Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Основы межсетевых экранов
|
|
Термин firewall [1]впервые появился в описаниях организации сетей около пяти лет назад. Прежде чем он был принят экспертами по сетевой безопасности для определения способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большего масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.
Межсетевой экран работает примерно так же: он помогает избежать риска повреждения систем или данных в вашей локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. В то время как брандмауэр в здании представляет собой всего лишь конструкцию из цементных блоков или других прочных огнеупорных материалов, межсетевой экран устроен намного сложнее.
Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов (packet filter), принимающими решение на основе анализа заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и внешним миром и служат в качестве посредника для некоторых сетевых служб.
Название «брандмауэр», казалось бы, относится к одному устройству или одной программе. Но во всех случаях, за исключением простейших, лучше представлять себе его как систему компонентов, предназначенных для управления доступом к вашей и внешней сетям на основе определенной политики безопасности. Термин «межсетевой экран» был принят для обозначения совокупности компонентов, которые находятся между вашей сетью и внешним миром и образуют защитный барьер так же, как брандмауэр в здании создает преграду, предотвращающую распространение огня.
В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран стоит на границе вашей сети и служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности. Вот некоторые из новых функций, которые имеются в современных брандмауэрах
· кэширование (caching) Это свойство особенно характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;
· трансляция адреса (address translation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;
· фильтрация контента (content restriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данный;
· переадресация (address vectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP-адресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.
Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса вам не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в вашей сети.
|
|