Межсетевые экраны. Классификация и описание

Просмотрено: 10297
article-15

Локальная сеть довольно уязвима для злоумышленников, не редки атаки на внутренние сети для кражи важной информации. В этой ситуации безопасности стоит уделять особое внимание. Как правило, атаки осуществляются из сети Интернет, по этому при использование ресурсов всемирной сети необходимо думать о собственной защите. Для этих целей и были разработаны межсетевые экраны (FireWall).
На сегодняшний день нет точной классификации межсетевых экранов. Но условно можно выделить следующие классы:
Фильтрующие
Шлюзы сеансового уровня
Шлюзы уровня приложений
Эти категории отражают основные функции межсетевых экранов, хотя как правило в реальных устройствах не используется только одна категория. Но для отличия их друг от друга, можно использовать именно эти ключевые моменты.
Фильтрующие. Они представляют собой фильтрующие маршрутизаторы или программное обеспечение на сервере, которые фильтрую входящиеисходящие пакеты сети. Для фильтрации используется информация, которая содержится в заголовках TCP и IP пакетов. Как правило пакеты фильтруются на основание следующих полей в заголовке пакета:
Адрес получателя
Адрес отправителя
Порт получателя
Порт отправителя
Порой дополнительной информацией для критерия отбора является сетевой интерфейс маршрутизатора с которого пришел данный пакет. Фильтрацию можно организовать по разному, например блокировать соединения с определенными адресами или компьютерами, блокировать подключение к определенным портам или полностью запретить подключение из какой – то определенной сети.
Правила по котором происходит фильтрация пакетов, обычно сформулировано достаточно сложно и как правило нет средств для проверки корректности выполнения поставленной задачи, кроме как долгого и кропотливого тестирования в ручную. Но даже, если администратор настроит все правила фильтрации очень грамотно, например будут приниматься пакеты только от достоверных узлов, это не сможет полностью обезопасить сеть от проникновения злоумышленника, в таких случаях хакеры попросту могут подменить адрес отправителя в пакете на доверительный.
К положительным сторонам фильтрующего межсетевого экрана можно отнести следующее:
Малая задержка при прохождение пакетов
Не высокая стоимость
Гибкая настройка правил фильтрации
К недостаткам можно отнести:
Внутреннею сеть можно просмотреть из вне, то есть маршрутизируется из Интернета
Отсутствует аутентификация пользователей
Трудность при описание правил фильтрации
При сбое в работе фильтрующего маршрутизатора все компьютеры становятся не защищенными или полностью теряют связь с сетью
Шлюзы сеансового уровня. Этот класс маршрутизаторов представляет собой транслятор соединения. То есть шлюз принимает запрос автоматизированного пользователя на предоставления соединения с каким – то узлом, а после прохождения процесса проверки устанавливается требуемое соединение. После того как установлено соединение все пакеты копируются и направляются адресатам, как правило место подключение заранее установлено, а вот источников может быть много. При помощи этого метода может быть установлено соединения для отдельного пользователя, а так же может вестись статистика.
В итоге, такой маршрутизатор проверяет достоверность подключаемого клиента и его права на доступ к определенным узлам. В общем виде процесс работы такого маршрутизатора выглядит следующим образом: клиент запрашивает доступ к некоторому узлу, после чего маршрутизатор проверяет базовые критерии доступа, после этого от имени клиента устанавливает связь с требуемым узлом, проверяя в ходе работы подтверждение по протоколу TCP. Процедура состоит в обмене пакетами, которые имеют отметки SYN (синхронизировать) и АСК (подтвердить).
При подключение отправляется первый пакет, который является запросом клиента на открытие сеанса, с меткой SYN, который содержит контрольное число. В ответ на этот пакет внешний хост отправляет пакет с меткой ACK, содержащий число на единицу больше, чем контрольное, то есть он подтверждает получение первого пакета от клиента. Затем происходит такая же операция, только в обратном направление. На этом процесс подтверждения связи заканчивается.
После того, как шлюз определил, что связь установлена и не противоречит базовым критериям фильтрации, устанавливается соединение. Затем, шлюз просто перенаправляет пакеты в обоих направлениях при этом фильтрация уже не происходит. ВО время работы шлюз создает таблицу в которой содержатся все установленные соединения и оперируя ей перенаправляет пакеты. После того, как сеанс закончен соединение разрывается и данные о нем удаляются из таблицы.
Основным и пожалуй самым большим недостатком является, отсутствие фильтрации содержимого пакетов. Таким образом злоумышленник может проникнуть в сеть и принести ощутимый ущерб.
Шлюзы уровня приложений. Для увеличения защиты сетей, которые используют фильтрующие маршрутизаторы, приложения должны фильтровать пакеты поступающие от сервисов Telnet и FTP. Такие приложения называются proxy-службой, а хост на котором эта служба работает – шлюзом уровня приложений. При использование этого шлюза исключается непосредственное взаимодействие пользователя с внешним хостом. То есть происходит фильтрация всех пакетов на прикладном уровне.
Этот шлюз работает следующим образом: При обнаружение сетевого сеанса или активности, шлюх останавливает его, после чего вызывает необходимое приложение для оказание запрашиваемой услуги. Чтобы обеспечить более высокий уровень безопасности и гибкость, как правило шлюз приложений и фильтрующий маршрутизатор совмещаются в один межсетевой экран. При помощи этого шлюза организуется высокая безопасность, так как весь трафик проходит и контролируется уполномоченными приложениями.
Этот тип шлюзов имеет ряд преимуществ:
Структуру сети не возможно просмотреть через Интернет.
Надежная система регистрации и аутентификации.
Отличное соотношение цены и качества.
Простые и легко настраиваемые правила фильтрации.
Возможность создания большого числа проверок входящих пакетов.
К недостаткам можно отнести:
Относительно низкая производительность, по сравнению с фильтрующим маршрутизатором.
Довольно высокая стоимость.
Одним из важнейших элементов для защиты сети является аутентификация пользователя, то есть права на использование сервисом предоставляются только после проверки подлинности пользователя. Именно для этого процесса и должен быть настроен межсетевой экран.

