24 C°
Защита информации

Межсетевой экран

514
ИП 212-79 «Аврора ДА»
Производитель:
Аругс-Спект
Страна:
Россия
716

Межсетевой экран представляет собой комплекс задач по предотвращению
несанкционированного доступа, повреждения или хищения данных, либо иного
негативного воздействия, которое может повлиять на работоспособность сети.

Межсетевой экран, его также называют фаервол (от англ. Firewall) или
брандмауэр на шлюзе позволяет обеспечить безопасный доступ
пользователей в сеть Интернет, при этом защищая удаленное подключение к
внутренним ресурсам. Межсетевой экран просматривает через себя весь
трафик, проходящий между сегментами сети, и для каждого пакета
реализует решение — пропускать или не пропускать. Гибкая система правил
межсетевого экрана позволяет запрещать или разрешать соединения по
многочисленным параметрам: адресам, сетям, протоколам и портам.

Методы контроля трафика между локальной и внешней сетью

  • Фильтрация пакетов. В зависимости от того удовлетворяет ли
    поступающий пакет указанным в фильтрах условиям он пропускается в сеть
    либо отбрасывается.
  • Stateful inspection. В этом случае осуществляется инспектирование
    входящего трафика – один из самых передовых способов реализации
    Firewall. Под инспекцией подразумевается анализ не всего пакета, а лишь
    его специальной ключевой части и сравнении с заранее известными
    значениями из базы данных разрешенных ресурсов. Такой метод
    обеспечивает наибольшую производительность работы Firewall и наименьшие
    задержки.
  • Proxy-сервер. В данном случае между локальной и внешней сетями
    устанавливается дополнительное устройство proxy-сервер, который служит
    «воротами», через который должен проходить весь входящий и исходящий
    трафик.

Межсетевой экран позволяет настраивать фильтры, которые отвечают за
пропуск трафика по:

  • IP-адрес. Задав какой-то адрес либо определенный диапазон можно
    запретить получать из них пакеты, либо наоборот разрешить доступ только
    с данных IP адресов.
  • Порт. Фаервол может настроить точки доступа приложений к услугам
    сети. К примеру, ftp использует порт 21, а приложения для просмотра
    web-страниц порт 80.
  • Протокол. Брандмауэр может быть настроен на пропуск данных только
    какого-либо одного протокола, либо запретить доступ с его
    использованием. Чаще всего тип протокола может говорить о выполняемых
    задачах, используемого им приложения и о наборе параметров защиты. В
    связи с этим, доступ может быть настроен только для работы какого-либо
    одного специфического приложения и предотвратить потенциально опасный
    доступ с использованием всех остальных протоколов.
  • Доменное имя. В данном случае фильтр запрещает или разрешает
    соединения конкретных ресурсов. Это позволяет запретить доступ с
    нежелательных сервисов и приложений сети, либо наоборот разрешить
    доступ только к ним.

Для настройки могут применяться и другие параметры для фильтров,
характерные для данной конкретной сети, в зависимости от выполняемых в
ней задач.

Чаще всего межсетевой экран используется в комплексе с другими
средствами защиты, к примеру, антивирусное программное обеспечение.

Принцип действия межсетевого экрана

Брандмауэр может быть выполнен:

  • Аппаратно. В таком случае в роли аппаратного фаервола выступает
    маршрутизатор, который располагается между компьютером и сетью
    Интернет. К фаерволу может быть подключено несколько ПК и при этом все
    они будут защищены межсетевым экраном, который выступает частью
    маршрутизатора.
  • Программно. Наиболее распространенный тип межсетевого экрана, который
    представляют собой специализированное программное обеспечение, которое
    пользователь устанавливает на свой ПК.

Даже если подключен маршрутизатор со встроенным межсетевым экраном,
дополнительно может быть установлен программный фаервол на каждый
компьютер в отдельности. В таком случае злоумышленнику будет сложнее
проникнуть в систему.

Официальные документы

В 1997 году был принят Руководящий документ Гостехкоммиссии при
Президенте РФ «Средства вычислительной техники. Межсетевые экраны.
Защита от НСД к информации. Показатели защищенности от НСД к
информации». Данный документ устанавливает пять классов защищенности
межсетевого экрана, каждый из которых характеризуется определенной
минимальной совокупностью требований по защите информации.

В 1998 году был разработан еще один документ: «Временные требования к
устройствам типа межсетевой экран». Согласно данному документу
установлено 5 классов защищенности межсетевого экрана, которые
применяются для защиты информации в автоматизированных системах,
содержащих криптографические средства.

А с 2011 года вступили в силу требования законодательства по
сертификации межсетевых экранов. Таким образом, если в сети предприятия
осуществляется работа с персональными данными, то требуется установить
межсетевой экран, сертифицированный Федеральной службой по экспортному
контролю (ФСТЭК).