Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Основные типы firewall симметричные и несимметричные firewall

Обновлено: 15.01.2025

Информация о курсе
В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
В курсе основное внимание уделено проблемам безопасности, возникающим при подключении корпоративной сети к интернету. При этом основное внимание следует уделять выбору типов межсетевого экрана, систем обнаружения вторжений, топологии демилитаризованной зоны, а также защите основных серверов, доступных из интернета, таких, как web сервер и DNS сервер. Обеспечению безопасного функционирования сервисов DNS следует уделять большое внимание, чтобы нарушитель не мог получить информацию о ресурсах корпоративной сети, которая помогла бы ему проникнуть в локальную сеть. Самым распространенным, с одной стороны, и самым уязвимым, с другой стороны, на сегодняшний день является web сервер. Поэтому обеспечению его безопасности приходится уделять особое внимание.

Цель
Изучение различных аспектов, связанных с обеспечением безопасности корпоративной сети, подключенной к интернету.

1. Лекция: Классификация firewall’ов и определение политики firewall’а

Введение

Firewall’ы защищают компьютеры и сети от попыток несанкционированного доступа с использованием уязвимых мест, существующих в семействе протоколов ТСР/IP. Дополнительно они помогают решать проблемы безопасности, связанные с использованием уязвимых систем и с наличием большого числа компьютеров в локальной сети. Существует несколько типов firewall’ов, начиная от пакетных фильтров, встроенных в пограничные роутеры, которые могут обеспечивать управление доступом для IP-пакетов, до мощных firewall’ов, которые могут закрывать уязвимости в большом количестве уровней семейства протоколов ТСР/IP, и еще более мощных firewall'ов, которые могут фильтровать трафик на основании всего содержимого пакета.

Технологические возможности firewall’ов с начала 1990-х годов существенно улучшились. Сперва были разработаны простые пакетные фильтры, которые постепенно развивались в более сложные firewall’ы, способные анализировать информацию на нескольких сетевых уровнях. Сегодня firewall’ы являются стандартным элементом любой архитектуры безопасности сети.

Современные firewall’ы могут работать совместно с такими инструментальными средствами, как системы обнаружения проникновений и сканеры содержимого e-mail или web с целью нахождения вирусов или опасного прикладного кода. Но в отдельности firewall не обеспечивает полной защиты от всех проблем, порожденных Интернетом. Как результат, firewall’ы являются только одной частью архитектуры информационной безопасности. Обычно они рассматриваются как первая линия обороны, однако их лучше воспринимать как последнюю линию обороны в организации; организация в первую очередь должна делать безопасными свои внутренние системы. Для внутренних серверов, персональных компьютеров и других систем должны своевременно выполняться все обновления как самих систем, так и других систем обеспечения безопасности, например, антивирусного ПО.

Займемся основными понятиями, связанными с firewall’ами и политикой firewall’а, на основании которой реализуется обеспечение безопасности сети. Рассмотрим понятия, относящиеся к выбору, развертыванию и управлению firewall’ом и его функциональному окружению. Рассмотрим также возможные подходы к созданию различных топологий сети с использованием firewall’ов.

Данное описание в основном предназначено для технических специалистов, а также для управляющего персонала, которому могут потребоваться технические знания для принятия решений.

Сначала сделаем обзор стека протоколов OSI и покажем, на каком уровне функционируют различные типы firewall’ов, такие как пакетные фильтры, stateful inspection firewall’ы и прикладные прокси.

Затем опишем различные окружения firewall’а, например, комбинации конкретных компонентов обеспечивающие то или иное решение. Приведем примеры расположения firewall’ов и их взаимодействий с другими инструментальными средствами безопасности. Также опишем прочие функции современных firewall’ов, такие как использование их в качестве конечных точек VPN, трансляция IP-адресов, фильтрация содержимого web или e-mail.