Vladimir (03.30.2017 12:23)

Согласен с данной статьёй.Нужно делать максимальную защиту своих данных и не сообщать пароли.

Юлия (03.30.2017 10:05)

Интересная статья. Работаю в сети интернет и уже несколько раз сталкивалась с атаками на свой сайт, потому что конкуренция в моей сфере очень большая и все пытаются вытеснить друг друга, нанимают даже специалистов. Теперь стараюсь как можно сильнее обезопасить себя. Очень заинтересовали межсетевые экраны, раньше слышала о них, но никак не могла понять всей сути. Эта статья очень помогла и поставила все на свои места, но вот остался вопрос: какой все же выбрать в моем случае, если я веду бизнес дома?На первый взгляд стоит выбрать фильтрующие экраны. Это на данный момент один из лидирующих способов защиты на рынке? Я конечно понимаю, что это не дает 100% гарантии защиты, но поможет и упростит жизнь в несколько раз это точно. Сейчас хакеры чего только не придумают и защититься от каждого тяжело. Неужели они действительно могут даже подключаться к ПК и красть пароли? Это просто ужасно. Теперь я еще больше понимаю на сколько важно защитить свою информацию от злоумышленников, ведь у меня на компьютере хранится вся очень важная информация и в случае попадания в чужие руки, несет необратимый вред для бизнеса. Если можете что-то посоветовать в моей ситуации - буду очень признательна.

Виктор (03.21.2017 10:42)

Меня забанили на сайте prospero.ru Я решил обойти банн с помощью порокси сервер, войти на сайт и снять заработанные мной деньги. Но у меня ничего не получилось. Почему?

Михаил (02.14.2017 17:37)

В университете на паре про сети затрагивали тему межсетевых экранов, но преподаватель был у нас ужасный и решил, что прочитаем всё сами. Пока искал в интернете прочитал разные статьи, но только после этой статьи пришло понимание этой темы и теперь точно не завалю экзамен. На отлично расскажу про межсетевой экран и его функции. Полезная статья, спасибо!

Маша (02.14.2017 09:45)

Для совсем "чайников" вроде меня написано) Про фаервол конечно в курсе, а теперь даже немного разбираюсь. Впервые вижу, что есть еще межсетевые экраны, буду знать. Интересно, где они используются чаще всего? Классно, что про все виды расписано подробно, но лично мне для восприятия не хватает схем или картинок( Для человека, который плохо разбирается, вызывает затруднение представлять работу шлюзов, маршрутизаторов...Извилины в бантик, если кароче :D Но в общих чертах более-менее понятно, чем они отличаются и как работают. Еще бы все 3 вида в статье отдельно жирным шрифтом выделили для наглядности и быстрого прочтения. Очень здорово, что отдельно вынесли недостатки и достоинства, а то самому разбираться в таком тяжеловато. Спасибо за статью и ликбез, кто еще позаботится о безопасности наших данных кроме нас самих. Сейчас интересно стало, а с какими еще антивирусными программками может стоять прокси сервер? Или они не сочетаются никак и друг другу мешают? Чем пользуются в крупных компаниях,например? Во сколько им вся эта безопасность обходится ? А то думала, что обычный брандмауэр от виндоус все защищает в совокупности с другим антивирусом. Оказалось, не так все просто.

