Достоинства применения Firewall.

Firewall может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. В результате, сетевая среда подвергается меньшему риску, поскольку через. Firewall смогут пройти только указанные протоколы.

Firewall может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб, типа NFS. Это позволяет предотвратить использование таких служб внешними нарушителями и использовать их с намного меньшим риском.

Firewall могут также обеспечить защиту от таких атак, как маршрутизация источника или попытки направить маршруты к скомпрометированным объектам через переназначения ICMP. Firewall может отвергать все пакеты с маршрутизацией источника или переназначенные ICMP, а затем информировать администраторов об инцидентах.

Firewall также дает возможность контролировать доступ к системам сети. Например, одни хосты можно сделать достижимыми из внешних сетей, а другие, наоборот, надежно защитить от нежелательного доступа. Сеть может запретить внешний доступ ко всем своим хостам, кроме некоторых, например, оставить доступными только почтовые или информационные серверы.

Это определяет политику доступа, порванную на принципе минимальной достаточности: Firewall не разрешают удаленный доступ к хостам или службам, которые его не требуют.

Организация Firewall может потребовать меньших затрат в том случае, если все или большая часть модифицированных программ и дополнительные программы безопасности будут размещены в Firewall-системах, а не распределены по многим хостам. В частности, системы одноразовых паролей и другие дополнительные программы аутентификации можно поместить на Firewall, вместо того, чтобы устанавливать их в каждую систему, к которой необходим доступ из сети Internet.

Другие методы решения проблемы сетевой безопасности, например, система Kerberos, требуют модификации каждой хост-системы. Конечно, организация Firewall не отменяет применение Kerberos и других методов, поскольку они обладают рядом преимуществ, и в некоторых ситуациях могут быть более подходящими, чем Firewall, однако, реализация Firewall облегчается тем, что для их создания необходим только запуск специальных программ.

Для некоторых приложений конфиденциальность имеет огромное значение, поскольку информация, считающаяся безобидной, на самом деле может содержать ключи, которыми может воспользоваться нарушитель. С помощью Firewall некоторые объекты блокируют такие службы, как finger и DNS. Finger отображает информацию о пользователях: когда они в последний раз входили в систему, прочитали ли они почту и т.п. Эти данные программы finger могут быть полезными и для нарушителя, который узнает насколько часто система используется, список активных пользователей, и можно ли ее атаковать, не привлекая внимания.

Firewall можно использовать также для блокирования информации DNS таким образом, чтобы имена и IP-адреса защищаемых систем были недоступны из Internet. Некоторые полагают, что таким образом они скрывают информацию, которой в противном случае могли бы воспользоваться нарушители.

Если весь доступ к и от Internet осуществляется через Firewall, он может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet. Firewall также может сообщать с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности, предпринимались ли какие-либо попытки зондирования или атаки.

Сбор статистики об использовании сети и попытках нарушений важны по целому ряду причин. Самое главное — знать, насколько противостоит ^гемаН зондированию и дракам, и определить, адекватен ли осуществляемый им контроль. Статистика использования сети также имеет значение в качестве исходных данных для изучения 1-ребований сети и анализа риска.

Firewall предоставляет средства регламентирования порядка доступа к сети, тогда как без Firewall этот порядок целиком зависит от совместных действий пользователей.