сть захисту від користувачів, які знають ідентифікатор та пароль для доступу в захищається сегмент корпоративної мережі. Міжмережевий екран може обмежити доступ сторонніх осіб до ресурсів, але він не може заборонити авторизованому користувачеві скопіювати цінну інформацію або змінити будь-які параметри фінансових документів, до яких цей користувач має доступ. А за статистикою не менше 70% всіх загроз безпеки виходить з боку співробітників організації. Тому, навіть якщо міжмережевий екран захистить від зовнішніх порушників, то залишаться порушники внутрішні, непідвладні МСЕ. p align="justify"> Для усунення цього недоліку потрібні нові підходи та технології. Наприклад, використання систем виявлення атак (intrusion detection systems). Дані кошти, яскравим прикладом яких є система RealSecure, виявляють і блокують несанкціоновану діяльність у мережі незалежно від того, хто її реалізує - авторизований користувач (в т.ч. і адміністратор) або зловмисник. Такі засоби можуть працювати як самостійно, так і спільно з міжмережевим екраном. Наприклад, система RealSecure володіє можливістю автоматичної реконфігурації брандмауера CheckPoint Firewall-1 шляхом зміни правил, забороняючи тим самим доступ до ресурсів корпоративної мережі з атакується вузла. p align="justify"> Другим недоліком міжмережевих екранів можна назвати неможливість захисту нових мережевих сервісів. Як правило, МСЕ розмежовують доступ по широко поширеним протоколів, таких як HTTP, Telnet, SMTP, FTP і ряд інших. Реалізується це за допомогою за допомогою механізму В«посередниківВ» (proxy), що забезпечують контроль трафіку, що передається по цих протоколах або за допомогою зазначених сервісів. І хоча число таких В«посередниківВ» досить велике (наприклад, для МСЕ CyberGuard Firewall їх реалізовано понад двохсот), вони існують не для всіх нови х протоколів і сервісів. І хоча ця проблема не настільки гостра (багато користувачів використовують не більше десятка протоколів і сервісів), іноді вона створює певні незручності. p align="justify"> Багато виробників міжмережевих екранів намагаються вирішити зазначену проблему, але вдається це далеко не всім. Деякі виробники створюють proxy для нових протоколів і сервісів, але завжди існує часовий інтервал від декількох днів до декількох місяців між появою протоколу та відповідного йому proxy. Інші розробники міжмережевих екранів пропонують засоби для написання своїх proxy (наприклад, компанія CyberGuard Corporation поставляє разом зі своїм МСЕ підсистему ProxyWriter дозволяє створювати proxy для специфічних або нових протоколів і сервісів). У цьому випадку необхідна висока кваліфікація і час для написання ефективного proxy, що враховує специфіку нового сервісу та протоколу. Аналогічна можливість існує і у брандмауера CheckPoint Firewall-1, який включає в себе потужний мову INSPECT, що дозволяє описувати різні правила фільтрації трафіку. p align="justify"> Деякі корпоративні мережі використовують топологію, яка важко В«уживаєтьсяВ» з міжмереже...