Наталья (02.14.2017 09:25)

Одна из немногих статей про межсетевые экраны, которая написана доступным языком. Подробно описаны плюсы и минусы классов межсетевых экранов, при этом нет лишней и не нужной информации. Спасибо автору за классную статью, очень помогла разобраться какой файервол лучше использовать мне, не переплачивая за функционал, который мне не нужен.

Eduard (02.13.2017 20:36)

Честно говоря, не задумывался ещё настолько серьёзно о защите своей информации. С таким количеством угроз необходимо с полной ответственностью отнестись к этому, но для начала определиться, какие межсетевые экраны использовать. С первого прочтения данной статьи, я с полной уверенностью отдам предпочтение фильтрующим экранам, поскольку производительность и цена являются для меня главными аргументами.

Глеб Новиков (02.13.2017 10:04)

Статья заставила задуматься и оставила много вопросов. Как я понимаю, это один из самых надежных способов защиты данных? Конечно, очень печально, когда важные данные компании переходят в дурные руки, особенно конкурентов. Когда я работал в компании по SMM- продвижению, именyо прокси-сервер стал нашей бедой. Не правильно продуманная стратегия защиты данных и все «коту под хвост». К слову, даже пароля на маршрутизаторе не было. Так что купить прокси сервер настоящий выход. Еще подскажите, шлюз уровня приложения, замечая активность и останавливая сеанс, не будет ли при наличии атак постоянно разрывать соединение?

Елена (02.13.2017 04:53)

На сегодняшний день кража информации это довольно частое явление и никто не застрахован от утечки важной информации. Данная статья помогла мне разобраться, что с помощью межсетевых экранов, можно защитить свою информацию. Например, я защищаю информацию на сервере, с помощью фильтрующего маршрутизатора, теперь соединения с неизвестными адресами и компьютерами блокируются, тем самым защищая мою система. Конечно, это информация защищена не на 100%, так как порой хакеры взламывают любую систему. Ещё нужно попробовать приложение рrохy-служба, надеюсь все-таки моя информация будет в целости и сохранности.

Ярослав (02.12.2017 14:50)

Благодаря статье я понял, что локальная сеть довольно уязвима, действительно стоит обратить огромное внимание на защиту личной информации от угрозы из сети!

Алена (02.12.2017 11:48)

да... на каждом шагу возникают какие-либо угрозы, в наше время использование прокси сервера и межсетевых экранов может значительно упростить жизнь

Максим (02.11.2017 19:09)

В 21 веке без межсетевого экрана никак. Ни даром, что антивирусы теперь выпускают с фаерволом в комплекте. С каждым годом хакерские атаки все изощрение и хитрее. Количество вирусов неизменно растет, особенно на Windows системы. И обычному пользователю для того, чтобы чувствовать себя в большей безопасности в сети, я бы посоветовал, активно использовать платные прокси и межсетевой экран. Конечно, это не так удобно, как например, подключиться к сети и надеяться на предустановленное производителем программное обеспечение. Беспечность до добра не доводит. Такое поведение ставит под угрозу вашу безопасность. Без межсетевого экрана, хакеры могут дистанционно подключаться к вашему ПК и устанавливать на него трояны, черви и тд. А так же наблюдать за вами и подслушивать, через веб-камеру и встроенный микрофон. Установленное хакерами ПО, будет перехватывать ваши пароли от социальных сетей, от банковских и других платежных сервисов. Без прокси, злоумышленники видят ваш реальный IP адрес и могут подключиться к вашему ПК или роутеру, при наличии в них уязвимости или не правильной конфигурации. В общем ещё много чего неприятного может произойти. Поэтому использование прокси и межсетевого экрана считаю необходимым и целесообразным.

София (02.11.2017 13:31)

Ранее стоял прокси сервер, но все равно пришлось столкнуться с проблемой мошенничества. Остановилась на межсетевых экранах. Вполне довольна.

Наталья (02.11.2017 08:50)

Одна из немногих статей про межсетевые экраны, которая написана доступным языком. Подробно описаны плюсы и минусы классов межсетевых экранов, при этом нет лишней и не нужной информации. Спасибо автору за классную статью, очень помогла разобраться какой файервол лучше использовать мне, не переплачивая за функционал, который мне не нужен.

