Firewall. Klasifikace firewallů Existují následující hlavní typy firewallů

Intenzivní rozvoj globálních počítačových sítí a vznik nových technologií vyhledávání informací přitahuje stále větší pozornost k internetu ze strany jednotlivců i různých organizací. Mnoho organizací se rozhoduje integrovat své místní a podnikové sítě do Internetu. Využívání internetu pro komerční účely, stejně jako při přenosu informací obsahujících důvěrné informace, s sebou nese potřebu vybudovat účinný systém ochrany dat. Využití globálního internetu má nepopiratelné výhody, ale jako mnoho jiných nových technologií má i své nevýhody. Rozvoj globálních sítí vedl k mnohonásobnému nárůstu počtu nejen uživatelů, ale i útoků na počítače připojené k internetu. Roční ztráty v důsledku nedostatečného zabezpečení počítače se odhadují na desítky milionů dolarů. Při připojování lokální nebo podnikové sítě k internetu je proto třeba dbát na zajištění její informační bezpečnosti.

Globální internet byl vytvořen jako otevřený systém určený pro svobodnou výměnu informací. Internet díky otevřenosti své ideologie poskytuje útočníkům výrazně větší možnosti proniknout do informačních systémů. Prostřednictvím internetu může pachatel:

proniknout do vnitřní sítě podniku a získat neoprávněný přístup k důvěrným informacím;
Kopírování důležitých a cenných informací pro společnost je nezákonné;
získat hesla, adresy serverů a někdy i jejich obsah;
přihlásit se do podnikového informačního systému pod jménem registrovaného uživatele apod.

Získáním informací útočníkem může být vážně narušena konkurenceschopnost podniku a důvěra jeho zákazníků.

Firewally mohou vyřešit řadu úkolů, aby odrazily nejpravděpodobnější hrozby pro vnitřní sítě. Firewall je firewallový systém, který umožňuje rozdělit každou síť na dvě nebo více částí a implementovat sadu pravidel, která určují podmínky pro průchod datových paketů přes hranici z jedné části celkové sítě do druhé. Tato hranice je zpravidla vedena mezi podnikovou (lokální) sítí podniku a globálním internetem, i když může být vedena i v rámci podnikové sítě podniku. Použití firewallů umožňuje organizovat vnitřní bezpečnostní politiku podnikové sítě rozdělením celé sítě do segmentů. To nám umožňuje formulovat základní principy bezpečnostní architektury podnikové sítě:

Zavedení N kategorií soukromí a vytvoření N vyhrazených síťových segmentů uživatelů. V tomto případě má každý uživatel v rámci segmentu sítě stejnou úroveň soukromí (přístup k informacím se stejnou úrovní soukromí). Tento případ lze přirovnat k tajné továrně, kde všichni zaměstnanci podle úrovně přístupu mají přístup pouze do určitých pater. Tato struktura je vysvětlena skutečností, že v žádném případě by se neměly míchat informační toky různých úrovní utajení. Stejně zřejmým vysvětlením tohoto rozdělení všech uživatelů do N, izolovaných segmentů je snadnost provedení útoku v rámci jednoho segmentu sítě.
Rozdělení všech interních firemních serverů do samostatného segmentu. Toto opatření také umožňuje izolovat informační toky mezi uživateli s různými úrovněmi přístupu.
Výběr do samostatného segmentu všech firemních serverů, na které se bude přistupovat z internetu (vytvoření demilitarizované zóny pro externí zdroje).
Vytvoření specializovaného segmentu administrativního managementu.
Vytvořte vyhrazený segment správy zabezpečení.

Firewall prochází veškerý provoz sám přes sebe a u každého procházejícího paketu se rozhoduje: zda mu povolí průchod nebo ne. Aby firewall mohl tuto operaci provést, potřebuje definovat sadu filtrovacích pravidel. Rozhodnutí, zda filtrovat konkrétní protokoly a adresy pomocí brány firewall, závisí na bezpečnostní politice přijaté chráněnou sítí. Brána firewall je sada součástí, které jsou nakonfigurovány tak, aby implementovaly vybranou bezpečnostní politiku.

Politika zabezpečení sítě každé organizace by měla zahrnovat dvě složky:

Zásady pro přístup k síťovým službám.
Zásady implementace firewallu.

Politika přístupu k síťovým službám by měla objasňovat celkovou politiku organizace týkající se ochrany informačních zdrojů v organizaci. Aby firewall úspěšně chránil zdroje organizace, musí být politika pro přístup uživatelů k síťovým službám realistická. To je považováno za politiku, ve které je nalezena harmonická rovnováha mezi ochranou sítě organizace před známými riziky a potřebou uživatelského přístupu k síťovým službám. V souladu s přijatou politikou přístupu k síťovým službám je stanoven seznam internetových služeb, ke kterým mají mít uživatelé omezený přístup. Omezení přístupových metod jsou také nastavena, aby se zajistilo, že uživatelé nebudou moci přistupovat k zakázaným internetovým službám prostřednictvím náhradních řešení.

