Виды и предназначения межсетевых экранов

Резюме

В условиях участившихся кибератак своевременное обнаружение
угроз, их идентификация и противодействие — залог сохранения безопасности
личных или корпоративных данных, файлов и других сведений.

Это обеспечивает необходимость использования программных и
аппаратных средств киберзащиты, включая межсетевые экраны, IDS, IPS, UTM, NGFW,
а также NTA и NDR. Каждый из инструментов имеет свои преимущества, сценарии
использования и сферы назначения. Как классические, так и новые системы, лучше
применять в комбинации друг с другом. Такой подход позволит максимально обезопасить
используемые устройства и данные на них. 

«Важно заметить, что не существует универсального
рецепта для обеспечения защиты информации автоматизированной системы с
применением указанных в статье средств. Проектирование необходимо начинать с
моделирования угроз для вашей инфраструктуры — учитывая ее подбирать и
настраивать средства защиты информации (СЗИ)

Совместно с использованием СЗИ
возможно эффективное применение риск-ориентированного подхода при оценке угроз
безопасности. Вне зависимости от выбранного метода, защитой организации должны
заниматься профессионалы каждого направления. По окончании построения системы
защиты информации желательно провести оценку ее эффективности», — комментирует Сергей Волков, директор центра киберзащиты
SberCloud.

Что такое межсетевой экран

Межсетевой экран (МЭ, файрвол, брандмауэр) — инструмент, который фильтрует входящий и исходящий сетевой трафик. Он анализирует источник трафика, время передачи, IP-адрес, протокол, частоту сообщений и другие параметры, после чего принимает решение: пропустить или заблокировать трафик.

У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.

Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.

Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:

  • Несанкционированного доступа из интернета в защищенную сеть. Например, если из интернета придет пакет данных от ненадежного адресата, МЭ его не пропустит.
  • Неконтролируемых сетевых подключений. Если кто-то попытается устроить DDoS-атаку, чтобы уронить серверы компании, МЭ не пропустит все эти пакеты данных.
  • Несанкционированной передачи из защищенной сети в интернет. Например, вирус проник на сервер, собрал данные и пытается отправить их хакеру. МЭ заметит передачу подозрительному адресату и заблокирует ее — данные не утекут в сеть.

Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.

Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.

Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.

Как его отключить или полностью удалить

Если брандмауэр мешает работе и создает сложности, его можно отключить. Но следует позаботиться о другой защите компьютера.

Для отключения нужно:

  • выбрать “Включение и отключение”;
  • поставить галочки на “Отключить”;
  • нажать “Ок”;
  • перезагрузить компьютер.

Но в работе еще остается служба, отвечающая за сетевую фильтрацию, поэтому процесс останется запущенным, занимая ресурсы оперативки и вызывая конфликты с посторонними защитными приложениями.

Как остановить службу:

  • в панели управления выбрать “Администрирование”;
  • нажать на ”Службы”;
  • два раза нажать на “Брандмауэр”, вызвав меню управления;
  • остановить службу, выбрать статус “Отключена”;
  • нажать “Ок”

Удалить стандартный брандмауэр невозможно. Можно удалить только службу, чтобы навсегда завершить работу файрвола.

Для этого:

  • открыть консоль “Командная строка”. Для этого можно в системе открыть c:\windows\system32\cmd;
  • ввести команду sc delete mpssvc;
  • нажать Enter;
  • перезагрузить компьютер.

Что такое NTA и NDR

NTA и NDR (Network Traffic Analysis и Network Detection
and Response) — системы, предназначенные для перехвата и анализа сетевого
трафика, обнаружения сложных и целевых атак, ретроспективного изучения сетевых
событий, распознавания действий злоумышленников и реагирования на них.

Системы NTA и NDR задействуют в своей работе множество
методик и техник, в том числе поведенческий анализ и машинное обучение. Это
позволяет им легко адаптироваться к среде и работать в сетях любого масштаба,
независимо от их архитектуры и особенностей.

