Міжмережевий екран (МЕ) називають локальний або функціонально розподілений програмний (програмно—апаратний) засіб (комплекс), який реалізує контроль за інформацією, що надходить в автоматизовану систему і/або виходить з автоматизованої системи. Також зустрічаються загальноприйняті назви брандмауер і firewall (англ. вогняна стіна).
Для безпеки в комп’ютерних мереж використовують таке програмне забезпечення:
Міжмережевий екран (брандмауер, файрвол англ. Firewall, буквально «вогняна стіна»)
Антівірусна програма (антивірус)
Secure Shell, SSH («безпечна оболонка»)
Міжмережеві екрани зазвичай виконують такі функції:
фізичне відділення робочих станцій і серверів внутрішнього сегмента мережі від зовнішніх каналів зв’язку;
багатоетапну ідентифікацію запитів, що надходять в мережу;
перевірку повноважень і прав доступу користувача до внутрішніх ресурсів мережі;
реєстрацію всіх запитів до компонентів внутрішньої підмережі ззовні;
контроль цілісності програмного забезпечення і даних;
економію адресного простору мережі;
приховування IP—адреси внутрішніх серверів з метою захисту від хакерів.
Фільтрація інформаційних потоків здійснюється міжмережевими екранами на основі набору правил, що є вираженням мережевих аспектів політики безпеки організації. У цих правилах, крім Інформації, яка зберігається у фільтрованих потоках, можуть фігурувати дані, отримані з оточення, наприклад, поточний час, кількість активних з'єднань, порт, через який надійшов мережевий запит і т.д. Таким чином, у міжмережевих екранах використовується дуже потужний логічний підхід до розмежування доступу.
Перші комерційні брандмауери для комп'ютерних мереж були розроблені наприкінці 1980-х років компанією Digital Equipment Corporation (DEC).
Технологія набула популярності та стала поширеною протягом наступного десятиліття завдяки розвитку глобального Інтернету.
Існує кілька типів брандмауерів із різними видами фільтрування трафіку.
Брандмауер першого покоління працює як пакетний фільтр, порівнюючи основну інформацію, таку як оригінальне джерело, призначення пакета, використовуваний порт чи протокол, з визначеним переліком правил.
Друге покоління брандмауера містить ще один параметр для налаштувань фільтра — стан з'єднання. На основі цієї інформації технологія може відслідковувати дані про початок з’єднання та поточні з’єднання.
Брандмауери третього покоління побудовані для фільтрування інформації за допомогою усіх рівнів моделі OSI, зокрема і прикладного рівня. Вони розпізнають програми та деякі широко поширені протоколи, такі як FTP та HTTP.
На основі цієї інформації брандмауер може виявляти атаки, які намагаються обійти його через дозволений порт або несанкціоноване використання протоколу.
Сучасні брандмауери часто мають вбудовані додаткові системи безпеки, наприклад:
віртуальні приватні мережі (VPN)
системи запобігання та виявлення вторгнень (IPS/IDS)
управління ідентифікацією
управління додатками
веб-фільтрація
Існує три типи firewall: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.
Firewall мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.
Firewall прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet,тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп'ютери.
Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони являються серверами-посередниками. Відмінність полягає в тому, що firewall прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, firewall рівня з’єднання обслуговують велику кількість протоколів.
Переваги:
Він забезпечує покращення безпеки та захист пристроїв від шкідливого вхідного трафіку. Також технологія може фільтрувати вихідний трафік. Це допомагає зменшити ймовірність викрадення даних зловмисниками.
Крім цього, важлива функція брандмауера полягає у зменшенні ризику пристроїв стати частиною ботнету — шкідлива мережа з великою групою пристроїв, що управляється кіберзлочинцями.
Недоліки:
Обмеження в доступі до потрібних службам. Самим очевидним недоліком брандмауера є те, що він може блокувати ряд служб, які використовують користувачі, такі як TELNET, FTP, X Windows, NFS і ін Тим не менше, ці недоліки не властиві тільки брандмауерів; мережевий доступ також може обмежуватися при захисті на рівні хостів у відповідності з політикою безпеки.
Велика кількість залишених вразливих місць. Брандмауери не захищають від чорних входів (люків) у мережі. Наприклад, якщо можна здійснити необмежений доступ по модему в мережу, захищену брандмауером, атакуючі можуть ефективно обійти брандмауер.
Погана захист від атак своїх співробітників. Брандмауери зазвичай не забезпечують захисту від внутрішніх загроз. Хоча брандмауер може захищати від отримання сторонніми особами критичних даних, він не захищає від копіювання своїми співробітниками даних на стрічку або дискету і виносу її за межі мережі. Тому, було б помилкою думати, що наявність брандмауера захищає від атак зсередини або атак, для захисту від яких потрібен не брандмауер.
Опрацювати матеріал