Брандмауер, або міжмережевий екран, - це
«напівпроникна мембрана», яка розташовується між що захищається внутрішнім
сегментом мережі і зовнішньою мережею або іншими сегментами мережі Internet і контролює всі інформаційні потоки у внутрішній сегмент і з нього. Контроль
трафіку полягає в його фільтрації, тобто у вибірковому пропущенні через екран,
а іноді і з виконанням спеціальних перетворень і формуванням сповіщень для
відправника, якщо його даним у пропуску відмовлено. Фільтрація здійснюється на
підставі набору умов, попередньо завантажених в брандмауер і відображають
концепцію інформаційної безпеки корпорації. Брандмауери можуть бути виконані у
вигляді як апаратного, так і програмного комплексу, записаного в комутуючий пристрій
або сервер доступу (сервер-шлюз, просто сервер, хост-комп'ютер і т.д.),
вбудованого в операційну систему або представляти собою працює
під її управлінням програму.
Робота
брандмауера полягає в аналізі структури і вмісту інформаційних пакетів, що надходять із зовнішньої мережі,
і в залежності від результатів аналізу пропуску пакетів у внутрішню мережу
(сегмент мережі) або повному їх відфільтровування. Ефективність роботи
міжмережевого екрану, що працює під управлінням Windows, обумовлена тим,
що він повністю заміщає реалізований стек протоколів TCP \ IP, і тому порушувати його роботу з
допомогою спотворення протоколів зовнішньої мережі
(що часто робиться хакерами) неможливо.
Міжмережеві
екрани зазвичай виконують такі функції:
·
фізичне
відділення робочих станцій і серверів внутрішнього сегмента мережі (внутрішньої
підмережі) від зовнішніх каналів зв'язку;
·
багатоетапну
ідентифікацію запитів, що надходять в мережу (ідентифікація серверів, вузлів
зв'язку про інших компонентів зовнішньої мережі);
·
перевірку
повноважень і прав доступу користувача до внутрішніх ресурсів мережі;
·
реєстрацію
всіх запитів до компонентів внутрішньої підмережі ззовні;
·
контроль
цілісності програмного забезпечення і даних;
·
економію
адресного простору мережі (у внутрішній підмережі може використовуватися
локальна система адресації серверів);
·
приховування
IP адрес внутрішніх серверів з метою захисту від хакерів.
Брандмауери
можуть працювати на різних рівнях протоколів моделі OSI.
На
мережевому рівні виконується фільтрація вступників пакетів, заснована на IP
адреси (наприклад, не пропускати пакети з Інтернету, направлені на ті сервери, доступ до яких зовні
заборонено; не пропускати пакети з фальшивими зворотними адресами або IP
адресами, занесеними до «чорного списку», і т.д.). На транспортному рівні фільтрація припустима ще й за номерами
портів ТСР і прапорів, що містяться в пакетах (наприклад, запитів на
встановлення з'єднання). На прикладному рівні може виконуватися аналіз
прикладних протоколів (FTP, HTTP, SMTP і т.д.) і контроль за змістом потоків даних (заборона внутрішнім
абонентам на отримання будь-яких типів файлів: рекламної інформації або
виконуваних програмних модулів, наприклад).
Можна
в брандмауері створювати та експертну систему, яка, аналізуючи трафік,
діагностує події, що можуть становити загрозу безпеки внутрішньої мережі, та
інформує про це адміністратора. Експертна система здатна також у разі
небезпеки (спам, наприклад) автоматично посилювати умови фільтрації і т.д.
Брандмауери
бувають апаратними або програмними.
Апаратний
брандмауер
представляє собою пристрій, фізично підключається до мережі. Це пристрій відслідковує всі аспекти
вхідного і вихідного обміну даними, а також перевіряє адреси джерела і
призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажаним
проникнення в мережу або на комп'ютер. Програмний брандмауер
виконує ті ж функції, використовуючи не зовнішній пристрій, а встановлену на
комп'ютері програму.
На
одному і тому ж комп'ютері можуть використовуватися як апаратні, так і
програмні брандмауери.
Джерело: http://ua-referat.com/%D0%91%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D0%B5%D1%80_%D0%BF%D0%BE%D0%BD%D1%8F%D1%82%D1%82% |