Функции NTA и NDR

анализ внешнего и в большинстве
случаев внутреннего трафика с учетом большого числа периметровых и
инфраструктурных протоколов (HTTP, DNS, SMTP, SMB, LDAP, DCERPC);

обнаружение подозрительных и
вредоносных активностей через поведенческий анализ, машинное обучение,
ретроспективный анализ и другие методики;

Отличительные преимущества

Новая версия АПКШ «Континент» 3.7 с функциями СОВ – это демонстрация того, как эволюционируют отечественные системы сетевой защиты, чтобы противостоять новым угрозам. Применение таких комплексов, как АПКШ «Континент», позволит построить безопасную и надежную корпоративную сеть, обеспечивающую защищенное взаимодействие с удаленными филиалами и мобильными сотрудниками без потери производительности и удобства эксплуатации системы.

В состав новой версии «Континент» включена система обнаружения вторжений (СОВ), выполняющая функции автоматического обнаружения сетевых атак за счет динамического анализа трафика стека протоколов TCP/IP. В СОВ «Континент» применяются как сигнатурные (с коммерческими сигнатурами атак ETPro от Emerging Threats), так и эвристические методы обнаружения вторжений собственной разработки «Кода Безопасности», за счет чего обеспечивается гарантированная реакция на актуальные сетевые угрозы и низкий уровень ложных срабатываний. СОВ «Континент» работает на специализированной аппаратной платформе с предварительно установленным программным компонентом детектора атак. Управление и контроль функционирования системы осуществляется централизованно при помощи Центра управления сетью (ЦУС) «Континент».

Новую версию АПКШ «Континент» также отличает применение уникальной программно-аппаратной технологии ускорения криптографических операций, благодаря которой максимальная производительность криптографической обработки трафика достигает 3 Гбит/с (на платформе «Континент» IPC-3000F в режиме FW/VPN). Кроме этого, добавлена функция поддержки балансирующего кластера, позволяющего распределять шифрованный трафик внутри фермы криптошлюзов для достижения производительности свыше 10 Гбит/с.

Что умеет межсетевой экран

1. Прекратить подмену трафика. Если ваш компьютер обменивается данными с другим компьютером, при этом IP-адреса обоих устройств известны. Мошенники могут подделать свой траффик под данные, исходящие из одного из легитимных компьютеров, но при этом отправить его с другого IP. Межсетевой экран заметит подмену и не позволит ложному траффику проникнуть в вашу сеть.

2. Оградить сеть от DDoS-атак. Если злоумышленники отправляют на ваше устройство множественные запросы с зараженных устройств, пытаясь вывести ваши ресурсы из строя, брандмауэр может это обнаружить и отфильтровать.

3. Остановить передачу данных на незнакомый IP-адрес. Если вы скачали и установили на компьютер вредоносное ПО, оно может попытаться передать ваши данные злоумышленнику. Межсетевой экран способен автоматически остановить этот процесс.

Как настроить брандмауэр

Настройка брандмауэра осуществляется в нескольких направлениях.

Как открыть порт в брандмауэре Windows 10

  1. Заходим в меню «Пуск», там нам понадобится Панель управления.

    Открываем Панель управления

  2. Кликаем на «Система и безопасность» и нажимаем на «Брандмауэр».

    Открываем Брандмауэр Windows

  3. В меню брандмауэра находим Дополнительные параметры.

    Выбираем Дополнительные параметры

  4. Выбираем Правило для входящего подключения и добавляем необходимые порты.

    Создаем новое правило для входящего подключения

  5. Нажимаем «Далее» и вписываем в строку «Тип» SQL Server.

    Выбираем тип правила

  6. Указываем порт TCP и нужные нам порты.

    Указываем необходимую информацию. В нашем случае это будет порт 433

  7. Выбираем нужное действие. У нас это будет «Разрешить подключение».

    Выбираем «Разрешить подключение»

  8. В строке «Имя» вводим номер нашего порта.

    В завершение настройки называем наш порт по его номеру

Видео: как открыть порты в брандмауэре Windows 10

Как добавить в исключения брандмауэра

  1. В «Брандмауэр Windows» заходим в раздел «Разрешить запуск программы или компонента Windows».
  2. В самом брандмауэре разрешаем запуск программы или компонента.

    Если нужной программы в списке нет, нажимаем «Разрешить другое приложение»

  3. Нажимаем «Разрешить другое приложение» в правом нижнем углу.
  4. В открывшемся окне находим нужное нам приложение и нажимаем на «Добавить». Таким образом активируем исключение.