Далее рассмотрим принципы, используемые при администрировании firewall’ов и конфигурировании политики firewall’а. Опишем политику firewall’а, которой он должен соответствовать в контексте общей политики безопасности, а также сформулируем минимальную политику, которая может соответствовать многим окружениям. Наконец, опишем предложения по реализации и поддержке администрирования firewall’а.

Классификация firewall’ов

Firewall’ы являются устройствами или системами, которые управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. В большинстве современных приложений firewall’ы и их окружения обсуждаются в контексте соединений в Интернете и, следовательно, использования стека протоколов ТСР/IP. Однако firewall’ы применяются и в сетевых окружениях, которые не требуют обязательного подключения к Интернету. Например, многие корпоративные сети предприятия ставят firewall’ы для ограничения соединений из и во внутренние сети, обрабатывающие информацию разного уровня чувствительности, такую как бухгалтерская информация или информация о заказчиках. Ставя firewall’ы для контроля соединений с этими областями, организация может предотвратить неавторизованный доступ к соответствующим системам и ресурсам внутри чувствительных областей. Тем самым, использование firewall’а обеспечивает дополнительный уровень безопасности, который иначе не может быть достигнут.

В настоящее время существует несколько типов firewall’ов. Одним из способов сравнения их возможностей является перечисление уровней модели OSI, которые данный тип firewall’а может анализировать. Модель OSI является абстракцией сетевого взаимодействия между компьютерными системами и сетевыми устройствами. Рассмотрим только уровни модели OSI, относящиеся к firewall’ам.

Файрвол — это первая линия защиты в системе обеспечения безопасности данных. Межсетевые экраны предназначены для предотвращения несанкционированного доступа к ресурсам локальной сети, внешних и внутренних атак. Это может быть программный или аппаратный комплекс, либо комбинация и того, и другого. Основная функция межсетевого экрана заключается в фильтрации сетевого трафика в соответствии с установленными правилами, за счет чего осуществляется блокировка прохождения запрещенных запросов. В данной статье мы рассмотрим основные типы файрволов, их преимущества и потенциальные недостатки, а также перспективы развития данной технологии.

Условно можно выделить две основные технологии, реализуемые в файрволах: пакетная фильтрация и фильтрация на уровне приложений. При этом обе технологии могут быть реализованы в комбинации в рамках одного продукта.

Пакетный файрвол (Packet-Filtering Firewall)

В большинстве маршрутизаторов и коммутаторов используется технология пакетной фильтрации. Пакетные фильтры функционируют на сетевом уровне и осуществляют разрешение либо запрет прохождения трафика на основе анализа информации, находящейся в заголовке пакета. Такая информация включает тип протокола, IP адреса отправителя и получателя, номера портов отправителя и получателя. В некоторых случаях анализируются и другие параметры заголовка пакета, например для проверки является ли пакет частью нового либо уже установленного соединения. При поступлении пакета на любой интерфейс маршрутизатора, в первую очередь определяется, может ли пакет быть доставлен по назначению, а затем происходит проверка в соответствии с заданным набором правил — так называемым списком контроля доступа (ACL).

Определение правил фильтрации происходит на основе одного из двух взаимоисключающих принципов:

1) «Разрешено все, что не запрещено в явном виде»

Такой подход облегчает администрирование межсетевого экрана, так как не требует дополнительной настройки. Тем не менее, в случае неправильной настройки, когда не учитываются потенциальные несанкционированные действия, эффективность защиты стремится к нулю.

2) «Запрещено все, что не разрешено в явном виде»

Такой подход обеспечивает наиболее высокую степень эффективности. Относительным недостатком в данном случае является усложнение администрирования, так как необходима предварительная тонкая настройка базы правил.

