Межсетевые экраны


Межсетевой экран (firewall) – это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных.

Маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.
Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью.

Определение типов межсетевых экранов

Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией, которые обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика.


Межсетевые экраны прикладного уровня
Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов.
В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.
При использовании данного межсетевого экрана все соединения проходят через него.

Modul dost_mejset_ekrana prikladnogo urovnya
Рис. 1. Соединения модуля доступа межсетевого экрана прикладного уровня


Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. При соответствии межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.
Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю, и таким образом защищает системы от атак, выполняемых посредством приложений.
Межсетевые экраны прикладного уровня содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать, что запрещает конкретному протоколу использоваться для соединения через межсетевой экран.


Межсетевые экраны с пакетной фильтрацией
Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов.
Правила политики усиливаются посредством использования фильтров пакетов, которые изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов.
При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране, а направляются непосредственно к конечной системе.

Peredacha trfika s filtraciei paketov
Рис. 2. Передача трафика через межсетевой экран с фильтрацией пакетов


При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.
Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
В основном, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.


Гибридные межсетевые экраны
Производители межсетевых экранов прикладного уровня, из-за быстрого развития IT-технологий, пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа. Так появилась технология модуля доступа Generic Services Proxy (GSP), которая разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.
Разновидность межсетевых экранов с пакетной фильтрацией уже поставляются с модулем доступа SMTP.
На нынешнее время фактически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов, так как оно позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.


Разработка конфигурации межсетевого экрана (пример)

Давайте разберемся, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. Возьмем две системы принимающие входящие соединения из интернета:

  • веб-сервер, работающий только через порт 80;
  • почтовый сервер, работающий только через порт 25, который принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений.


Внутренние пользователи могут использовать следующие службы:

  • HTTP;
  • HTTPS;
  • FTP;
  • Telnet;
  • SSH.


На базе этой политики можно построить правила политики для различных архитектур.


Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

Sist_za predelami mejset_ekranami
Рис. 3. Системы за пределами межсетевого экрана, доступные из интернета


На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным HTTP поступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.

Правила для расположенных за пределами межсетевого экрана систем, доступных из интернета

Номер Наименование IP Конечный IP Служба Действие
1. Внутренний почтовый сервер Почтовый сервер SMTP Принятие
2. Внутренняя сеть Почтовый сервер Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
3. Внутренняя DNS Любой DNS Принятие
4. Любой Любой Любая Сброс


Архитектура 2:
один межсетевой экран

Стандартная архитектура использует один межсетевой экран для защиты, как внутренней сети, так и любых других систем, доступных из интернета.

Odin mejset_ekran
Рис. 4. Один межсетевой экран


Эти системы располагаются в отдельной сети.

Правила для архитектуры с одним межсетевым экраном

Номер Наименование IP Конечный IP Служба Действие
1. Любой Веб-сервер HTTP Принятие
2. Любой Почтовый сервер SMTP Принятие
3. Почтовый сервер Любой SMTP Принятие
4. Внутренняя сеть Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
5. Внутренняя DNS Любой DNS Принятие
6. Любой Любой Любая Сброс


Мы видим, что в данной архитектуре межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре.


Архитектура 3: двойные межсетевые экраны
В третьей архитектуре, доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном.

Dvoinie mejset_ekrani
Рис. 5. Двойные межсетевые экраны

Правила межсетевого экрана 1 в архитектуре с двумя межсетевыми экранами

Номер Наименование IP Конечный IP Служба Действие
1. Любой Веб-сервер HTTP Принятие
2. Любой Почтовый сервер SMTP Принятие
3. Почтовый сервер Любой SMTP Принятие
4. Внутренняя сеть Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
5. Внутренняя DNS Любой DNS Принятие
6. Любой Любой Любая Сброс


Правила межсетевого экрана 2 в архитектуре с двойным межсетевым экраном

Номер Наименование IP Конечный IP Служба Действие
1. Внутренний почтовый сервер Почтовый сервер SMTP Принятие
2. Внутренняя сеть Любой HTTP, HTTPS, FTP, telnet, SSH Принятие
3. Внутренняя DNS Любой DNS Принятие
4. Любой Любой Любая Сброс


Эти примеры очень просты, однако они отражают функционирование межсетевых экранов, при котором разрешается только строго определенный доступ.