Видео: настройка и отключене брандмауэра в Windows 10

Как заблокировать приложение/игру в файрволе

Чтобы заблокировать приложение в бранмауэре Windows или, иными словами, запретить ему доступ в интернет, необходимо выполнить следующие действия:

  1. Выбираем в меню брандмауэра раздел «Дополнительные параметры».
  2. Кликаем на «Правила исходящих подключений» и нажимаем «Создать правило»

    Создаем новое правило для приложения

  3. Далее выбираем тип правила «Для программы».

    Так как нам необходимо исключить программу, выбираем соответствующий тип правила

  4. Далее система предлагает выбрать путь программы. Нажимаем кнопку «Обзор» и находим нужный файл программы.

    Чаще всего для блокировки программы необходим файл в расширении «exe»

  5. Затем нажимаем «Далее», оставляем на месте пункт «Блокировать подключение»

    Блокируем программе доступ к интернету

  6. Так же, как и в настройке доступа портов, оставляем все галочки на типах профилей.

    Оставляем все галочки на месте

  7. И в конце обозначаем удобным нам образом имя заблокированной программы и нажимаем «Готово». С этот момента доступ в интернет для приложения будет заблокирован.

Видео: блокировка доступа в интернет для отдельных программ

Обновление брандмауэра

Обновление брандмауэра — вещь неоднозначная и скорее даже негативная. Дело в том, что никаких важных функций оно не несёт, но зато часто отнимает немалое количество времени. Поэтому некоторые люди предпочитают отключать автообновление файрвола.

  1. Зажимаем одновременно Win и R, в появившееся окошко «Выполнить» вписываем команду services.msc и нажимаем клавишу Enter. Появляется окно «Службы».

    Нам понадобится Центр обновления Windows

  2. Выбираем «Центр обновления Windows».
  3. Далее кликаем на выбранном пункте правой кнопкой мыши и в контекстном меню выбираем «Остановить». Теперь файрвол не будет обновляться самостоятельно.

Firewall control

Приложение Firewall control является одной из вспомогательных программ и отвечает за безопасность данных и ограждает от утечки этих данных в сеть. Программа контролирует работу портов и позволяет выбирать, на каких условиях приложения будут подключаться к сети.

Интерфейс программы прост и лаконичен

Отзывы об этой программе в интернете положительные.

Очень полезная вещь. Один раз вычислил майнера, который пытался лезть в Интернет, о чём и сообщил мне данный FW в уведомлении, а так бы и не знал. Увидел заразу, придушил, вычистил хвосты и сплю спокойно

Некоторые программы — нужные или необходимые — имеют цену, непосильную для конкретного пользователя ($100…1000…10000…). для отсечения ненужной регистрации и её нарушения (при невозможности по каким-либо причинам установить исключение в хостс-файл) — весьма удобное расширение встроенного брандмауера.

Функциональность и интерфейс высоко оценены пользователями за свою простоту, полезность и надёжность. Единственный минус Firewall control — приложение пока не русифицировано официально, но можно найти неофициальные русификаторы на просторах интернета.

Отключение файрвола в windows7

Встроенный файрвол в «семерке», как это не парадоксально, реализован довольно удачно по сравнению с предыдущими версиями windows. Тем не менее, пользователи нередко задаются вопросом – а как отключить файрвол windows 7?

Что такое файрвол и для чего его отключают

Файрвол, или брандмауэр, выполняет функцию межсетевого экрана. Буквальный перевод с английского и немецкого – «огненная стена». Реализован как одна из служб ОС windows. Файрвол защищает компьютер от взлома через сеть и предотвращает утечку пользовательской информации.

Необходимость отключить файрвол windows 7 возникает в случае конфликта. Практически все известные антивирусные программы имеют собственный сетевой экран. Некоторые пользователи предпочитают отдельные мощные файрволы, например, от Norton, Outpost и других сторонних производителей. Два файрвола в системе, как два антивируса, не уживаются, и последствия такой «дружбы» – торможение и зависание системы.

Предупреждение. Отключать защиту в случае проблем с доступом к сети отдельных программ не рекомендуется. Достаточно внести доверенные приложения в исключения брандмауэра. Некоторые программы сами предлагают сделать это при установке.

Ниже приводится пошаговая инструкция, как отключить firewall windows 7:

— через настройки в Панели управления;

— с помощью инструментов администрирования;

— из командной строки. 1. Заходим через «Пуск» в «Панель управления», далее «Система и безопасность» (рис.1).