С точки зрения безопасности более предпочтительным является второй вариант, при котором разрешается прохождение пакетов определенного типа и запрещается все остальное. С одной стороны такой подход упрощает настройку, так как количество запрещенных пакетов обычно гораздо больше, чем разрешенных. Кроме того, при появлении новых служб нет необходимости дописывать новые запрещающие правила — доступ к ним будет заблокирован автоматически. Тем не менее на каждый тип разрешенного взаимодействия необходимо прописать одно и более правил.

Преимущества:

* Распространенность пакетных фильтров связана с тем, что эта технология проста и обеспечивает высокую скорость работы.

* По умолчанию пакетный фильтр встроен в подавляющее большинство маршрутизаторов, коммутаторов, VPN-концентраторов. В связи с этим отпадает необходимость в дополнительных финансовых затратах на ПО.

* Изучение данных в заголовках пакетов позволяет создавать гибкую схему разграничения доступа.

* При создании правил фильтрации возможно использование помимо полей заголовков также и внешней информации, например, даты и времени прохождения сетевого пакета.

Недостатки:

* Пакетные фильтры не анализируют трафик на прикладном уровне, что открывает возможность для совершения множества видов атак.

* Настройка достаточна сложна и требует от администратора высокой квалификации и глубокого понимания принципов работы протоколов стека TCP/IP.

Файрвол прикладного уровня (Application Firewall)

Данный тип файрвола включает в себя прикладное программное обеспечение и играет роль промежуточного звена между клиентом и сервером. Аппликативные файрволы обеспечивают защиту на прикладном уровне, используя для блокировки вредоносных запросов информацию о специфических особенностях приложений. Технология фильтрации на уровне приложений позволяет исключить прямое взаимодействие двух узлов. Файрвол выступает в качестве посредника между двумя узлами, перехватывает все запросы и после проверки допустимости запроса устанавливает соединение. Файрвол прикладного уровня предоставляет возможность аутентификации на пользовательском уровне, протоколирование трафика и сетевых событий, а также позволяет скрыть IP-адреса хостов локальной сети.

Преимущества:

* Файрволы прикладного уровня обеспечивают более высокий уровень защиты по сравнению с пакетными фильтрами, так как имеют больше возможностей для анализа всего сетевого пакета, а не только заголовка TCP пакета.

* Прикладные файрволы создают более детализированные логи.

Недостатки:

* Данная технология является более медленной, так как значительная процессорная нагрузка для осуществления сервисов отрицательно сказывается на скорости работы. Глубокий анализ полей данных заметно снижает производительность межсетевого экрана, увеличивает время отклика и пропускную способность сети.

В зависимости от сферы применения среди файрволов прикладного уровня выделяют WAF (Web-application firewalls), предназначенные для защиты веб-приложений, DAF (Database Access Firewalls), защищающие базы данных и т.д.

Режимы функционирования файрвола:

Прокси-файрвол (Proxy Firewall)

Прокси является посредником между машиной клиента и реальным сервером. Все соединения происходят от имени прокси-файрвола. Для установки связи хосты внутренней сети посылают запросы файрволу, который затем инициирует новое подключение на основе полученного запроса. Запросы сравниваются с базой правил и если запрос не содержит запрещенных параметров, то файрвол формирует пакет с запросом от своего имени. Получив ответ от внешнего сервера, файрвол проверят его, и если ответ принят, пересылает его на адрес клиента, первоначально сформировавшего запрос. Фильтрация осуществляется на основе множества параметров: IP-адреса отправителя и получателя, наличие вложений, время запросов и т.д.

Прокси-файрвол — это самый надежный тип файрвола. Прокси-файрволы осуществляют фильтрацию, протоколирование и контроль запросов, что позволяет обеспечить высокий уровень безопасности. Отсутствие прямого подключения и прямой пересылки пакетов между узлами обеспечивает защиту IP-адресов и значительно снижает вероятность того, что злоумышленники смогут определить топологию внутренней сети на основе информации, содержащейся в пересылаемых пакетах. Благодаря данным аудита администраторы имеют возможность производить мониторинг нарушений политики безопасности. Кэширование информации позволяет уменьшить объем трафика и сократить время доступа клиента к информации. В отличие от пакетных фильтров прокси-файрволы имеют менее сложные правила фильтрации.

