Основы работы брандмауэров
Сенченко Т.В. (aka Boffin)
[email protected]
icq: 865491
(предыдущая страница ...)
От чего не может защитить брандмауэр?
Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к сети Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом.
Брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр -- не панацея и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто.
Какой брандмауэр выбрать?
Какой брандмауэр вы в конечном итоге выберете, зависит главным образом от принятой в вашей организации политики безопасности. Вообще говоря, чем жестче правила безопасности, тем больше функций контроля брандмауэр должен выполнять.
Проблема выбора брандмауэра в том, что различия между продуктами, производителями и технологиями усложняется. Несколько лет назад, когда брандмауэры производили не более десятка компаний, выбор был намного проще; но теперь, когда многие десятки поставщиков предлагают брандмауэры того или иного типа, путаница среди профессионалов и экспертов в области сетей и защиты вполне объяснима.
Брандмауэры можно разделить на три основные категории: фильтры пакетов, механизмы контекстной проверки и шлюзы уровня приложений (известные так же, как посредники, или proxy). При выборе важно помнить, что, хотя все брандмауэры выполняют по сути одни и те же основные функции, механизмы их выполнения принципиально отличны друг от друга. Но чтобы понять эти различия, вы должны вначале познакомиться с базовыми технологиями фильтрации пакетов и контекстной проверки.
Хороший брандмауэр может обнаружить, что его порты сканируются, зарегистрировать это событие и уведомить вас, если ему это поручено. Например, брандмауэр ZoneAlarm может быть настроен на вывод всплывающего окна с предупреждением каждый раз, когда ваш компьютер сканируется. В этом случае, если ваш жесткий диск внезапно начал вращаться или необъяснимо снизилась скорость работы, вы можете заблокировать нападение с помощью временного прерывания соединения. Брандмауэр BlacklCE Defender идет еще дальше и отслеживает IP-адрес раздражающего компьютера, с которого идет сканирование, а затем докладывает о нем.
Однако не всегда сканирование - это нападение. Например, кто-то, возможно, случайно ввел неправильный IP-адрес при попытке соединиться с HTTP-сервером или открыть сеанс связи с другом через NetMeeting. Также возможно, что ваш провайдер мог запустить какое-либо тестирование. Другая ложная тревога, как известно, возникает от основанных на использовании технологий Интернета телевизионных услуг, которые иногда случайно соединяются с неправильными IP-адресами.
(... продолжение)
Обсудить статью на форуме
Дата обновления 10.01.2005
| Главная страница | Форум | Мир протоколов | RFC | Безопасность | Технологии |
| Интерфейсы | Инструменты | Библиотека | Вопросы и ответы | Авторы | Отзывы |
Copyright © 1999-2005. BiLiM Systems.
|