2. В появившемся окне жмем «Брандмауэр windows» (на рис.4 отмечено цифрой 1). Откроется окно брандмауэра, как на рис.2.

3. Выбираем «Включение и отключение брандмауэра windows» (на рис.2 обведено). Откроется окно, как на рис.3.

4. Файрвол windows 7 делает различие между домашними (частными) и общественными сетями. К последним относится Интернет. Для домашних локальных сетей файрвол не нужен, поэтому его отключают. При этом для общественных сетей рекомендуется оставить брандмауэр включенным.

Рис.1

Рис.2

Рис.3

Этот способ рекомендуется при установке файрвола стороннего производителя. При этом служба windows «Брандмауэр» отключается полностью, вне зависимости от имеющихся настроек. Порядок действий следующий.

  1. Через «Пуск» в «Панель управления», выбираем «Система и безопасность» открываем вкладку, изображенную на рис.4. Жмем «Администрирование» (обозначено на рисунке цифрой 2).
  2. В окне «Администрирование» (рис.5) выбираем «Службы» (стрелка). Откроется окно «Службы».
  3. Прокручиваем список служб, находим «Брандмауэр windows». По правому клику мыши на нем откроется список возможных действий. Выбираем «Остановить» (отмечено цифрой 1) – через пару секунд служба остановится.
  4. Чтобы брандмауэр не запустился после перезагрузки, делаем на нем правый клик еще раз. Теперь выбираем «Свойства» (на рис.5 цифра 2). В открывшемся окошке тип запуска ставим «Отключено».

Для включения файрвола производим все в обратной последовательности.

Рис.4

Рис.5

Способ для самых «продвинутых». Командную строку открываем в режиме администратора, и без ошибок вводим команды:

1. Отключение файрвола:

netsh firewall set opmode disable

2. Включение:

netsh firewall set opmode enable

Проверяем действие команд на вкладке настроек (рис.3). Если вкладка открыта – не забываем обновить ее вид.

Все. Теперь вам известно, как отключить файрвол windows 7. Не рекомендуем  оставлять компьютер, подключенный к сети, без защиты файрвола.

Как выбрать решение для сетевой защиты

Сегодня крайне сложно вступать в споры о том, к какому типу относится тот или иной межсетевой экран. Мы в Cloud Networks считаем, что прежде всего нужно отталкиваться от тех требований, которые необходимы каждому отдельному заказчику.

Поэтому мы уделяем много ресурсов на точный подбор решения и не акцентируем внимание на том, что «хуже», а что «лучше». Главное, чтобы решение справлялось со своими задачами

Если же говорить о замене зарубежного NGFW на отечественное решение, то наш ответ – да, это реально, мы это делаем и это работает.

При выборе NGFW нужно рассматривать функции защиты, встроенные в конкретный межсетевой экран. Существуют как унифицированные решения NGFW для малого и среднего бизнеса, так и те, что включают расширенные функции.

Cloud Networks советует рассмотреть следующие критерии:

  1. Тип платформы (аппаратное устройство, программное решение или облачное).
  2. Набор функций (глубокая проверка пакетов, контроль приложений, проверка SSL/SSH, DLP и прочее).
  3. Производительность (у продукта должна быть высокая пропускная способность, соответствующая заявленной поставщиком).
  4. Управляемость (у решения должна быть современная удобная и гибкая консоль управления).
  5. Техническая поддержка.

А также наличие следующих характеристик:

  • Интеллектуальная фильтрация URL-адресов.
  • Встроенные правила передовой практики.
  • Возможности мониторинга туннелей.
  • Функционал создания VPN туннелей.
  • Проверка почтового трафика.
  • Поддержка кластеризации и отказоустойчивости.
  • Управление пропускной способностью.
  • Проксирование приложений.
  • Поддержка политики BYOD.
  • Инспектирование SSL-трафика.
  • DNS-фильтрация.
  • Функция балансировщика нагрузки.
  • Управление мобильными устройствами.
  • Защита от отказа в обслуживании (DoS).
  • Защита от уязвимостей.
  • Антишпионское ПО, вредоносное ПО, сканирование программ-вымогателей.
  • Предотвращение потери данных (DLP) и многое другое.

Назначение

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности.

