Брандмауэр - средство защиты частных сетей

Межсетевые экраны или брандмауэры или файерволы (от англ. FIREWALL). Брандмауэр – это часть ПО, эта программа помогает защитить ПК от вирусов и других угроз безопасности, защищает от несанкционированного доступа через сеть.

Интересно происхождение данного термина. Брандмауэрами называли специальные устройства в поездах. В машинном отделении паровозов топливо находилось поблизости от топки. Кочегар бросал лопатой уголь в топку, и легковоспламеняющаяся угольная пыль часто вспыхивала. Из-за этого в машинном отделении нередко возникали пожары. Чтобы огонь не распространялся на пассажирские вагоны, позади машинного отделения начали устанавливать железные загородки. Именно этот щит получил название "брандмауэр".

Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее участка. Подобно своим железнодорожным прототипам, они были средством локализации "пожара".

Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.

Брандмауэр, или межсетевой экран,- это система, предотвращающая несанкционированный доступ извне во внутреннюю сеть. Брандмауэры бывают аппаратными или программными. Аппаратный брандмауэр - это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В роли параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных (например, HTTP, FTP и т.д.), приложение, которое отсылает или принимает сетевой пакет и т.д.

Несанкционированный пользователь не сможет получить доступ в локальную сеть, если ее защищает брандмауэр.

Брандмауэр защищает частную сеть и отфильтровывает те данные, обмен которыми запрещен. Если в компании есть, например, 100 персональных компьютеров, объединенных в локальную сеть и имеющих выход в Интернет, но нет брандмауэра, то злоумышленник сможет проникнуть на каждый из этих компьютеров из Интернета.

Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy-сервер и систему обнаружения вторжений (систему обнаружения атак).

Proxy-сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник кэширует (сохраняет) часто запрашиваемые web-страницы в своей памяти. Когда пользователь запрашивает какую-нибудь страницу из Интернета, proxy-сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю. Если нет, то proxy-сервер запрашивает оригинальный сервер, где размещена страница, и, получив ее, отправляет пользователю. Механизм сохранения часто запрашиваемой информации позволяет значительно сэкономить время доступа к наиболее важным данным.

Еще одной функцией proxy-сервера часто является трансляция сетевых адресов (NAT - Network Address Translation). Ее суть в том, чтобы сделать компьютеры внутренней сети организации невидимыми для внешних запросов. Если злоумышленник попытается "заглянуть" во внутреннюю сеть компании, он увидит один лишь proxy-сервер (в данном случае еще и брандмауэр). Он не сможет узнать внутренние адреса компьютеров, а следовательно, вторгнуться в корпоративную сеть будет значительно сложнее. Естественно, механизм трансляции адресов немного замедляет работу всей защищаемой сети.

Системы обнаружения вторжений, даже являясь составной частью крупного брандмауэра, дополняют другие системы информационной безопасности. Они не только определяют сам факт проникновения в сеть, но и выявляют подозрительные действия.

Если брандмауэры рассматривать как забор с калиткой, через которую могут пройти те, кто наделен соответствующими полномочиями, система обнаружения будет выступать здесь в роли устройств внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.

Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.

Персональные брандмауэры

Персональные брандмауэры защищают отдельные автономные компьютеры, подсоединенные к Интернету. Чаще всего персональные брандмауэры используются на домашних ПК. Основная задача этого средства защиты - фильтровать входящий и исходящий сетевой трафик (поток данных), контролировать сетевую активность приложений и блокировать любые опасные действия.

Персональный брандмауэр умеет фильтровать входящие и исходящие соединения по целому ряду признаков. Это прежде всего адреса абонентов, используемый для соединения порт (число, которое идентифицирует процесс или приложение внутри компьютера) и полномочия приложения, осуществляющего обмен информацией. Есть и более сложные способы фильтрации. Например, при анализе входящих соединений брандмауэр всегда может проверить, запрашивало ли какое-нибудь приложение соединение с данным узлом. Если нет, то входящее соединение нужно запретить, а если да, значит, на персональный компьютер просто пришел ответ на посланный ранее запрос. Для того чтобы эффективно фильтровать трафик, в брандмауэре должна быть реализована поддержка большого числа протоколов и технологий.

В операционной системе Microsoft Windows XP имеется свой встроенный брандмауэр.