їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і є вираженням мережевих аспектів політики безпеки організації.
В
Рис.1 Міжмережевий екран як засіб контролю інформаційних потоків
Доцільно розділити випадки, коли екран установлюється на границі з зовнішньої (звичайно загальнодоступної) мережею на границі між сегментами однієї корпоративної мережі. Відповідно, ми буде говорити про зовнішньому і внутрішньому міжмережевих екранах. Як правило, при спілкуванні з зовнішніми мережами використовується виняткове сімейство протоколів TCP/IP. Тому зовнішній міжмережевий екран повинен враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніше, тут варто брати до уваги крім TCP/IP принаймні протоколи SPX/IPX, застосовувані в мережах Novell NetWare. Іншими словами, від внутрішніх екранів нерідко потрібно багатопротокольна. Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є, скоріше, винятком, ніж правилом. Навпроти, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожен з яких підключено до мережі загального користування (рис. 2). У цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) всіх компонентів.
В
Рис.2 Екранування корпоративної мережі, що складається з декількох територіально рознесених сегментів, кожен з яких підключено до мережі загального користування.
При розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні виробляється фільтрація - канальному, мережному, транспортному чи прикладному. Відповідно, можна говорити про концентратори, що екранують (Рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, аналізують інформацію на декількох рівнях. У даній роботі ми не будемо розглядати екранують концентратори, оскільки концептуально вони мало відрізняються від маршрутизаторів, що екранують. При прийнятті рішення В«пропустити/не пропуститиВ», міжмережеві екрани можуть використовувати не тільки інформацію, що міститься у фільтруючих потоках, але і дані, отримані з оточення, наприклад поточний час. Таким чином, можливості міжмережевого екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі кажучи, чим вище рівень у моделі ISO/OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше екран може бути сконфігурований. У той Водночас фільтрація на кожному з перерахованих вище рівнів має свої достоїнствами, такими як дешевина, висока чи ефективність прозорість для користувачів. У силу цієї, а також деяких інших причин, у більшості випадків використовуються змішані конфігурації, у яких об'єднані різнотипні екрани. Найбільш типовим є сполучення маршрутизаторів і прикладного екрана (рис. 3). Наведена конфігурація називається що екранує підмережею. Як правило, сервіси, що організація надає для зовнішнього застосування (наприклад В«представницькийВ» Web-сервер), доцільно виносити саме в що екранує під сіть. Крім виразних можливостей і припустимої кількості правил якість міжмережевого екрана визначається ще двома дуже важливими характеристиками - простотою застосування і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілось би виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також одержання сигналів про спроби виконання дій, заборонених політикою безпеки. Власна захищеність міжмережевого екрана забезпечується тими ж засобами, що і захищеність універсальних систем. При виконанні централізованого адміністрування варто ще подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність. <В
Рис.3 Поєднання екранують маршрутизаторів і прикладного екрана.
Природа екранування (Фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може ховати інформацію про мережі, що захищається, тим самим утрудняючи дії потенційних зловмисників...
