Фильтрация трафика

Фильтрация информационных потоков состоит в их выборочном пропуска­нии через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предвари­тельно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно пред­ставлять как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий: анализа информации по заданным в интерпретируемых правилах крите­риям, например, по адресам получателя и отправителя или по типу при­ложения, для которого эта информация предназначена; принятия на основе интерпретируемых правил одного из следующих ре­шений: не пропустить данные обработать данные от имени получателя и возвратить результат отпра­вителю.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно, правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляется: разрешение или запрещение дальнейшей передачи данных; выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры: служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные; непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов; внешние характеристики потока информации, например временные, частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.