, насправді ворожий код може потрапити в зону, яка захищається навіть у разі повного їх блокування в налаштуваннях брандмауера. p align="justify"> Захист від таких корисних, але потенційно небезпечних можливостей повинна вирішуватися в кожному конкретному випадку по-своєму. Можна проаналізувати необхідність використання нової можливості та зовсім відмовитися від неї; а можна використовувати спеціалізовані захисні засоби, наприклад, систему SurfinShield компанії Finjan або SafeGate компанії Security-7 Software, забезпечують безпеку мережі від ворожого В«мобільногоВ» коду. p align="justify"> Практично жоден міжмережевий екран не має вбудованих механізмів захисту від вірусів і, в загальному випадку, від атак. Як правило, ця можливість реалізується шляхом приєднання до МСЕ додаткових модулів або програм третіх розробників (наприклад, система антивірусного захисту ViruSafe для МСЕ CyberGuard Firewall або система виявлення атак RealSecure для МСЕ CheckPoint Firewall-1). Використання нестандартних архіваторів або форматів даних, що передаються, а також шифрування трафіку, зводить всю антивірусний захист В«нанівецьВ». Як можна захиститися від вірусів або атак, якщо вони проходять через міжмережевий екран в зашифрованому вигляді і розшифровуються тільки на кінцевих пристроях клієнтів? p align="justify"> У такому випадку краще перестрахуватися і заборонити проходження через міжмережевий екран даних у невідомому форматі. Для контролю вмісту зашифрованих даних в даний момент нічого запропонувати не можна. У цьому випадку залишається сподіватися, що захист від вірусів і атак здійснюється на кінцевих пристроях. Наприклад, за допомогою системних агентів системи RealSecure. p align="justify"> Незважаючи на те, що під'єднання до мереж загального користування або вихід з корпоративної мережі здійснюється по низькошвидкісних каналах (як правило, за допомогою dialup-доступу на швидкості до 56 Кбіт або використання виділених ліній до 256 Кбіт), зустрічаються варіанти підключення по каналах з пропускною здатністю в декілька сотень мегабіт і вище (ATM, T1, E3 і т.п.). У таких випадках міжмережеві екрани є найвужчим місцем мережі, знижуючи її пропускну здатність. У деяких випадках доводиться аналізувати не тільки заголовок (як це роблять пакетні фільтри), а й зміст кожного пакета (В«proxyВ»), а це істотно знижує продуктивність брандмауера. Для мереж з напруженим трафіком використання міжмережевих екранів стає недоцільним. p align="justify"> У таких випадках на перше місце треба ставити виявлення атак і реагування на них, а блокувати трафік необхідно тільки у разі виникнення безпосередньої загрози. Тим більше, що деякі засоби виявлення атак (наприклад, RealSecure) містять можливість автоматичної реконфігурації міжмережевих екранів. p align="justify"> Компроміс між типами міжмережевих екранів - більш висока гнучкість в пакетних фільтрах проти більшою мірою захищеності і відмінної керованості в шлюзах прикладного рівня. Хоча на перший погляд здається, що п...
