Принципы функционирования брандмауэра
Брандмауэры чаще функционируют на какой-либо UNIX платформе, реже — на DOS, VMS, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, семейство RISC процессоров R4400-R5000.
Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.
Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых — повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации.
Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.
Мерой эффективности брандмауэра служит вовсе не его способность к отказу в предоставлении сервисов, а способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. Брандмауэры должны анализировать сетевой трафик и определять, какие транзакции санкционированы без неоправданного замедления работы системы.
Брандмауэры представляют собой лишь инструмент, позволяющий администратору безопасности следить за определенными участками сети и блокировать передачу потенциально опасных данных. Именно поэтому нельзя ограничиваться только постановкой и настройкой брандмауэра, о котором часто впоследствии забывают.
Основу для работы брандмауэра создает надежная аутентифи-кация пользователей. Брандмауэр обеспечивает пользователям, имеющим сертификаты, возможность работать с внутренней информа-цией из любой сети как по одну, так и по другую сторону экрана. Кроме того, брандмауэр может аутентифицировать не только пользователей, но и внешние серверы, блокируя доступ пользователей внутренней сети к “неблагонадежным” внешним компьютерам.
Работа всех брандмауэров основана на использовании информа-ции разных уровней модели OSI (взаимодействия открытых систем), которая определяет семь уровней взаимодействия ИС, — начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. Чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
Брандмауэр с фильтрацией пакетов маршрутизатор или работающая на сервере программа, предназначенная для фильтрации входящих и исходящих пакетов. Брандмауэр пропускает или отбрако-вывает пакеты в соответствии с информацией, содержащейся
в IP-заголовках пакетов (рис. 9).
Рис. 9. Применение брандмауэра с фильтрацией пакетов
Например, большинство брандмауэров с фильтрацией пакетов может пропускать или отбраковывать пакеты на основе информации, позволяющей ассоциировать данный пакет с конкретными отправителем и получателем.
Все маршрутизаторы (даже те, которые не сконфигурированы для фильтрации пакетов) обычно проверяют полную ассоциацию пакета, чтобы определить, куда его нужно направить. Брандмауэр с фильтрацией пакетов перед отправкой пакета получателю сравнивает его полную ассоциацию с таблицей правил, в соответствии с которыми он должен пропустить или отбраковать данный пакет.
Брандмауэр продолжает проверку до тех пор, пока не найдет правила, с которым согласуется полная ассоциация пакета. Если брандмауэр получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию, которое также должно быть четко определено в таблице брандмауэра. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.