ше в тому, щоб задіяти його екранують можливості) і прозорість для більш високих рівнів моделі OSI. Основний недолік - обмеженість інформації, що аналізується і, як наслідок, відносна слабкість забезпечуваного захисту.
Екрануючий транспорт дозволяє контролювати процес встановлення віртуальних з'єднань і передачу інформації по них. З точки зору реалізації екрануючий транспорт являє собою досить просту, а значить, надійну програму. Приклад екрануючого транспорту - продукт TCP wrapper.
Порівняно з пакетними фільтрами, екрануючий транспорт має більшу інформацією, тому він може здійснювати більш тонкий контроль за віртуальними сполуками (наприклад, він здатний відстежувати кількість переданої інформації та розривати з'єднання після перевищення певної межі, перешкоджаючи тим самим несанкціонованому експорту інформації). Аналогічно, можливе накопичення більш змістовною реєстраційної інформації. Головний недолік - звуження області застосовності, оскільки поза контролем залишаються датаграмною протоколи. Зазвичай екрануючий транспорт застосовують у поєднанні з іншими підходами, як важливий додатковий елемент.
Екрануючий шлюз, що функціонує на прикладному рівні, здатний забезпечити найбільш надійний захист. Як правило, екрануючий шлюз являє собою універсальний комп'ютер, на якому функціонують програмні агенти - за одному для кожного обслуговується прикладного протоколу. При подібному підході, крім фільтрації, реалізується ще один найважливіший аспект екранування. Суб'єкти із зовнішньої мережі бачать тільки шлюзовий комп'ютер; відповідно, їм доступна тільки та інформація про внутрішній мережі, яку шлюз вважає за потрібне експортувати. Шлюз насправді екранує, тобто затуляє, внутрішню мережа від зовнішнього світу. У той же час суб'єктам внутрішньої мережі здається, що вони прямо спілкуються з об'єктами зовнішнього світу. Недолік екранують шлюзів - відсутність повної прозорості, потребує спеціальних дій для підтримки кожного прикладного протоколу.
Прикладом інструментарію для побудови екранують шлюзів є TIS Firewall Toolkit компанії Trusted Information Systems.
У гібридних системах, таких як Firewall-1 компанії Sun Microsystems, дійсно вдається об'єднати кращі якості систем, що екранують, тобто отримати надійну захист, зберегти прозорість для додатків і утримати накладні витрати в розумних межах. Крім того, з'являються і дуже цінні нові можливості, такі як відстежування передачі інформації в рамках датаграмною протоколів.
Важливим поняттям екранування є зона ризику, яка визначається як безліч систем, які стають доступними зловмисникові після подолання екрану або будь-якого з його компонентів. Як правило, для підвищення надійності захисту екран реалізують як сукупність елементів, так що В«зломВ» одного з них ще не відкриває доступ до всієї внутрішньої мережі.
Розглянемо вимоги до реальної системи, що здійснює міжмережна екранування. У більшості випадків екранує система повинна: ​​
В· Забезпечувати безпеку внутрішньої (захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку;
В· Володіти потужними і гнучкими засобами управління для повного і, наскільки можливо, простого втілення в життя політики безпеки організації. Крім того, екрануюча система повинна забезпечувати просту реконфігурацію системи при зміні структури мережі;
В· Працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій;
В· Працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік в В«піковихВ» режимах. Це необхідно для того, щоб firewall не можна було, образно кажучи, В«закидатиВ» великою кількістю викликів, які призвели б до порушення роботи;
В· Володіти властивостями самозахисту від будь-яких несанкціонованих впливів, оскільки міжмережевий екран є ключем до конфіденційної інформації в організації;
В· Якщо в організації мається кілька зовнішніх підключень, у тому числі і у віддалених філіях, система управління екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки;
В· Мати засоби авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частину персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм потрібен доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна надійно розпізнавати таких користувачів і надавати їм необхідні види доступу. p> Екранування дозволяє підтримувати доступність сервісів всередині інформаційної системи, зменшуючи або взагалі ліквідуючи навантаження, ініційовану зовнішньою активністю. Зменшується вразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми налаштовані особливо ретельно і жорстко. Крім того, екранує система, на відміну від універсальної...