Особенности функционирования межсетевого экрана

Принцип работы межсетевого экрана достаточно простой и логически понятный. Чтобы обеспечить защиту сервера, корпоративных сервисов от стороннего доступа, файрвол постоянно контролирует входящие и исходящие потоки данных. Классические варианты МЭ (пакетные фильтры) идентифицируют трафик исходя из сетевого уровня. На его основании они и делают указание пропускать либо же отклонить тот или иной поток информации. Основные критерии:

  • Порт и IP источника трафика, то есть того, кто направляет поток данных.

  • Порт и IP получателя информации, то есть того, для кого предназначается это пакет данных.

  • На каких протоколах транспортного уровня осуществляется взаимодействие: UDP, TCP и пр.

  • Период времени, в ходе которого осуществляется передача информации.

Более современные межсетевые экраны дополнительно уже способны анализировать и содержание трафика. В качестве примера: брандмауэр может отклонить передачу сведений, поступающих из стороннего источника к корпоративной сети или серверу. Но вот если такая информация предоставляется в ответ на запрос, отправленный из корпоративной сети, то ее пропустят.

Наряду с пакетными фильтрами (идентифицируют передачу данных на сетевом уровне, то есть на основании параметров IP-пакетов), к файрволу также относятся и сопутствующие компоненты:

  • посредники прикладного уровня, включая Firewall интернет-приложений, способные воспринимать и понимать смысл перенаправляемой информации, исходя из специфики работы программного обеспечения;

  • шлюзы сеансового уровня, предназначенные для фильтрации потока данных на основании Правил сетевого соединения, предусмотренных в OSI-модели.

Сегодня межсетевые экраны в своем самом простом исполнении (как самостоятельный механизм защиты сетевых соединений) уже не применяется ввиду невысокой эффективности. Наибольшую результативность работы он дает при совместном применении со сканированием передачи данных, защитой от DDoS-атак, антивирусными приложениями потокового сканирования и пр. Но фильтрация сетевого трафика по его параметрам – была, есть и будет основой любой сетевой защиты. Именно она будет открывать или запрещать доступ к корпоративным сетям.

Как работает маршрутизатор?

Маршрутизатор имеет в своём корне слово (Маршрут) и не зря. Задача этого сетевого аппарата правильно распределить потоки данных внутри. Проще говоря, чтобы все устройства полноценной и быстро получали информацию. Принцип работы маршрутизатора строится на таблице маршрутизации. В ней хранится адреса и более детальная информация о всех устройствах, подключенных к сети.

Маршрутизатор проверяет источник и назначение IP-адреса каждого пакета, смотрит назначение пакета в таблице и маршрутизирует его на другой маршрутизатор или коммутатор. Процесс продолжается до того, как IP-адрес достигнет и ответит. Когда есть несколько способов перехода на место направления IP-адреса, маршрутизатор может выбрать наиболее экономичный вариант. Когда назначение пакета не указан в таблице, пакет будет отправлен на маршрутизатор по умолчанию (если он есть). Если для него нет назначения, пакет будет удален.

Рисунок 2: Как маршрутизаторы маршрутизируют пакеты из источника в пункт назначения.

Как правило, ваш маршрутизатор предоставляется вашим провайдером интернет-услуг (ISP). Ваш интернет-провайдер назначает вам один IP-адрес, который является общедоступным IP-адресом. Когда вы просматриваете Интернет, вы идентифицируетесь с внешним миром по общедоступному IP-адресу, а ваш частный IP-адрес защищен. Однако частные IP-адреса вашего рабочего стола, ноутбука, iPad, телевизионного медиа-бокса, сетевого копира совершенно разные. В противном случае маршрутизатор не может узнать, какое устройство запрашивает.

Виды межсетевых экранов

Далее поговорим о разновидностях файрволов.

Аппаратные

Такой межсетевой экран работает независимо от защищаемого компьютера и фильтрует информацию, поступающую из Интернета в систему. Если у вас есть интернет-маршрутизатор, то скорее всего в нём присутствует собственный брандмауэр.

Аппаратный межсетевой экран проверяет данные, поступающие из интернета, и решает, безопасны ли они. Он проверяет каждый пакет данных и выясняет, откуда он поступил и где находится. Данные, которые брандмауэр собирает о каждом пакете, затем сравниваются со списком разрешений, чтобы определить, соответствуют ли они профилю данных, которые следует отклонить. Вы можете купить межсетевой экран Cisco или Zyxel, и он сможет защитить все подключенные к нему компьютеры, что делает его легко масштабируемым решением.

