Интернет-технологии FireWall

Обзор

Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение. Наиболее эффективный способ защиты при связи с Internet предполагает размещение системы FireWall между Вашей локальной сетью и Internet. FireWall обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности данной организации.

Для того, чтобы эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Итак, управляющие решения требуют чтобы firewall имел доступ, возможность анализа и использования следующих вещей:

1. Информация о соединениях - информация от всех семи уровней в пакете.
2. История соединений - информация, полученная от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем с его помощью можно было проверить входящее соединение FTP data.
3. Состояния уровня приложения - информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через firewall только для авторизованных видов сервиса.
4. Манипулирование информацией - вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Сравнение альтернатив

В этом разделе описаны границы, в которых доступные технологии firewall обеспечивают эти четыре своих основных свойства.

Маршрутизаторы

Маршрутизаторы действуют на сетевом уровне и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей firewall:

1. Информация о соединении - маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов.
2. Наследуемая информация о соединении и приложении - маршрутизаторы не поддерживают хранение информации о истории соединения или приложения.
3. Действия над информацией - маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.

К тому же, маршрутизаторы трудно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

Proxy

Proxy являются попыткой реализовать firewall на уровне приложения. Их основное преимущество - поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении. Proxy также имеют возможность обработки и действий над информацией.

Однако, имеются очевидные трудности в использовании proxy на уровне приложения в качестве firewall, включая :

1. Ограничения на соединения - каждый сервис требует наличия своего собственного proxy, так что число доступных сервисов и их масштабируемость ограничены.
2. Ограничения технологии - application gateways не могут обеспечить proxy для UDP, RPC и других сервисов общих семейств протоколов.
3. Производительность - реализация на уровне приложения имеет значительные потери в производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и OS, неверной информации в нижних уровнях протоколов и в случае традиционных proxy очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли применению общему их применению и нуждам Internet. Однако, по мере превращения Internet в постоянно меняющуюся динамичную среду, постоянно предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодейстывий в Internet или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.