Обратный прокси-файрвол (Reverse Proxy Firewall)

Обратный прокси-файрвол функционирует также как прямой прокси, за исключением одного принципиального отличия – обратный прокси используется для защиты серверов, а не клиентов. Под обратным проксированием понимается процесс, в котором сервер при получении запроса клиента не обрабатывает его полностью самостоятельно, а частично или целиком ретранслирует этот запрос для обработки другим серверам. С целью повышения производительности пересылка запросов может происходить на несколько серверов, за счет чего снижается общая нагрузка. Обратный прокси работает от имени веб-сервера и не виден для клиентов. При получении запроса сервер не перенаправляет клиента, а самостоятельно отправляет запрос и возвращает полученный ответ обратно клиенту. Машины клиентов даже не подозревают, что обращаются к обратному прокси. Все выглядит так, как будто клиенты обращаются в веб-серверу. Клиент посылает запросы напрямую к серверу. Для сохранения своей анонимности обратный прокси перехватывает запрос от клиента до того, как он дойдет до сервера. Таким образом, обратный прокси-сервер — это обычный веб-сервер с несколькими дополнительными функциями, в том числе, перенаправление URL.

Прозрачный файрвол (Trasparent Firewall)

Файрвол нового поколения (Next Generation Firewall)

С активным развитием рынка межсетевых экранов производители файрволов добавляют функциональные возможности для усиления защитных свойств и более комплексного обнаружения угроз. Файрволы нового поколения (NGFW) представляют собой интегрированные платформы сетевой безопасности, в которых традиционные межсетевые экраны дополнены системами предотвращения вторжений (IPS) и возможностями для совершенствования политик управления доступом, фильтрации, глубокого анализа трафика (DPI) и идентификации приложений. Такие программные комплексы позволяют обнаруживать и блокировать самые изощренные атаки.

Таким образом, межсетевые экраны нового поколения должны обеспечивать:

* непрерывный контроль приложений и защиту от атак и вторжений;

* функции, свойственные традиционным файрволам: анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных и т.д.;

* всесторонний аудит и анализ трафика, включая приложения;

* возможность интеграции со сторонними приложениями и системами;

* регулярно обновляемую базу описаний приложений и потенциальных угроз.

По мере расширения сфер применения облачных вычислений и технологий виртуализации данных постепенно возрастает и спрос на файрволы нового поколения. Главным сдерживающим фактором развития рынка NGFW является высокая стоимость технологии. Внедрение и сопровождение требует довольно серьезных начальных вложений, что отпугивает малые предприятия и стартапы. Основными потребителями являются крупные дата-центры, сетевые провайдеры, сектор SMB и государственные учреждения.

DataArmor Database Firewall

DataArmor Database Firewall реализован на основе технологии Reverse Proxy и подменяет себя в качестве сервера, с которым работает клиент. В ближайшее время будет добавлен прозрачный режим работы. DataArmor Database Firewall классифицируется как DAF и осуществляет аудит запросов к БД, обеспечивая контроль сетевых и локальных обращений к базам данных.

Компьютерная сеть изначально является системой, незащищенной и уязвимой для внешних атак. Чтобы предотвратить несанкционированный доступ к устройству, подключенному к глобальной или частной сети, необходимо использовать специальные программные средства, называемые Firewall, сетевой фильтр, брандмауэр (все названия являются синонимами).

Понятие Firewall

Firewall переводится с английского как «огненная стена». Суть этой «стены» - защита компьютера, локальной сети или отдельных узлов от внешних атак, вредоносного программного обеспечения, фильтрация входящих и исходящих пакетов данных, обеспечение дополнительной безопасности при работе в сети.