Firewall může implementovat řadu zásad přístupu ke službám. Obvykle je však politika přístupu k síťovým službám založena na jednom z následujících principů:

Odepřít přístup z Internetu do vnitřní sítě a povolit přístup z vnitřní sítě k Internetu.
Umožňují omezený přístup do vnitřní sítě z internetu a zajišťují provoz pouze určitých autorizovaných systémů, jako jsou informační a poštovní servery.

V souladu s politikou implementace firewallu jsou stanovena pravidla pro přístup k interním síťovým zdrojům. Nejprve je nutné stanovit, jak „důvěryhodný“ nebo „podezřelý“ bezpečnostní systém by měl být. Jinými slovy, pravidla pro přístup k interním zdrojům by měla být založena na jednom z následujících principů:

Zakázat vše, co není výslovně povoleno.
Povolit vše, co není výslovně zakázáno.

Efektivita ochrany vnitřní sítě pomocí firewallů závisí nejen na zvolené politice přístupu k síťovým službám a interním síťovým zdrojům, ale také na racionalitě výběru a použití hlavních komponent firewallu.

Funkční požadavky na firewally pokrývají následující oblasti:

filtrování na úrovni sítě;
filtrování na aplikační úrovni;
nastavení filtrovacích pravidel a administrace;
nástroje síťové autentizace;
implementace deníků a účetnictví.

Klasifikace firewallů

V současné době neexistuje jednotná a obecně uznávaná klasifikace firewallů. Zdůrazněme následující třídy firewallů:

Filtrování routerů.
Brány na úrovni relace.
Brány na aplikační úrovni.

Tyto kategorie lze považovat za základní součásti skutečných firewallů. Jen málo firewallů zahrnuje pouze jednu z těchto kategorií. Tyto komponenty však představují klíčové schopnosti, které firewally od sebe odlišují.

Filtrovat routery

Směrovač s filtrem je směrovač nebo program běžící na serveru, který je nakonfigurován pro filtrování příchozích a odchozích paketů. Filtrování paketů se provádí na základě informací obsažených v TCP a IP hlavičkách paketů.

Směrovač s filtrem může obvykle filtrovat pakety IP na základě skupiny následujících polí záhlaví paketů:

IP adresa odesílatele;
IP adresa příjemce;
port odesílatele;
port příjemce.

Některé směrovače zkontrolují, ze kterého síťového rozhraní směrovače paket přišel, a poté tuto informaci použijí jako další kritéria filtrování.

Filtrování lze implementovat různými způsoby k blokování připojení ke konkrétním počítačům nebo portům. Můžete například blokovat připojení přicházející z konkrétních adres těch počítačů a sítí, které jsou považovány za nepřátelské nebo nedůvěryhodné.

Pravidla pro filtrování paketů je obtížné formulovat a k ověření jejich správnosti obvykle neexistují jiné prostředky než pomalé ruční testování. Navíc, pokud neexistuje směrovač protokolovacího filtru (pokud pravidla filtrování paketů stále umožňují nebezpečným paketům procházet směrovačem), nebude možné takové pakety identifikovat, dokud nebudou zjištěny důsledky pronikání. I když se správci sítě podaří vytvořit účinná pravidla filtrování, jeho možnosti zůstanou omezené. Administrátor například nastaví pravidlo, podle kterého bude router odmítat všechny pakety s neznámou zdrojovou adresou. V tomto případě však může hacker provést útok zvaný podvržení adresy, aby pronikl do chráněné sítě. Za takových podmínek filtrovací router nerozezná falešný paket od skutečného a propustí ho.

Mezi pozitivní vlastnosti filtrovacích směrovačů patří:

relativně nízké náklady;
flexibilita při definování pravidel filtrování;
mírné zpoždění v průchodu paketů.

Nevýhody filtrovacích routerů:

vnitřní síť je viditelná (směrovatelná) z internetu;
pravidla filtrování paketů se obtížně popisují a vyžadují velmi dobrou znalost technologií TCP a UDP;
pokud firewall pro filtrování paketů selže, všechny počítače za ním se stanou zcela nechráněnými nebo nepřístupnými;
neexistuje žádná autentizace na úrovni uživatele.

Brány relace

Tato třída směrovačů je překladač TCP spojení. Brána přijme požadavek autorizovaného klienta na konkrétní služby a po ověření platnosti požadované relace naváže spojení s cílem (externím hostitelem). Poté brána zkopíruje pakety v obou směrech, aniž by je filtrovala. Zpravidla je cíl určen předem, přičemž zdrojů může být mnoho. Pomocí různých portů můžete vytvořit různé konfigurace připojení. Tento typ brány vám umožňuje vytvořit překladač připojení TCP pro jakoukoli uživatelsky definovanou službu na bázi TCP, řídit přístup k této službě a shromažďovat statistiky o jejím použití.

