Межсетевой экран

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 19:46, 22 марта 2016.

Межсетевой экран (сокращенно МЭ, синонимы: "файрвол", "брандмауэр) - это комплекс программных и/или аппаратных средств, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Основная задача межсетевого экрана - обеспечить безопасность требуемого участка сети.

Классический межсетевой экран

Классический межсетевой экран может выполнять следующие функции:

  • Фильтрация трафика согласно заданным правилам. Возможно настраивать разрешенные/запрещенные адреса, порты, их группы и комбинации. В результате описываются все возможные и запрещенные маршруты в сети, что ограничивает возможности потенциального злоумышленника и повышает безопасность контролируемого участка сети.
  • Асимметричное разграничение зон безопасности сети. Например, можно настроить межсетевой экран так, чтобы внутренние узлы сети имели доступ к внешним, но не наоборот.
  • Межсетевой экран может делать автоматическое оповещение о попытках несанкционированного доступа.
  • Межсетевой экран может вести подробное логирование информации, что позволит впоследствии производить расследование инцидентов ИБ.

Отличие от других сетевых устройств

  • В отличии от маршрутизатора или NAT межсетевой экран не пересылает пакеты из одной сети в другую, а лишь фильтрует их.
  • В отличии от системы обнаружения/предотвращения вторжений (IDS/IPS) классический межсетевой экран не проводит глубокий анализ содержимого пакетов с целью обнаружения вредоносного содержимого.
  • Если рассматривать технологию Deep Packet Inspection (DPI), то в отличии от классического межсетевого экрана DPI производит более глубокий анализ содержимого пакетов для их фильтрации.

Однако часто на практике маршрутизатор для удобства совмещен с другими сетевыми устройствам, т.к. вместе они выполняют дополняющие друг друга функции.

Виды межсетевых экранов

В целом, межсетевые экраны можно разделить на 2 группы:

  • Классический МЭ - фильтрует трафик на канальном, сетевом и транспортных уровнях
  • Прикладной МЭ - фильтрует трафик на прикладном уровне

Web Application Firewall

Можно рассматривать Web Application Firewall как межсетевой экран прикладного уровня. Примеры отечественных файрволов - WAF Wallarm, PT Firewall.

Deep Packet Inspection

Deep Packet Inspection - технология фильтрации трафика на основе глубокого анализа содержимого пакетов. Deep Packet Inspection часто используются провайдерами для контроля трафика, а иногда и для блокировки некоторых протоколов, таких как BitTorrent, Skype и т.д. Очень часто используется мобильными операторами для того, чтобы заблокировать трафик интернет телефонии.

Примеры

iptables

Классическое ПО, имеющее функции межсетевого экрана.

Например, блокировать все входящие соединения можно так:

   iptables -P INPUT DROP
   iptables -P FORWARD DROP
   iptables -P OUTPUT ACCEPT
   iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
   iptables -L -v -n

А заблокировать исходящие соединения на заданный адрес можно так:

   iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Законодательство

В РФ использование межсетевых экранов регулируется следующим документом:

"Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации."

Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.