Типы Firewall

Сетевые фильтры подразделяются на разные типы, в зависимости от своих характеристик и выполняемых функций. Это могут быть:

  • Коммутаторы;
  • Фильтры сетевого уровня с анализом IP-адреса отправителя и получателя;
  • Шлюзы для контроля состояния канала сеансового уровня;
  • Шлюз прикладного уровня (прокси-сервер);
  • Брандмауэр с динамической фильтрацией входящих и исходящих пакетов.

Firewall можно устанавливать как на персональный компьютер (устройство) поверх операционной системы для защиты непосредственно этой машины, так и на сеть - для выполнения функции шлюза данной сети. Исходя из этого, брандмауэр может именоваться host-based или network.

Сетевой Firewall, основанный на стандартном ПК, называется PC-based. Если функционал Firewall разработан на аппаратном уровне отдельной системы, то это ASIC-accelerated Firewall.

Установка и настройка сетевого фильтра должна производиться квалифицированным специалистом по сетевой безопасности, так как некомпетентное вмешательство в функционал брандмауэра может нанести существенный вред защищаемой сети (могут быть запрещены или ограничены в действиях некоторые необходимые службы).

Функции Firewall

К основным функциям Firewall, обеспечивающим защиту компьютера или сети от внешних угроз, относят:

  • Ограничение и контроль доступа к незащищенным службам узла сети;
  • Формирование регламента порядка доступа к службам;
  • Регистрирование и учет попыток доступа к устройству извне и от объектов внутренней сети;
  • Препятствование получению информации об устройстве или сети;
  • Трансляция ложных данных о защищаемой сети.

Использование Firewall, несомненно, приносит существенную пользу, но в то же время ощутимо увеличивает время отклика сети и снижает ее пропускную способность, так как на фильтрацию всех пакетов требуется определенное время.

Необходимо сказать, что сетевой фильтр не защитит компьютер от загружаемого непосредственно пользователем вредоносного программного контента (вирусов), а также от утечки персональных данных. Для этих целей рекомендуется использовать антивирусы и соблюдать условия конфиденциальности в сети.


Несанкционированный доступ к данным, хищения информации, нарушения в работе локальных сетей уже давно превратились в серьезные угрозы для бизнеса, деятельности общественных организаций и государственных органов.

Эффективным решением для защиты от этих угроз являются межсетевые экраны (МСЭ), или файерволы. Это программное обеспечение или аппаратно-программные продукты, предназначенные для блокировки нежелательного трафика.

Разрешение или запрет доступа межсетевым экраном осуществляется на основе заданных администратором параметров. В том числе могут использоваться следующие параметры и их комбинации:

  • IP-адреса. При помощи Firewall можно предоставить или запретить получение пакетов с определенного адреса или задать перечень запрещенных и разрешенных IP-адресов.
  • Доменные имена. Возможность установки запрета на пропуск трафика с определенных веб-сайтов.
  • Порты. Задание перечня запрещенных и разрешенных портов позволяет регулировать доступ к определенным сервисам и приложениям. Например, заблокировав порт 80, можно запретить доступ пользователей к веб-сайтам.
  • Протоколы. МСЭ может быть настроен таким образом, чтобы блокировать доступ трафика определенных протоколов.

Типы межсетевых экранов

Для защиты локальных сетей от нежелательного трафика и несанкционированного доступа применяются различные виды межсетевых экранов. В зависимости от способа реализации, они могут быть программными или программно-аппаратными.

Программный Firewall — это специальный софт, который устанавливается на компьютер и обеспечивает защиту сети от внешних угроз. Это удобное и недорогое решение для частных ПК, а также для небольших локальных сетей — домашних или малого офиса. Они могут применяться на корпоративных компьютерах, используемых за пределами офиса.

Для защиты более крупных сетей используются программные комплексы, под которые приходится выделять специальный компьютер. При этом требования по техническим характеристикам к таким ПК являются довольно высокими. Использование мощных компьютеров только под решение задач МСЭ нельзя назвать рациональным. Да и производительность файервола часто оставляет желать лучшего.