Brána monitoruje handshake mezi autorizovaným klientem a externím hostitelem a určuje, zda je požadovaná komunikační relace platná. K určení, zda je požadavek relace platný, provede brána následující postup. Když autorizovaný klient požaduje službu, brána tento požadavek přijme kontrolou, zda klient splňuje základní kritéria filtrování. Poté brána jedná jménem klienta a naváže spojení s externím hostitelem a sleduje dokončení procedury TCP handshake. Tento postup spočívá ve výměně TCP paketů, které jsou označeny příznaky SYN (synchronizovat) a ACK (potvrdit).

První paket relace TCP, označený příznakem SYN a obsahující libovolné číslo, například 500, je požadavek klienta na otevření relace. Externí hostitel, který tento paket přijal, odpoví jiným, označeným příznakem ACK a obsahujícím číslo o jedna větší než v přijatém paketu (v našem případě 501), čímž potvrdí přijetí paketu SYN od klienta.

Dále se provede opačný postup: hostitel odešle klientovi paket SYN s počátečním číslem, například 700, a klient potvrdí jeho přijetí odesláním ACK paketu s číslem 701. Tím je proces handshake dokončen.

Brána na úrovni relace rozpozná dokončené připojení jako platné pouze tehdy, když při provádění procedury handshake příznaky SYN a ACK, stejně jako čísla obsažená v paketech TCP, spolu logicky souvisí.

Jakmile brána určí, že důvěryhodný klient a externí hostitel jsou autorizovanými účastníky relace TCP, a ověří její platnost, naváže spojení. Od tohoto okamžiku brána kopíruje a předává pakety tam a zpět, aniž by prováděla jakékoli filtrování. Udržuje tabulku navázaných spojení, předává data, která patří k jedné z komunikačních relací zaznamenaných v této tabulce. Když relace skončí, brána odstraní odpovídající záznam z tabulky a ukončí síť používanou v aktuální relaci.

Nevýhodou bran na úrovni relace je chybějící ověření obsahu přenášených paketů, což útočníkovi umožňuje proniknout přes takovou bránu.

Brány aplikační vrstvy

Aby se chránily před některými zranitelnostmi, které jsou součástí filtrování směrovačů, musí brány firewall používat aplikace k filtrování připojení ke službám, jako je Telnet a FTP. Taková aplikace se nazývá služba proxy a hostitel, na kterém služba proxy běží, se nazývá brána na úrovni aplikace. Taková brána eliminuje přímou interakci mezi autorizovaným klientem a externím hostitelem. Brána filtruje všechny příchozí a odchozí pakety na aplikační vrstvě.

Po detekci síťové relace ji aplikační brána zastaví a zavolá autorizovanou aplikaci, aby poskytla ukončenou službu. Aplikační brány a filtrovací směrovače lze zkombinovat do firewallu pro dosažení vyšší úrovně zabezpečení a flexibility.

Brány na aplikační úrovni poskytují spolehlivé zabezpečení, protože komunikace s vnějším světem je realizována prostřednictvím malého počtu autorizovaných aplikací, které plně řídí veškerý příchozí a odchozí provoz. Je třeba poznamenat, že brány aplikační vrstvy vyžadují samostatnou aplikaci pro každou síťovou službu.

Ve srovnání s těmi, které pracují v normálním režimu, ve kterém je aplikační provoz předán přímo interním hostitelům, mají brány na aplikační úrovni řadu výhod:

neviditelnost struktury chráněné sítě z globálního internetu. Názvy interních systémů nesmí být sdělovány externím systémům prostřednictvím DNS, protože aplikační brána může být jediným hostitelem, jehož jméno bude znát externí systémy;
bezpečná autentizace a registrace. Aplikační provoz lze ověřovat dříve, než se dostane k interním hostitelům, a protokolovat jej efektivněji než při standardním protokolování;
přijatelný poměr cena výkon. Další softwarové nebo hardwarové autentizační nebo registrační nástroje stačí nainstalovat na aplikační bránu;
jednoduchá pravidla filtrování. Pravidla na směrovači s filtry jsou méně složitá než na směrovači, který filtruje provoz aplikací sám a posílá ho velkému počtu interních systémů. Směrovač musí povolit aplikační provoz určený pouze pro aplikační bránu a blokovat všechny ostatní;
možnost pořádání velkého množství kontrol. Ochrana na úrovni aplikace umožňuje velké množství dodatečných kontrol, což snižuje pravděpodobnost hackování pomocí děr v softwaru.

Nevýhody bran aplikační vrstvy jsou:

relativně nízký výkon ve srovnání s filtrovacími routery. Zejména při použití protokolů klient-server, jako je Telnet, je pro vstupní a výstupní připojení vyžadován dvoustupňový postup;
vyšší náklady ve srovnání s filtrovacími routery.

Jedním z důležitých prvků koncepce firewallu je autentizace (autentizace uživatele), to znamená, že uživatel získá právo používat určitou službu až poté, co se zjistí, že je skutečně tím, za koho se vydává. V tomto případě se má za to, že služba je pro tohoto uživatele povolena (proces určování, které služby jsou pro konkrétního uživatele povoleny, se nazývá autorizace).

