Принципы функционирования брандмауэра

Брандмауэры чаще функционируют на какой-либо UNIX платформе, реже — на DOS, VMS, Windows NT. Из аппарат­ных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, семейство RISC процес­соров R4400-R5000.

Помимо Ethernet, многие брандмауэры поддержи­вают FDDI, Token Ring, 100Base-T, различные серийные устройства. Требования к опера­тивной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.

Как правило, в операционную систему, под управ­лением которой работает брандмауэр, вносятся измене­ния, цель которых — повышение защиты самого бран­дмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации.

Многие брандмауэры имеют систему проверки це­лостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избе­жание подмены программного обеспечения.

Мерой эффективности брандмауэра служит вовсе не его способность к отказу в предоставлении сервисов, а способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. Брандмауэры должны анализировать сетевой трафик и определять, какие транзакции санкционированы без неоправданного замедления работы системы.

Брандмауэры представляют собой лишь инстру­мент, позволяющий администратору безопасности сле­дить за определенными участками сети и блокировать передачу потенциально опасных данных. Именно по­этому нельзя ограничиваться только постановкой и на­стройкой брандмауэра, о котором часто впоследствии забыва­ют.

Основу для работы брандмауэра создает надежная аутенти­фи-кация пользователей. Брандмауэр обеспечивает пользовате­лям, имеющим сертификаты, возможность работать с внутренней информа-цией из любой сети как по одну, так и по другую сторону экрана. Кроме того, брандма­уэр может аутентифицировать не только пользователей, но и внешние серверы, блокируя доступ пользовате­лей внутренней сети к “неблагонадежным” внешним компьютерам.

Работа всех брандмауэров основана на использова­нии информа-ции разных уровней модели OSI (взаимо­действия открытых систем), которая определяет семь уровней взаимодействия ИС, — начиная с уровня фи­зической среды передачи данных и заканчивая уров­нем прикладных программ, используемых для комму­никаций. Чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечи­ваемый им уровень защиты.

Брандмауэр с фильтрацией пакетов  маршрутизатор или работающая на сервере програм­ма, предназначенная для филь­трации входящих и исходящих пакетов. Брандмауэр пропускает или отбрако-вывает пакеты в соответствии с информацией, содержащейся
в IP-заголовках паке­тов (рис. 9).

Рис. 9. Применение брандмауэра с фильтрацией пакетов

Например, большинство брандмауэров с фильтра­цией пакетов может пропускать или отбраковывать пакеты на основе информации, позволяющей ассоци­ировать данный пакет с конкретными отправителем и получателем.

Все маршрутизаторы (даже те, которые не сконфи­гурированы для фильтрации пакетов) обычно прове­ряют полную ассоциацию пакета, чтобы определить, куда его нужно направить. Брандмауэр с фильтрацией пакетов перед отправкой пакета получа­телю сравнивает его полную ассоциацию с таблицей правил, в соответствии с которыми он должен пропу­стить или отбраковать данный пакет.

Брандмауэр продолжает проверку до тех пор, пока не найдет правила, с которым согласуется полная ас­социация пакета. Если брандмауэр получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию, которое также должно быть четко определено в таблице бранд­мауэра. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.