Поэтому в крупных компаниях и организациях обычно применяют аппаратно-программные комплексы (security appliance). Это специальные устройства, которые, как правило, работают на основе операционных систем FreeBSD или Linux.

Функционал таких устройств строго ограничивается задачами межсетевого экрана, что делает их применение экономически оправданным. Также security appliance могут быть реализованы в виде специального модуля в штатном сетевом оборудовании — коммутаторе, маршрутизаторе и т. д.

Применение программно-аппаратных комплексов характеризуется следующими преимуществами:

  • Повышенная производительность за счет того, что операционная система работает целенаправленно на выполнение одной функции.
  • Простота в управлении. Контролировать работу security appliance можно через любой протокол, в том числе стандартный (SNMP, Telnet) или защищенный (SSH, SSL).
  • Повышенная надежность защиты за счет высокой отказоустойчивости программно-аппаратных комплексов.

Помимо этого, межсетевые экраны классифицируют в зависимости от применяемой технологии фильтрации трафика. По этому признаку выделяют следующие основные виды МСЭ:

  • прокси-сервер;
  • межсетевой экран с контролем состояния сеансов;
  • межсетевой экран UTM;
  • межсетевой экран нового поколения (NGFW);
  • NGFW с активной защитой от угроз.

Рассмотрим более подробно эти виды файерволов, их функции и возможности.

Прокси-сервер

С помощью прокси-сервера можно создать МСЭ на уровне приложения. Главным плюсом технологии является обеспечение прокси полной информации о приложениях. Также они поддерживают частичную информацию о текущем соединении.


Необходимо отметить, что в современных условиях proxy нельзя называть эффективным вариантом реализации файервола. Это связано со следующими минусами технологии:

  • Технологические ограничения — шлюз ALG не позволяет обеспечивать proxy для протокола UDP.
  • Необходимость использования отдельного прокси для каждого сервиса, что ограничивает количество доступных сервисов и возможность масштабирования.
  • Недостаточная производительность межсетевого экрана.

Нужно учитывать и чувствительность прокси-серверов к сбоям в операционных системах и приложениях, а также к некорректным данным на нижних уровнях сетевых протоколов.

Межсетевой экран с контролем состояния сеансов

Этот тип МСЭ уже давно стал одним из самых популярных. Принцип его работы предусматривает анализ состояния порта и протокола. На основании этого анализа файервол принимает решение о пропуске или блокировании трафика. При принятии решения межсетевой экран учитывает не только правила, заданные администратором, но и контекст, что значительно повышает эффективность работы (контекстом называют сведения, которые были получены из предыдущих соединений).

Межсетевой экран UTM

Межсетевые экраны типа UTM (Unified threat management) стали дальнейшим развитием технологии, необходимость в котором возникла в связи с ростом изощренности и разнообразия сетевых атак. Впервые внедрение таких МСЭ началось в 2004 году.

Основным плюсом систем UTM является эффективное сочетание функций:

  • контент-фильтра;
  • службы IPS — защита от сетевых атак;
  • антивирусной защиты.

Это повышает эффективность и удобство управления сетевой защитой за счет необходимости администрирования только одного устройства вместо нескольких.

Экран UTM может быть реализован в виде программного или программно-аппаратного комплекса. Во втором случае предусматривается использование не только центрального процессора, но и дополнительных процессоров, выполняющих специальные функции. Так, процессор контента обеспечивает ускоренную обработку сетевых пакетов и архивированных файлов, вызывающих подозрение. Сетевой процессор обрабатывает сетевые потоки с высокой производительностью. Кроме того, он обрабатывает TCP-сегменты, выполняет шифрование и транслирует сетевые адреса. Процессор безопасности повышает производительность службы IPS, службы защиты от потери данных, службы антивируса.