Při přijetí požadavku na použití služby jménem uživatele brána firewall zkontroluje, která metoda ověřování je pro tento subjekt definována, a předá řízení ověřovacímu serveru. Po obdržení kladné odpovědi od ověřovacího serveru firewall pokračuje v připojení požadovaném uživatelem. Většina komerčních firewallů obvykle podporuje několik různých schémat autentizace, což dává správci zabezpečení sítě možnost vybrat si nejvhodnější schéma za převládajících podmínek.

Základní metody nasazení firewallů v podnikových sítích

Při připojování podnikové nebo místní sítě ke globálním sítím musí správce zabezpečení sítě vyřešit následující úkoly:

ochrana podnikové nebo lokální sítě před neoprávněným vzdáleným přístupem z globální sítě;
skrývání informací o struktuře sítě a jejích komponentech před uživateli globální sítě;
rozlišení přístupu do chráněné sítě od globální a od chráněné sítě ke globální.

Potřeba pracovat se vzdálenými uživateli vyžaduje stanovení přísných omezení přístupu k informačním zdrojům chráněné sítě. Organizace zároveň často potřebuje mít v rámci podnikové sítě několik segmentů s různou úrovní zabezpečení:

volně přístupné segmenty;
omezené segmenty;
uzavřené segmenty.

K ochraně podnikové nebo místní sítě se používají následující základní organizační schémata brány firewall:

Firewall prezentovaný jako filtrovací router.
Firewall založený na dvouportové bráně.
Firewall založený na stíněné bráně.
Firewall se stíněnou podsítí.

Firewall prezentovaný jako filtrovací router

Firewall založený na filtrování paketů je nejběžnější a nejsnáze implementovatelný, představuje filtrovací router umístěný mezi chráněnou sítí a Internetem.

Směrovač s filtrem je nakonfigurován tak, aby blokoval nebo filtroval příchozí a odchozí pakety na základě analýzy jejich adres a portů.

Počítače umístěné v chráněné síti mají přímý přístup k internetu, přičemž většina přístupu k nim z internetu je blokována. V zásadě může filtrovací směrovač implementovat kteroukoli z výše popsaných bezpečnostních politik. Pokud však router nefiltruje pakety podle zdrojových portů a čísel vstupních a výstupních portů, pak může být obtížné explicitně implementovat zásadu „zakázat vše, co není povoleno“.

Firewally založené na filtrování paketů mají stejné nevýhody jako filtrovací routery.

Firewall založený na dvouportové bráně

Aplikační brána firewall se dvěma porty je hostitel se dvěma síťovými rozhraními. Při přenosu informací mezi těmito rozhraními se provádí hlavní filtrování. Pro zajištění dodatečného zabezpečení je mezi aplikační bránu a internet umístěn filtrovací směrovač. V důsledku toho se mezi aplikační bránou a routerem vytvoří vnitřní stíněná podsíť. Může být použit k hostování externě přístupného informačního serveru. Umístění informačního serveru zvyšuje bezpečnost sítě, protože i když do ní útočník pronikne, nebude moci získat přístup k síťovým systémům přes bránu se dvěma rozhraními.

Na rozdíl od návrhu firewallu s filtrem routeru aplikační brána zcela blokuje IP provoz mezi Internetem a chráněnou sítí. Služby a přístup uživatelům mohou poskytovat pouze autorizované aplikace umístěné na aplikační bráně.

Tato verze firewallu implementuje bezpečnostní politiku založenou na principu „vše, co není výslovně povoleno, je zakázáno“; v tomto případě má uživatel přístup pouze k těm službám, pro které byla definována příslušná oprávnění. Tento přístup poskytuje vysokou úroveň zabezpečení, protože cesty do chráněné podsítě zná pouze firewall a jsou skryté před externími systémy.

Zvažované organizační schéma firewallu je relativně jednoduché a docela efektivní. Vzhledem k tomu, že brána firewall používá hostitele, lze na něj nainstalovat programy, které poskytují vylepšené ověřování uživatelů. Brána firewall může také protokolovat přístup, pokusy o testování a útoky na systém, což může pomoci identifikovat škodlivou aktivitu.

Firewall založený na stíněné bráně

Brána firewall nabízí větší flexibilitu než brána firewall se dvěma rozhraními, ale tato flexibilita přichází za cenu určitého snížení zabezpečení. Firewall se skládá z filtrovacího routeru a aplikační brány umístěné na straně vnitřní sítě. Aplikační brána je implementována na hostiteli a má pouze jedno síťové rozhraní.

