Межсетевой экран

Межсетево́й экра́н или брандма́уэр (жарг. файрво́л или файерво́л от англ. firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, т.к. их основная задача — не пропускать (фильтровать) пакеты не подходящие под критерии, определенные в конфигурации.

Некоторые сетевые экраны, также позволяют делать трансляцию адресов — динамическую замену адресов назначения (редиректы) или источника (мапинг (biNAT), NAT).

Содержание

Происхождение понятия «брандмауэр»

Эта статья или раздел нуждается в переработке.
Пожалуйста, улучшите её в соответствии с правилами написания статей.

Словом «брандмауэр» (нем. brandmauer, англ. firewall) называют прочную стену, которая разделяет смежные здания, предохраняя от распространения пожара. Плохо знающие техническую терминологию переводчики механически переводили слово «firewall» как «брандмауэр». Таким образом, слово «брандмауэр» является семантической калькой со слова «firewall».


Жаргонизм «брандмауэр» появился позднее введения н.т. термина «сетевой экран» и его применение – это недопустимая замена существующего н. т. термина, кроме того, грубая ошибка ненужного перевода маркетингового англоязычного слова firewall (fire wall, fire-wall). Оно является названием систем защиты информации определенного типа, поэтому может только транслитерироваться.

Тем более, допущена еще и смысловая ошибка. В нестрогой западной технической литературе и рекламной информации firewall имеет значение системы защиты информации (ЗИ) в компьютерных сетях (в основном) от несанкционированного доступа (НСД). Н.т. перевод: firewall – система ЗИ НСД типа «файрволл» (англ. firewall).

Соответствующие аппаратные и программные средства ЗИ НСД называются по-английски firewall hardware and software, а обобщенный вариант – «средства ЗИ НСД типа «файрволл»» – это firewall appliance.

Сетевой экран, это не система ЗИ, а средство ЗИ. Тем более, даже принципиально верное в данном случае англоязычное понятие firewall appliance имеет более широкое значение, чем конкретный термин - сетевой экран.

Межсетевой Экран (МЭ) - это локальное (однокомпонентное) или функционально- распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС* и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на ориентированные на конкретного пользователя.

Определение Термина дано согласно РД Гостехкомиссии России «Средства вычислительной техники. Сетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». – М.: ГТК РФ, 1997.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотьемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контроллируюшие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающими пакетов нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соедиений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
    Некоторые решения относимые к сетевым экранам уровня приложения представляют собой прокси-серверы в некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация, делает фильтрацию значительно более гибкой чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными типами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Специализированные устройства

Персональные сетевые экраны

Пакетные фильтры/сетевые экраны

См. также

Ссылки

 
Начальная страница  » 
А Б В Г Д Е Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Ы Э Ю Я
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
0 1 2 3 4 5 6 7 8 9 Home