Программные компоненты устройства обеспечивают создание многоуровневого межсетевого экрана, поддерживают фильтрацию URL, кластеризацию. Есть функции антиспама, повышения безопасности серфинга и другие возможности.

Межсетевой экран нового поколения (NGFW)

В связи с постоянным развитием и ростом технологического и профессионального уровня злоумышленников, возникла необходимость в создании новых типов межсетевых экранов, способных противостоять современным угрозам. Таким решением стал МСЭ нового поколения Next-Generation Firewall (NGFW).


Файерволы этого типа выполняют все основные функции, характерные для обычных межсетевых экранов. В том числе они обеспечивают фильтрацию пакетов, поддерживают VPN, осуществляют инспектирование трафика, преобразование портов и сетевых адресов. Они способны выполнять фильтрацию уже не просто на уровне протоколов и портов, а на уровне протоколов приложений и их функций. Это дает возможность значительно эффективней блокировать атаки и вредоносную активность.

Экраны типа NGFW должны поддерживать следующие ключевые функции:

  • защита сети от постоянных атак со стороны систем, зараженных вредоносным ПО;
  • все функции, характерные для первого поколения МСЭ;
  • распознавание типов приложений на основе IPS;
  • функции инспекции трафика, в том числе приложений;
  • настраиваемый точный контроль трафика на уровне приложений;
  • инспекция трафика, шифрование которого выполняется посредством SSL;
  • поддержка базы описаний приложений и угроз с постоянными обновлениями.

Такая функциональность позволяет поддерживать высокую степень защищенности сети от воздействия сложных современных угроз и вредоносного ПО.

NGFW с активной защитой от угроз

Дальнейшим развитием технологии стало появление NGFW с активной защитой от угроз. Этот тип файерволов можно назвать модернизированным вариантом обычного межсетевого экрана нового поколения. Он предназначен для эффективной защиты от угроз высокой степени сложности.

Функциональность МСЭ этого типа, наряду со всем возможности обычных NGFW, поддерживает:

  • учет контекста, обнаружение на его основе ресурсов, создающих повышенные риски;
  • автоматизацию функций безопасности для самостоятельной установки политик и управления работой системы, что повышает быстродействие и оперативность отражения сетевых атак;
  • применение корреляции событий на ПК и в сети, что повышает эффективность обнаружения потенциально вредоносной активности (подозрительной и отвлекающей).

В файерволах типа NGFW с активной защитой от угроз значительно облегчено администрирование за счет внедрения унифицированных политик.

Ограниченность анализа межсетевого экрана

При использовании межсетевых экранов необходимо понимать, что их возможности по анализу трафика ограничены. Любой файервол способен анализировать только тот трафик, который он может четко идентифицировать и интерпретировать. Если МСЭ не распознает тип трафика, то он теряет свою эффективность, поскольку не может принять обоснованное решение по действиям в отношении такого трафика.

Возможности интерпретации данных ограничены в ряде случаев. Так, в протоколах IPsec, SSH, TLS, SRTP применяется криптография, что не позволяет интерпретировать трафик. Данные прикладного уровня шифруются протоколами S/MIME и OpenPGP. Это исключает возможность фильтрации трафика, на основании данных, которые содержатся на прикладном уровне. Туннельный трафик также накладывает ограничения на возможности анализа МСЭ, поскольку файервол может «не понимать» примененный механизм туннелирования данных.

В связи с этим при задании правил для межсетевого экрана важно четко задать ему порядок действий при приеме трафика, который он не может однозначно интерпретировать.

Читайте также:

      
  • Как сделать фон в вк на планшете
    •   
  • Как посмотреть гранты oracle
    •   
  • Можно ли установить литрес на электронную книгу
    •   
  • Как сменить кодировку файла на utf 8 java
    •   
  • Как в компьютере создать беседу в вк
  • Контакты
  • Политика конфиденциальности