V tomto návrhu je primární zabezpečení zajišťováno filtračním směrovačem, který filtruje nebo blokuje potenciálně nebezpečné protokoly před dosažením aplikační brány a interních systémů. Filtrování paketů ve filtrovacím směrovači lze implementovat jedním z následujících způsobů:

interní hostitelé mohou otevírat připojení k hostitelům v Internetu pro určité služby (přístup k nim je povolen prostředí filtrování paketů);
Všechna připojení z interních hostitelů jsou odepřena (musí používat autorizované aplikace na aplikační bráně).

V této konfiguraci může firewall používat kombinaci dvou zásad, jejichž vzájemný vztah závisí na konkrétní bezpečnostní politice přijaté ve vnitřní síti. Zejména filtrování paketů na filtrujícím routeru může být organizováno tak, že aplikační brána pomocí svých autorizovaných aplikací poskytuje služby jako Telnet, FTP, SMTP pro systémy v chráněné síti.

Hlavní nevýhodou firewallu se stíněnou bránou je, že pokud se útočníkovi podaří proniknout na hostitele, budou mu vystaveny vnitřní síťové systémy. Další nevýhoda souvisí s možným kompromisem routeru. Pokud dojde ke kompromitaci routeru, zpřístupní se útočníkovi vnitřní síť.

Firewall se stíněnou podsítí

Firewall stíněné podsítě je evolucí designu brány firewall stíněné brány. Pro vytvoření stíněné podsítě se používají dva stínící routery. Externí směrovač je umístěn mezi internetem a chráněnou podsítí a interní směrovač je umístěn mezi stíněnou podsítí a chráněnou vnitřní sítí. Stíněná podsíť zahrnuje aplikační bránu a může také zahrnovat informační servery a další systémy, které vyžadují řízený přístup. Tento design firewallu poskytuje vysokou úroveň zabezpečení vytvořením stíněné podsítě, která dále izoluje chráněnou vnitřní síť od Internetu.

Externí router chrání jak stíněnou podsíť, tak vnitřní síť před průniky z internetu. Externí směrovač odepře přístup z World Wide Web k systémům ve vnitřní síti a blokuje veškerý provoz na Internet přicházející ze systémů, které by neměly iniciovat připojení.

Tento směrovač lze také použít k blokování dalších zranitelných protokolů, které by neměly být odesílány do nebo z vnitřních síťových hostitelů.

Interní router chrání vnitřní síť před neoprávněným přístupem jak z internetu, tak v rámci stíněné podsítě. Kromě toho provádí většinu filtrování paketů a také řídí provoz do az interních síťových systémů.

Filtrovaný firewall podsítě se dobře hodí k ochraně sítí s velkým objemem provozu nebo vysokou rychlostí provozu.

Mezi jeho nevýhody patří skutečnost, že dvojice filtrujících routerů vyžaduje velkou pozornost k zajištění požadované úrovně zabezpečení, protože chyby v jejich konfiguraci mohou způsobit narušení bezpečnosti celé sítě. Navíc je zde zásadní možnost přístupu obcházením aplikační brány.

Nevýhody používání firewallů

Firewally se používají k organizaci bezpečných virtuálních privátních sítí. Několik lokálních sítí připojených ke globální síti je spojeno do jedné zabezpečené virtuální privátní sítě. Přenos dat mezi těmito lokálními sítěmi je pro uživatele neviditelný a důvěrnost a integrita přenášených informací musí být zajištěna pomocí šifrovacích nástrojů, používání digitálních podpisů atd. Při přenosu dat lze zašifrovat nejen obsah paketu, ale i některá pole záhlaví.

Firewall nemůže vyřešit všechny problémy se zabezpečením podnikové sítě. Kromě výše popsaných výhod firewallů existuje řada omezení v jejich použití a existují také bezpečnostní hrozby, před kterými firewally nedokážou ochránit. Všimněme si nejvýznamnějších omezení při používání firewallů:

velké množství zbývajících zranitelností. Firewally nechrání před zadními vrátky v síti. Pokud lze například provést neomezený přístup modemu do sítě chráněné firewallem, útočníci mohou firewall účinně obejít;
nedostatečná ochrana před útoky zaměstnanců společnosti. Firewally obvykle neposkytují ochranu proti vnitřním hrozbám;
omezení přístupu k nezbytným službám. Nejzřetelnější nevýhodou firewallu je, že může blokovat řadu služeb, které uživatelé používají, Telnet, FTP atd. K řešení takových problémů je zapotřebí dobře promyšlená bezpečnostní politika, která zajistí rovnováhu mezi bezpečnostními požadavky a potřeby uživatele;
soustředění zabezpečovacího zařízení na jednom místě. To usnadňuje správu brány firewall;
omezení šířky pásma.

Organizace komplexní ochrany podnikové sítě

Pro ochranu informačních zdrojů a zajištění optimálního provozu distribuovaných podnikových informačních systémů je nutné používat komplexní systém informační bezpečnosti, který efektivně využije výhody firewallů a kompenzuje jejich nedostatky pomocí dalších bezpečnostních nástrojů.

