Средства межсетевого экранирования
Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АС и/или выходящей из АС, и обеспечения защиты АС посредством фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путем удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АС. Фильтрация пакетов данных может осуществляться по параметрам протоколов, относящихся к различным уровням модели ВОС (табл. 2). Важно отметить, что правила фильтрования пакетов данных, проходящих через МЭ, могут определяться на основе двух базовых методов.
• «Все, что не запрещено — разрешено». Правила фильтрации, построенные на основе этого метода, по существу определяют те типы пакетов, которые должны быть заблокированы МЭ. При этом все остальные пакеты данных, проходящие через МЭ, считаются разрешенными.
• «Все, что не разрешено — запрещено». Правила фильтрации, сформированные на основе данного метода определяют только разрешенные пакеты данных, которые могут поступать или отправляться из АС. При этом МЭ блокирует все остальные проходящие через него пакеты данных. Данный метод позволяет сформировать более строгие правила фильтрации за счет минимизации разрешенных типов пакетов.
МЭ также позволяет скрыть реальные IP-адреса защищаемой АС при помощи функции трансляции сетевых адресов NAT (Network Address Translation), которая выполняется следующим образом. При поступлении пакета данных в МЭ он заменяет реальный IP-адрес отправителя пакета данных на виртуальный и пересылает измененный пакет получателю (рис. 10). При получении ответных пакетов МЭ выполняет обратные действия по замене IP-адресов.
Табл. 2. Примеры критериев фильтрования пакетов данных на различных уровнях стека TCP/IP
| Уровни модели ВОС | Примеры критериев фильтрования |
| Сетевой | На сетевом уровне МЭ имеют возможность проводить анализ значений параметров заголовков IP- или ICMP-пакетов, а также пакетов данных, сформированных на основе протоколов маршрутизации. Примерами критериев фильтрования этого уровня являются: IP-адреса получателя и отправителя IP-пакета; тип протокола, при помощи которого сформировано сообщение, размещенное в поле данных IP-пакета; тип пакета данных ICMP и др. |
| Транспортный | На транспортном уровне МЭ имеют возможность анализировать значения параметров заголовков TCP-сегментов и UDP-дейтаграмм, таких как: номера TCP- и UDP-портов отправителя и получателя TCP-сегмента или UDP-дейтаграммы; значение флагового поля передачи TCP-сегментов; длина TCP-сегмента и др. |
| Прикладной | Учитывая, что на прикладном уровне может использоваться большое число различных протоколов, каждый из которых имеет собственные параметры, ниже приводятся лишь обобщенные типы критериев фильтрации для этого уровня: длина заголовка блока данных прикладного уровня; тип команды, содержащейся в блоке данных прикладного уровня; адрес ресурса, которому предназначена команда, содержащаяся в блоке данных прикладного уровня и др. |
Трансляция IP-адресов может осуществляться МЭ в одном из четырех режимов: динамическом, статическом, статическом с динамической выборкой IP-адресов и комбинированном. При динамической трансляции все пакеты данных пересылаются внешним узлам с одного виртуального IP-адреса. Для того, чтобы различать пакеты данных, предназначенные для разных адресатов, МЭ присваивают каждому соединению уникальное числовое значение номера TCP- или UDP-порта. В режиме статической трансляции МЭ выделяют каждому узлу защищаемой АС отдельный виртуальный IP-адрес, с которого и осуществляется отправка пакетов данных. Статический режим трансляции с динамической выборкой полностью аналогичен статическому режиму за исключением того, что узлам АС соответствуют не статические, а динамические виртуальные IP-адреса, то есть они выбираются МЭ случайным образом из заданного множества. Комбинированный режим трансляции IP-адресов подразумевает одновременное использование нескольких режимов трансляции, рассмотренных выше.
Рис. 10. Схема трансляции IP-адресов в МЭ
МЭ могут реализовываться как на основе аппаратного, так и программно-аппаратного обеспечения. При этом МЭ, выполненные в виде автономных программно-аппаратных блоков, могут устанавливаться в разрыв каналов связи АС между двумя сегментами АС, для которых необходимо реализовать разграничение доступа. Как правило, такие МЭ устанавливаются в точке подключения АС к сети Интернет.
Программные реализации МЭ могут быть установлены на серверы, рабочие станции или на некоторые типы маршрутизаторов и коммутаторов. Учитывая, что МЭ могут фильтровать пакеты данных на основе критериев разных уровней модели ВОС, то они могут быть отнесены к средствам защиты канального, сетевого, транспортного и прикладного уровней. Кроме того, МЭ относятся к активным средствам защиты, поскольку позволяют отфильтровывать опасные пакеты данных, обеспечивая тем самым блокирование потенциальных информационных атак, направленных на нарушение конфиденциальности, целостности или доступности информации АС.
В качестве примеров средств межсетевого экранирования можно привести системы «Cisco PIX» (компании Cisco Systems), «Checkpoint FW-1» (компании Checkpoint Software Technologies, «Z2» (компании «Инфоси-стемы Джет») и «Shield-FW» (компании «ЛИССИ»).
Дата добавления: 2016-04-19; просмотров: 3310;