Получить консультацию об облачных сервисахЗаказать звонок

Программные брандмауэры

В отличие от аппаратных, программный брандмауэр устанавливается на самом компьютере. Он может быть настроен пользователем в соответствии с его потребностями. Программный межсетевой экран фильтрует входящие и исходящие данные, проверяя на вредоносность, а также может отслеживать трафик, пытающийся покинуть ваш компьютер, предотвращая его использование для атак на другие сети или устройства. Программный брандмауэр должен быть установлен на каждом компьютере в сети, он может одновременно защищать только один ПК.

Типы сетевого экрана

Пакетные фильтры. Такие брандмауэры принимают решения о том что делать с пакетом, отбросить или пропустить. Он просматривает флаги, IP-адреса, номера TCP портов для анализа. Существует алгоритм анализа пакета:

Действие тип пакета адрес источника порт источника адрес назначения порт назначения флаги

Действие — может принимать значение отбросить или пропустить. Тип пакета — UDP, TCP, ICMP. Флаги — флаги заголовка IP-пакета. Поля порт источника и порт назначения имеют смысл только для UDP и TCP пакетов. Плюсы пакетного фильтра:

  • малая стоимость
  • гибкость в использовании правил фильтрации
  • маленькая задержка для пакетов

Недостатки:

  • Локальная сеть маршрутизируется из INTERNET
  • Нужны хорошие знания для написания правил фильтрации
  • аутентификации с реализацией IP-адреса можно обмануть спуфингом
  • При нарушении работы брандмауэра, все устройства за ним становятся незащищенными или недоступными
  • нету аутентификации на пользовательском уровне

Сервера прикладного уровня. Такие брандмауэры используют сервера конкретных сервисом (proxy) — FTP, TELNET и др которые запускаются и пропускают через себя весь трафик, который относится к определенному сервису. Таким образом получается два соединения между клиентом и сервером — клиент брандмауэр и брандмауэр место назначение. Стандартный список поддерживаемых сервисом для брандмауэра:

FTP

Telnet, Rlogin

  • POP3, SMTP
  • Gopher
  • HTTP
  • Wais
  • LP
  • X11
  • Finger
  • Rsh
  • Whois
  • RealAudio

Реализация таких сервисов прикладного уровня разрешает решить важную проблему — скрытие информацию о заголовках пакетов от внешних пользователей. Также существует возможность аутентификации на пользовательском уровне. Сервера прикладного уровня разрешают обеспечить наиболее высокий уровень безопасности, так как связь с внешним миром контролируется через прикладные программы, и они контролируют весь исходящих и входящий трафик. При описании правил доступа используют:

  • Название сервиса
  • Название пользователя
  • Допустимый временной отрезок использования сервиса
  • Компьютеры с которых можно использовать сервис
  • Схемы аутентификации

Сервера уровня соединения. Такие сервера являют собой транслятора ТСР соединения. Пользователь создает соединения с конкретным портом на сетевом экране, после чего экран соединяет уже с местом назначения. Транслятор копирует байты в обоих направлениях, работая как провод. Такой вид сервера разрешает использовать транслятор для любого определенного пользователем сервиса, основывающегося на TCP, создавая контроль доступа к этому сервису, сбор статистики по его реализации.

Плюсы серверов прикладного уровня:

  • локальная сеть невидима из Internet
  • При нарушении работы брандмауэра, пакеты не проходят через него, тем самым не создает угрозы для внутринаходящихся машин
  • есть аутентификация на пользовательском уровне
  • защита на уровне приложения разрешает создавать большое количество проверок, тем самым снижая вероятность взлома сетевого экрана

Недостатки:

  • Высокая стоимость
  • Нельзя использовать протоколы UDP и RPC
  • Задержка пакетов больше, чем в пакетных фильтрах

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный ФСТЭК межсетевой экран.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните гостайну или персональные данные, необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран

Но если вы заботитесь о секретности ваших данных, при выборе экрана имеет смысл обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный

Назначение и особенности межсетевых экранов

Межсетевой экран – это программный или программно-аппаратный продукт, предназначенный для отслеживания сетевых пакетов, предоставления разрешения на их пропускание или блокировку. Таким образом и обеспечивается защита сервера, корпоративных сервисов от несанкционированного доступа. Еще этот инструмент называют МЭ, сетевым экраном, файрволом (Firewall), брандмауэр. Если вы встретите любое из этих названий, должны понимать, что речь идет именно о межсетевом экране.