Plně vybavená ochrana podnikové sítě by měla poskytovat:

bezpečná interakce uživatelů a informačních zdrojů umístěných na extranetových a intranetových sítích s externími sítěmi, jako je internet;
technologicky jednotný soubor ochranných opatření pro distribuované a segmentované lokální sítě podnikových oddělení;
přítomnost hierarchického bezpečnostního systému, který poskytuje adekvátní bezpečnostní prostředky pro segmenty podnikové sítě s různým stupněm utajení.

Povaha moderního zpracování dat v podnikových internetových/intranetových systémech vyžaduje, aby firewally měly následující základní vlastnosti:

mobilita a škálovatelnost ve vztahu k různým hardwarovým a softwarovým platformám;
možnost integrace s hardwarem a softwarem jiných výrobců;
snadnost instalace, konfigurace a provozu;
řízení v souladu s centralizovanou bezpečnostní politikou.

V závislosti na velikosti organizace a bezpečnostní politice přijaté podnikem mohou být použity různé firewally. Pro malé podniky využívající až tucet uzlů jsou vhodné firewally s pohodlným grafickým rozhraním, které umožňují místní konfiguraci bez použití centralizované správy. Pro velké podniky jsou vhodnější systémy s konzolami a manažery správy, které poskytují provozní správu lokálních firewallů a podporu virtuálních privátních sítí.

Nárůst informačních toků přenášených přes internet ze strany firem a soukromých uživatelů, stejně jako potřeba organizovat vzdálený přístup do podnikových sítí, jsou důvody pro neustálé zdokonalování technologií pro připojení podnikových sítí k internetu.

Je třeba poznamenat, že v současné době žádná z technologií připojení, i když má vysoké výkonové charakteristiky, ve standardní konfiguraci nemůže poskytnout plnohodnotnou ochranu podnikové sítě. Řešení tohoto problému je možné pouze pomocí technologie firewallu, která organizuje bezpečnou interakci s vnějším prostředím.

Podívejme se blíže na technologie firewallu.

Ochrana vaší podnikové sítě před neoprávněným přístupem z internetu

Když je vaše podniková síť připojena k internetu, můžete svou podnikovou síť chránit před neoprávněným přístupem pomocí jednoho z následujících řešení:

hardwarový software nebo softwarový firewall;
router s vestavěným paketovým filtrem;
specializovaný router, který implementuje bezpečnostní mechanismus založený na přístupových seznamech;
operační systém rodiny UNIX nebo méně běžně MS Windows, rozšířený o speciální nástroje, které implementují filtrování paketů.

Ochrana podnikové sítě na základě firewallu vám umožňuje získat vysoký stupeň zabezpečení a implementovat následující funkce:

sémantické filtrování cirkulujících datových toků;
filtrování na základě síťových adres odesílatele a příjemce;
filtrování požadavků na úrovni přenosu za účelem vytvoření virtuálních připojení;
filtrování požadavků na aplikační úrovni na aplikační služby;
lokální signalizace pokusů o porušení pravidel filtrování;
odepření přístupu neznámému subjektu nebo subjektu, jehož pravost nebyla potvrzena při autentizaci;
poskytování zabezpečení typu point-to-point: firewall, autorizace směrování a směrovače, tunel směrování a šifrování dat atd.

Je třeba poznamenat, že firewally umožňují organizovat komplexní ochranu podnikové sítě před neoprávněným přístupem, založenou jak na tradičním syntaktickém (IP-paketovém) filtrování řízených datových toků, které provádí většina operačních systémů rodiny Windows a UNIX, tak o sémantickém (obsahovém) filtrování, dostupné pouze komerčním společnostem.speciální řešení.

V současné době lze všechny vyráběné firewally klasifikovat podle následujících hlavních charakteristik:

provedením:
- - hardware a software,
- - software;
o fungování na úrovních modelu OSI:
- - brána na expertní úrovni,
- - stínící brána (aplikační brána),
- - transport stínění (brána na úrovni relace),
- - stínící router (paketový filtr);
podle použité technologie:
- - sledování stavu protokolu,
- - založené na zprostředkujících modulech (proxy);
podle schématu zapojení:
- - jednotné schéma ochrany sítě,
- - schéma s chráněnými uzavřenými a nechráněnými otevřenými segmenty sítě,
- - schéma s oddělenou ochranou uzavřených a otevřených segmentů sítě.

Dnes zcela běžná ochrana podnikové sítě založená na routeru s přístupovým seznamem je založena na použití specializovaných routerů. Toto schéma je vysoce efektivní a má dostatečný stupeň bezpečnosti. Jako takové řešení jsou hojně využívány routery Cisco řady 12000 a 7600. Pro připojení podnikové sítě k internetu lze využít i předchozí řady routerů této společnosti.

Ochrana podnikové sítě založené na operačních systémech rozšířených o funkce filtrování paketů je založena na skutečnosti, že systémový software plní funkce směrování, filtrování, údržby atd. Z hlediska spolehlivosti, bezpečnosti a výkonu jsou řešení založená na UNIX- jako operační systém jsou nejvýhodnější.