Андрей (02.09.2017 13:52)

Статья очень хорошо раскрывает тему. Вообще без надежной защиты безопасности данных сейчас ни одной компании на рынке не выжить - конкуренция высокая, случаев кражи данных масса. Межсетевые экраны - это простая и вместе с тем действенная защита, с них надо начинать выстраивать безопасность сети. Особенно это конечно важно для компаний, много работающих или передающих данных через интернет. У нас в компании, например, практически вся информация лежит не на локальных серверах, а на удаленных, с которыми приходится общаться через сеть - все из-за большого количества филиалов. Конечно мы используем шлюзы, особенно шлюз уровня приложений. Верно подмечено, прокси-служба для работы шлюза - вещь недешевая, но уж точно дешевле поддерживать уровень безопасности, чем потерять важные данные.

Яша (02.06.2017 18:09)

Интересная статья, никогда не думал, что в интернете может быть такое количество угроз. Обязательно попробую настроить свой маршрутизатор по принципу описанному в статье, всё-таки не хочется, чтобы мои данные были похищены. А наличие прокси сервера влияет на работу маршрутизатора?

Елена (02.01.2017 13:26)

И правда, самое важное - защита личной информации. А для этого лучше использовать именно межсетевые экраны. Думала начать пользоваться фильтрующими, но, как оказалось, у них достаточно минусов. Все же, лучше не переплачивать.

Евгений (01.31.2017 13:19)

прокси-сервера и фильтрующего маршрутизатора оказалось недостаточно для защиты данных нашей компании по производству ПВХ-конструкций, поэтому теперь мы используем шлюзы уровня приложений. Обходится не так дёшево, как хотелось бы. Но были случаи, когда с компьютеров менеджеров конкуренты удалённо копировали клиентскую базу и коммерческие предложения, а на компьютере бухгалтера взламывали 1С и вымогали 50 тыс. за восстановление (как раз когда подходил срок закрытия УПД). Так что ещё непонятно, как выйдет дешевле)) Немного расстраивает разве что снижение производительности, но плюсов все равно больше (особенно радует легкая настройка фильтрации)!

Юля (01.30.2017 16:01)

Здорово придумали! Ведь сидя в интернете нам нужна безопасность наших данных, ведь у большинства людей хранятся важные документы.

Маша (01.30.2017 15:02)

Здорово придумали! Ведь сидя в интернете нам нужна безопасность наших данных, ведь у большинства людей хранятся важные документы.

Даша (01.30.2017 14:20)

Здорово придумали! Ведь сидя в интернете нам нужна безопасность наших данных, ведь у большинства людей хранятся важные документы.

Даша (01.30.2017 14:17)

Здорово придумали! Ведь сидя в интернете нам нужна безопасность наших данных, ведь у большинства людей хранятся важные документы.

Дарья (01.29.2017 18:39)

Реально ли настроить прокси самому? Недавно задумалась о безопасности интернет кошельков. Каким образом можно обезопасить себя?

Анна Н. (01.26.2017 19:56)

Я работаю на дому, в основном моя задача - обработка данных нескольких крупных компаний, естественно вся работа идёт через интернет. По своим полномочиям имею доступ к бухгалтерской документации, давно ищу программу для безопасного сёрфинга. Хотелось бы узнать возможно использовать прокси сервер на домашнем компьютере, вне основной сети? И если ли какие-либо демо версии

Анна Н. (01.26.2017 19:53)

Я работаю на дому, в основном моя задача - обработка данных нескольких крупных компаний, естественно вся работа идёт через интернет. По своим полномочиям имею доступ к бухгалтерской документации, давно ищу программу для безопасного сёрфинга. Хотелось бы узнать возможно использовать прокси сервер на домашнем компьютере, вне основной сети? И если ли какие-либо демо версии

Анна Н. (01.26.2017 19:51)

Я работаю на дому, в основном моя задача - обработка данных нескольких крупных компаний, естественно вся работа идёт через интернет. По своим полномочиям имею доступ к бухгалтерской документации, давно ищу программу для безопасного сёрфинга. Хотелось бы узнать возможно использовать прокси сервер на домашнем компьютере, вне основной сети? И если ли какие-либо демо версии

Anton (01.26.2017 17:19)

Да уж, цены действительно впечатляют. Но крупным компаниям, как раз - цена за качество, была и будет! Работали с топовой компанией, все нам насторили, установили, но за немалаю копейку. Нашли вот подешевле и нада разобратсья вот с нюансами работы фаервола, чтоб самому установить, либо все же лучше к спецам?

