Энциклопедия сетевых протоколов protocols.ru

Безопасность сетей
Титульная страница
Новости
Форум
Мир протоколов
Стандарты
RFC
Безопасность
Технологии
Интерфейсы
Инструменты
Библиотека
Вопросы и ответы
Авторы
Отзывы
Google

 Поддержка:
 BiLiM Systems
 Дизайн:
 BiLiM Systems Web Studio

Основы работы брандмауэров

Сенченко Т.В. (aka Boffin)

[email protected]

icq: 865491

(предыдущая страница ...)

Что такое брандмауэр?

Брандмауэр (межсетевой экран) - это система или группа систем, реализующих правила управления обменом данными (доступом) между двумя или несколькими сетями. Фактические средства, с помощью которых это достигается, весьма различны, но в принципе брандмауэр можно рассматривать как пару механизмов: один для блокирования передачи информации, а другой - для пропуска информации. Главное, что нужно знать о брандмауэрах - это то, что они реализуют правила управления доступом. Если не вполне понятно, какого рода доступ необходимо обеспечить или запретить, тут брандмауэр вам не поможет. Также важно знать, что конфигурация брандмауэра, определяет правила для всех систем, которые он защищает. Поэтому на администраторов брандмауэров, управляющих доступом к большому количеству хостов, возлагается большая ответственность.

В отличие от брандмауэров, реализованных на специализированных аппаратных платформах, персональные (PFW) представляют собой относительно дешевое ПО, которое инсталлируется непосредственно на каждый защищаемый ПК. Такие брандмауэры осуществляют контроль за сетевыми устройствами и выполняют те же основные функции, что и корпоративные брандмауэры: обнаружение попыток вторжения, контроль доступа, выполнение правил безопасности, регистрация событий. Обычно персональный брандмауэр фильтрует весь сетевой трафик, разрешая только санкционированные соединения.

Зачем нужен брандмауэр?

Многие организации подключают свои локальные сети к Интернету. А поскольку сеть Интернет в целом не является безопасной и, как утверждает статистика, незащищенная система в открытой сети «выживает» не более 20 минут, то машины в этих ЛВС подвержены риску несанкционированного использования и внешних атак. Брандмауэр - это средство защиты, которое можно использовать для управления обменом данными между надежной сетью и остальным миром (Интернет).

Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если человек, находящийся в командировке, имеет модем, присоединенный к его ПК в офисе, он может дозвониться до своего компьютера из любого места, а так как этот ПК также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой машиной, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он устанавливает небезопасное соединение с Интернетом, в обход защиты брандмауэра.


Брандмауэры обеспечивают несколько типов защиты:


  • Они могут блокировать нежелательный трафик;

  • Они могут направлять входной трафик только к надежным внутренним системам;

  • Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета

    другим способом;

  • Они могут протоколировать трафик входящий во внутреннюю сеть и выходящий из нее;

  • Они могут скрывать информацию (такую, как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей) о внутренней сети от пользователей Интернета;

  • Они могут обеспечить более надежную аутентификацию, чем та, которую предоставляют стандартные приложения.


Совокупность большинства мер, рекомендованных для обеспечения безопасности сети, позволяет затормозить действия решительного хакера примерно за 5 сек. За это время он сумеет найти «дыру» в защите и атаковать вас. При наличии в корпоративной сети прямого выхода в Интернет (кабельный модем, DSL, ISDN или линия Т1) и отсутствии мощного брандмауэра дверь для злоумышленника открыта. Но даже если вы отгорожены от Всемирной паутины брандмауэром, помните, что около половины всех неприятностей причиняют организациям их недовольные или болезненно любопытные сотрудники.

(... продолжение)

Обсудить статью на форуме

Дата обновления 10.01.2005

Главная страница  | Форум  | Мир протоколов | RFCБезопасность | Технологии |
Интерфейсы | Инструменты  | Библиотека | Вопросы и ответы  | Авторы | Отзывы |

Copyright © 1999-2005. BiLiM Systems.