Organizace interní podnikové síťové bezpečnostní politiky

V moderních podmínkách se více než 50 % různých útoků a pokusů o přístup k informacím provádí z lokálních sítí. Firemní síť lze považovat za skutečně chráněnou před neoprávněným přístupem pouze tehdy, pokud má jak prostředky ochrany vstupních bodů před internetem, tak řešení zajišťující bezpečnost jednotlivých počítačů, podnikových serverů a fragmentů podnikové lokální sítě. Bezpečnost jednotlivých počítačů, podnikových serverů a fragmentů lokální sítě nejlépe zajistí řešení založená na distribuovaných nebo personálních firewallech.

Interní podnikové servery jsou obvykle aplikace s operačními systémy Windows NT/2000, NetWare nebo, méně často, operační systémy řady UNIX. Z tohoto důvodu se podnikové servery stávají potenciálně zranitelnými vůči různým typům útoků.

Nejjednodušším způsobem ochrany serverů je instalace firewallu mezi servery a Internetem, jako je Checkpoint's Firewall-1. Při správné konfiguraci může většina firewallů chránit interní servery před vnějšími útočníky a některé detekovat a zabránit útokům odmítnutí služby. Tento přístup však není bez některých nevýhod. Když jsou podnikové servery chráněny jediným firewallem, všechna pravidla řízení přístupu a data jsou soustředěna na jednom místě. Firewall se tak stává úzkým hrdlem a se zvyšujícím se zatížením výrazně ztrácí výkon.

Alternativou k předchozímu schématu je nákup dalších serverů a instalace firewallu Firewall-1 od Checkpoint nebo Cisco PIX od Cisco před každý server. Tím, že se z brány firewall stane vyhrazený serverový prostředek, je problém s úzkým hrdlem vyřešen a dopad jediného selhání brány firewall na celkový stav sítě je snížen. Tento přístup však nelze nazvat ideálním, protože náklady společnosti na nákup vybavení prudce rostou. Navíc rostou mzdové náklady na správu a údržbu sítě.

Nejúspěšnějším řešením problému ochrany podnikových serverů je umístění bezpečnostních nástrojů na stejnou platformu jako server, který budou chránit. Tento úkol se provádí pomocí distribuovaných nebo osobních firewallů, jako je CyberwallPLUS Network-1 Security Solution. Tato řešení významně doplňují funkčnost tradičních (obvodových) firewallů a lze je použít k ochraně interních i internetových serverů.

Na rozdíl od tradičních firewallů, které jsou obvykle místními „kontrolními body“ pro řízení přístupu ke kritickým informačním zdrojům společnosti, jsou distribuované firewally dalším softwarem, který spolehlivě chrání podnikové servery, jako je internetový server.

Porovnejme tradiční a distribuované firewally na základě několika ukazatelů.

Účinnost. Tradiční firewall je často umístěn na perimetru a poskytuje pouze jednu vrstvu ochrany. Osobní firewall funguje na úrovni jádra operačního systému a spolehlivě chrání podnikové servery skenováním všech příchozích a odchozích paketů.

Snadná instalace. Tradiční firewall by měl být nainstalován jako součást konfigurace podnikové sítě. Distribuovaný firewall je software, který se nainstaluje a odinstaluje během několika minut.

Řízení. Tradiční firewall je spravován správcem sítě. Distribuovaný firewall může spravovat buď správce sítě, nebo uživatel místní sítě.

Výkon. Tradiční firewall je firewallové zařízení s pevným limitem výkonu paketů za sekundu a není vhodné pro rostoucí serverové flotily navzájem propojené komutovanými místními sítěmi. Distribuovaný firewall umožňuje rozšiřovat serverové parky, aniž by došlo k ohrožení přijaté bezpečnostní politiky.

Cena. Tradiční firewally bývají systémy s pevnými funkcemi a poměrně vysokou cenou. Distribuované firewally jsou software, který obvykle stojí mezi 20 % a 10 % tradičních firewallů. Například distribuovaný firewall CyberwallPLUS Network-1 Security Solution stojí 6 000 USD, zatímco firewall Cisco PIX 535 společnosti Cisco stojí přibližně 50 000 USD.

Distribuované brány firewall kombinují řízení přístupu k síti s vestavěnou detekcí neoprávněné manipulace a fungují v režimu jádra, přičemž prověřují každý paket informací při vstupu do sítě. Činnosti, jako jsou pokusy o hackování a neoprávněný přístup, jsou touto obrazovkou blokovány před přechodem na aplikační vrstvu serveru.

Mezi hlavní výhody distribuovaných firewallů patří:

zajištění bezpečnosti příchozího a odchozího provozu;
poskytování škálovatelné architektury šířením firewallové ochrany na více serverů;
odstranění tradičního firewallu jako jediného bodu selhání;
poskytující nízkonákladové bezpečnostní řešení, které se snadno implementuje a spravuje.