Николай Самин (01.26.2017 17:01)

Ну ничего себе! Как будто историю ужасов прочитал. Я пол года назад примерно, как-то отключил этот файервол у себя на ноутбуке. Теперь мне стало немого страшно за безопасность моих данных. Ребята, нужна ваша помощь или хотя бы совет. Как мне обратно включить этот файервол? И стоит ли покупать дополнительную защиту или этого файервола хватит? Если да, то какую? Если же вдруг, меня взломают потеряю немалые деньги!

Павел (01.26.2017 16:39)

Занимаюсь межсетевыми экранами уже года три, т.к. моя специальность связанна с безопасностью и компьютерными сетями в целом. Я бы посоветовал всем, кому не хотелось бы часто хватать вирусы, следить за своим трафиком или коротко говоря обезопасить себя и свои личные данные, поставить программный межсетевой экран и настроить его, как вам будет удобно.

Илья (01.23.2017 14:16)

Это тема побудила меня реально задуматься о защите своих данных. Ведь у всех из нас почти есть кошельки в интернети и опасно без прокси сервера лазить в интернети так как вас могут просто обокрасть .Сегодня же надо купить лучше сейчас обезопасить себя чем терять свои деньги. Всем советую элитные прокси серверы так как они хорошо защищены от всякого рода хакерских атак )

Лика (01.18.2017 12:45)

Как хорошо что придумали межсетевые экраны, ведь все пользуются интернетом и всем нужна защита от атак, и что самое важное - сберечь важную информацию. Нужно не забывать и о web proxy - посреднике для загрузки контента, его польза очень велика. Работа межсетевых экранов и веб-прокси - залог защиты пользователей.

Оксана Л. (01.18.2017 12:16)

Здравствуйте! Вопрос от новичка в тематике межсетевых экранов. По специфике работы я постоянно ищу различную информацию в интернете. Периодически на тех или иных страничках появляются всплывающие экраны, которые я обычно не посещаю. Но все же время от времени мой антивирус находит на компьютере несколько вирусов, непонятно как туда попавших. В мониторинге системы отображаются процессы приложений, которых у меня и быть то не должно. Так же не всегда уверена в содержимом скачиваемых программ, хотя стараюсь посещать только проверенные ресурсы. Поможет ли мне файрвол решить проблему устанавливаемых без моего ведома приложений или скрытой деятельности уже установленных? Еще, конечно же, хотелось бы с помощью того же файрфола выявить вредоносные программы на моем компьютере. Насколько я понимаю, это можно проанализировать опосредованно при проверке исходящего трафика? Ну и также буду рада советам, какой файрвол лучше установить.

Igor Li (01.18.2017 10:05)

Для обеспечения максимальной безопасности ваших данных, которыми могут быть какие-либо корпоративные документы или информация только для служебного пользования, либо же банковские данные карт и счетов вам просто необходимо использовать все описанные в статье способы защиты. Я часто сталкивался с ситуациями, когда работа всей фирмы замирала из-за вредоносных программ, проникших во внутреннюю компьютерную сеть через интернет. И все уже наслышаны о хакерских атаках на крупные серверы и сайты, даже государственных структур. Не зря в серьезных компаниях сисадмины блокируют доступ ко всем сайтам, которые могут быть рассадником компьютерных вирусов или шпионских программ. Даже на частном компьютере обычного пользователи могут храниться пароли к банковским картам, личным страницам в соцсетях, иногда даже телефоны и адреса, а эти данные могут использоваться мошенниками для хищений ваших денег или различных лохотронов под прикрытием вашей странички в контакте например. Поэтому большинство прокси-серверов уже имеют все описанные типы защиты, которые пользователь может использовать бесплатно или за небольшую плату. Для создания такого щита против хакеров и вирусов придется потратить гораздо больше денег. Для обычного пользователя часто достаточно обычной программы с доступом к бесплатным серверам прокси, а вот крупным компаниям или организациям лучше использовать элитные прокси, которые хорошо защищены от всевозможных хакерских атак.

Светлана (01.18.2017 05:16)

Никогда бы не подумала, что буду интересоваться данной темой, но, как говорится, случай вынудил. Наша работа вплотную связана с персональными данными и мы естественно, по закону о защите персональных данных обязаны обеспечить полую надежность и конфеденциальность. Однако как раз перед новым годом, кто то из коллег потерял бдительность и система подверглась dоs-атаке! Почему то такую ситуацию никто не предусмотрел и большая часть информации была слита. Сейчас мы перенастроили прокси сервер и установили межсетевой экран, надеемся таких внештатных ситуаций больше не повторится.

Оставить Комментарий

Вы должны быть залогинены чтобы могли оставить комментарий.