сетевые экраны делят на:
Управляемые коммутаторы — фильтруют трафик, передающийся по локальной сети. По этой причине их нередко относят к фаерволам. Однако из внешних сетей такие устройства данные не обрабатывают, так как функционируют на канальном уровне.
Пакетные фильтры — работаю уже на сетевом уровне. Они умеют фильтровать поступающие данные, основываясь на информации из заголовков пакетов. Многие такие устройства способны даже обрабатывать заголовки протоколов такого высокого уровня, как транспортный.
Шлюзы сеансового уровня — девайсы не дают узлам локальной сети напрямую взаимодействовать с внешним хостом, являясь своего рода посредниками. Фишка таких моделей заключается в том, что они проверяют любые поступающие пакеты данных, основываясь на текущей фазе соединения. Это означает, что если пакет не принадлежит к тому соединению, которое было установлено раньше, он не пройдет.
Шлюзы прикладного уровня — к таким моделям относятся фаерволы веб-приложений. Они, как и модели предыдущего типа, не дают узлам взаимодействовать друг с другом напрямую. Однако прикладные межсетевые экраны умеют распознавать контекст трафика, что бережет от Dos атак. Кроме того, модели способны определять тип передаваемых данных, проверять аргументы входа информации. Также они умеют распознавать пользователя и проверять SSL-сертификаты.
Инспекторы состояния — наиболее продвинутые модели, объединяющие преимущества всех вышеперечисленных типов. Такие межсетевые экраны умеют анализировать каждый передаваемый пакет, сессию и приложение. Кроме того, они характеризуются высокой производительностью и простотой в настройке.
Основные параметры межсетевых экранов
Сразу скажем, что здесь речь пойдет об отдельных устройствах. Итак, чтобы купить фаервол, который подойдет вашей сети, нужно учитывать:
Количество портов, включая LAN, WAN и DMZ. Лучше брать вариант, оснащенный большим количеством портов, чем нужно изначально. Это пригодится в случае расширения сети.
Скорость передачи данных — существуют модели с показателем от 100 Мбит/сек и аж до 7,4 Гбит/сек. Что выбрать, зависит от особенностей вашей сети.
Поддержку VPN и IPSec туннелей — для объединения удаленных участков сетей и защиты передачи данных;
Максимальное количество сессий без потери производительности как при обычном, так и при VPN-соединении.
Поддержку VLAN — для создания независимых подсетей. Их возможное количество тоже надо принять во внимание.
Зная особенности межсетевых экранов, вы сможете без труда выбрать оптимальный фаервол здесь и защитить свою сеть.
Все материалы на данном сайте взяты из открытых источников или присланы посетителями сайта и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам. Администрация сайта ответственности за содержание материала не несет. (Правообладателям)