Устанавливаться он может в разных местах. Так, если его разместить в месте выхода корпоративной сети в интернет, то это обеспечит защиту всей внутренней системы вашей компании. Также при помощи МЭ можно предотвратить несанкционированный доступ к одному из элементов программного обеспечения, как пример – серверу, на котором хранится наиболее важная документация.

Реализован файрвол может на отдельной программе или же быть частью какого-то программного комплекса. Как пример, сегодня брандмауэр –обязательный компонент большей части антивирусного ПО. На практике встречаются брандмауэры и в виде программно-аппаратного комплекса, то есть представляют собой физическое устройство с соответствующим софтом, которое дополнительно подключается к сети.

Функциональные возможности межсетевых экранов

В обязанности, которые берет на себя сетевой экран Firewall входит:

  1. Приостановление подмены потока данных. На примере это выглядит так. Внутри компании осуществляются непрерывные обмены информацией между разными подразделениями с идентифицированными и реальными IP-адресами. Нередко такой трафик используют злоумышленники. Они маскируют свой вредоносный поток данных под рабочий, вот только идти он будет с другого IP, не идентифицированного межсетевым экраном. МЭ мгновенно заметит такую подмену и запретит доступ этим данным. Вредоносная информация не попадает в вашу сеть.

  2. Предотвратить трафик на неизвестный IP-адрес. Ситуация обратная предыдущей: МЭ блокирует пакеты данных не на вход, а на выход. Предположим, что один из недобросовестных сотрудников случайно или намеренно уже загрузил вредоносный файл на свой ПК. В результате таких действий произошла утечка данных. И как только вирусное ПО перейдет к передаче скачанных сведений на неизвестный IP, МЭ заблокирует этот трафик. Будет предотвращена утечка данных за пределы компании.

  3. Обеспечить защиту сети от DDoS-атак. DDoS-атаки – один из наиболее распространенных на сегодня способов взлома как частных ПК, так и корпоративных сетей. Злоумышленник отправляет множественные запросы с аппаратного обеспечения, которое уже заражено вирусом. У корпоративных систем, сталкивающихся уже с подобными атаками, есть функция их распознавания. Она выявит закономерность DDoS и перенаправит ее на Firewall для фильтрации потока данных.

Правила, на которых основывается принцип работы межсетевого экрана

Работа межсетевого протокола основана на ряде правил. На их основании и осуществляется прохождение сетевого трафика через файрвол, определяется возможность его пропуска или же выполняется блокировка. Правила состоят всего из двух компонентов:

  1. Условие. Имеется ввиду порт и IP-адрес. Задаются данные, на которые МЭ будет ориентироваться, разрешая или же блокируя доступ.

  2. Действие. Речь идет о пропускании трафика или его блокировка исходя из указанных в ПО условий. Действие выполняется тремя командами: разрешить, отклонить, отбросить. Разрешить (accept) – это значит пропустить поток данных. Отклонить (reject) – это заблокировать прохождение трафика и отправить пользователю информационное сообщение об ошибке в формате «недоступно». Отбросить (drop) – действие, запрещающее прохождение потока данных без направления отправителю сообщения об ошибке.

Одна из главных задач системного администратора при внедрении брандмауэра в архитектуру корпоративной сети – правильно указать условия для правил. Как пример возможного варианта:

  • разрешить передачу данных между всеми IP-адресами из отдела продаж, направить их на 60-й порт;

  • разрешить передачу данных между всеми IP-адресами, завязанными на сисадмине;

  • отклонить/отбросить доступ со всех других IP.

При таком задании условий, все попытки стороннего персонала (отдел рекламы, технической поддержки, бухгалтерии и пр.) подсоединяться к сети будут отклонены с сообщением «недоступно» или же без него. И даже если в сеть через SSH попробует зайти представитель отдела продаж, но не через 60-й, а, к примеру, 40-й порт, от также получит отказ в доступе.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Вадлейд
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: