3.45.67.89, IP-адреса одержувача 211.111.111.111, протокол транспортного рівня TCP, програмний порт відправника більше 6000, програмний порт одержувача 23;
. пропустити пакет, якщо він передається з боку мережевого інтерфейсу зовнішньої мережі на мережевий інтерфейс внутрішньої мережі і має параметри: IP-адреса відправника 211.111.111.111, IP-адреса одержувача 123.45.67.89, протокол транспортного рівня TCP, програмний порт відправника 23, програмний порт одержувача більш 6000.
Таким чином, для кожного каналу обміну даними необхідно задавати два правила (фільтра); у разі багатоканальних сполук (наприклад, для сервісу ftp) кількість правил відповідно збільшується. Для великої мережі список правил досягає дуже значних розмірів, в яких адміністратору легко заплутатися. Правда, мережеві фільтри дозволяють зазвичай об'єднувати правила для підмножини комп'ютерів на основі IP-підмереж.
Оскільки при отриманні кожного пакета мережевий фільтр переглядає таблицю правил в послідовному порядку, кожне нове правило зменшує загальну продуктивність маршрутизатора.
Ряд виробників (зокрема, Novell в утиліті FILTCFG.NLM) передбачає динамічну, або контекстну (stateful), фільтрацію і фільтрацію фрагментів IP-пакетів, але за характеристиками вони скоріше відносяться до розряду шлюзів сеансового рівня і тому будуть розглянуті пізніше.
Ще однією проблемою, особливо для безкоштовних мережевих фільтрів, є неможливість створення ієрархічної структури правил. Наприклад, у випадку принципу «що явно не дозволено, то заборонено» фільтр переглядає спочатку список виключень, і якщо пакет не підходить не під один виняток, то відповідно до зазначеного принципом пакет відсіюється. Якщо ж пакет підходить хоча б під один виняток, то він передається далі. Однак уявімо таку ситуацію: мережа закрита від доступу зовні, але один сервер повинен бути доступний для зовнішнього світу по протоколу ftp. Все це чудово можна організувати за допомогою мережевого фільтра, за винятком маленької, але дуже неприємною деталі - на доступ до сервера по ftp не можна накласти додаткові обмеження. Приміром, неможливо в такому випадку заборонити доступ до нього з боку комп'ютера Z, яким користується зловмисник. Більше того, хакер може передавати на сервер пакети з адресою відправника, відповідним адресою комп'ютера внутрішньої мережі (найнебезпечніший вид підробки IP-пакетів). І мережевий фільтр пропустить такий пакет. Щоб уникнути подібних проблем, адміністратори змушені ставити два послідовно підключених фільтра, щоб таким чином реалізовувати ієрархічні правила фільтрації.
Мережеві фільтри мають ряд принципових недоліків. Насамперед аутентифікація (або, якщо точніше, ідентифікація) відправника проводиться тільки на підставі IP-адреси. Однак за допомогою підміни IP-адрес (IP-spoofing) зловмисник без особливих зусиль може обійти таку перешкоду. Крім того, за уповноважений комп'ютер може в принципі сісти людина, не має права працювати з сервером. Аутентифікація на основі імені та пароля користувача набагато надійніше, але в мережевих фільтрах її застосувати не представляється можливим.
Мережевий фільтр не може відстежувати роботу мережевих додатків, і взагалі він не контролює вміст пакетів транспортного, сеансового і прикладного рівня. Тому наявність мережевого фільтра не убезпечить корпоративну мережу від атак за типом SYN-flooding (див. Врізку «Атака SYN-flooding» lt; # justify gt; Висновок
Політикою безпеки можна назвати і прості правила використання мережевих ресурсів, і детальні описи всіх з'єднань і їх особливостей, що займають сотні сторінок. Визначення RFC +2196 (яке вважається кілька вузьким і обмеженим) описує політику безпеки таким чином:
Політика безпеки - це формальний виклад правил, яким повинні підкорятися особи, які отримують доступ до корпоративної технології та інформації .
Необхідність політики безпеки.
Важливо зрозуміти, що мережева безпека - це еволюційний процес. Немає жодного продукту, здатного надати корпорації повну безпеку raquo ;. Надійний захист мережі досягається поєднанням продуктів і послуг, а також грамотною політикою безпеки та її дотриманням всіма співробітниками зверху до низу. Можна помітити, що правильна політика безпеки навіть без виділених засобів захисту дає кращі результати, ніж засоби захисту без політики безпеки. Підводячи підсумки, слід згадати про те, що відомо безліч випадків, коли фірми (не тільки зарубіжні) ведуть між собою справжні «шпигунські війни», вербуючи співробітників конкурента з метою отримання через них доступу до інформації, що становить комерційну таємницю. Регулювання питань, пов'язаних з комерційною таємницею, ще не отримала Росії достатнього розвитку. Наявна законодавство все ж не забезпечує відповідног...