Firewally CyberwallPLUS tedy poskytují další úroveň ochrany pro platformy s operačním systémem Windows NT/2000, na kterých jsou nainstalovány podnikové aplikace, jako je internetový server. Kromě toho může firewall CyberwallPLUS zabránit tomu, aby byly známé typy útoků použity k narušení důležitých firemních serverů a upozornit správce zabezpečení na podezřelou aktivitu v síti.

Takže firewall:

chrání přenášené informace bez ohledu na způsob a médium přenosu dat (satelitní kanály, optické komunikační linky, telefonní spojení, radioreléové linky);
chrání jakékoli aplikace bez nutnosti jakýchkoli změn;
transparentní pro koncové uživatele;
umožňuje implementovat škálovatelné ochranné systémy s možností jejich dalšího rozšiřování a komplexnosti s růstem organizací a zlepšujícími se požadavky na bezpečnostní politiku;
chrání jednotlivé síťové informační systémy a aplikace bez ohledu na topologii sítě, kterou používají;
chrání podnikový informační systém před útoky z vnějšího prostředí;
chrání informace před zachycením a modifikací nejen na externích otevřených připojeních, ale také na interních sítích společnosti;
lze snadno překonfigurovat podle toho, jak se vyvíjí podniková politika zabezpečení informací, přidávají se zdroje, aktualizují se technologie a síť korporace roste.

Implementace firewallu

V současné době velké množství zahraničních i tuzemských firem nabízí různé hardwarové, softwarové i softwarové implementace firewallů. Níže je uveden stručný popis některých produktů, které dnes vyrábí přední zahraniční výrobci.

NetScreen Technologies nabízí širokou škálu produktů, od zařízení, která poskytují jednotlivým uživatelům přístup k podnikové podnikové síti přes zabezpečený kanál, až po modely navržené pro implementaci ve velkých podnikových strukturách a vytváření vysoce výkonných bezpečnostních systémů. Každý produkt NetScreen je kombinací brány firewall a zařízení virtuální privátní sítě (VPN).

Produktová řada NetScreen-5 umožňuje vytvořit firewall s propustností 70 Mbps pro model NetScreen-5XT a 20 Mbps pro model NetScreen-5XP a také VPN s propustností 20, respektive 13 Mbps. Na rozdíl od NetScreen-5XP, který podporuje až pět portů 10Base-T, model NetScreen-5XT poskytuje pět rozhraní Fast Ethernet.

Oba produkty jsou schopny podporovat až 2 tisíce VPN tunelů a až 2 tisíce současných TCP spojení. Jsou vybaveny operačním systémem NetScreen ScreenOS 4.0, který slouží ke konfiguraci fyzických a virtuálních rozhraní v souladu s bezpečnostními požadavky.

Produkty řady NetScreen-5 jsou ideální pro instalaci mezi domácím počítačem uživatele a webem nebo pro poskytování zabezpečeného přístupu k místní podnikové síti.

Pro implementaci v malých a středních podnicích vyvinula společnost NetScreen Technologies produkty řady NetScreen-25, -50, -100, -200. Umožňují vytvářet firewally s propustností od 100 do 550 Mbit/s. Data, pokud jsou šifrována pomocí protokolu Triple DES se 168bitovým klíčem, jsou navíc přenášena mezi uzly tunelem virtuální privátní sítě rychlostí 20 až 200 Mbit/s. Tyto produktové řady podporují čtyři až osm portů Fast Ethernet.

Řada zařízení NetScreen-500, NetScreen-1000 a NetScreen-5000 nabízí výjimečnou propustnost, což z nich dělá nejlepší řešení pro nasazení ve velkých podnicích. Model NetScreen-500 poskytuje propustnost téměř 750 Mbps a rychlost VPN 240 Mbps.

Model NetScreen-5200 umožňuje implementovat firewall s propustností 4 Gbit/s a VPN s 2 Gbit/s. Podporuje až osm portů Gigabit Ethernet nebo dva porty Gigabit Ethernet a 24 Fast Ethernet. Model NetScreen-5400 poskytuje rychlosti 12 Gbps pro firewall a 6 Gbps pro VPN. Podporuje až 78 portů Gigabit Ethernet a Fast Ethernet.

Oba produkty jsou schopny podporovat až 25 tisíc VPN tunelů a až milion současných TCP spojení. Jsou vybaveny operačním systémem NetScreen ScreenOS 3.1. Produkty NetScreen Technologies navíc podporují protokol RADIUS (Remote Authentication Dial-In User Service) a mají vlastní databázi pro ověřování uživatelů požadujících vzdálený přístup.

WatchGuard Technologies nabízí modely určené pro implementaci v malých a středních i velkých podnicích. Produkty řady Firebox III (4500, 2500, 1000 a 700) jsou k dispozici pro použití v malých a středních podnicích. Modely Firebox 4500 a 2500 jsou hardwarové firewally s operačním systémem Linux se zabezpečeným jádrem. Propustnost firewallů je 197 Mbit/s v režimu filtrování paketů a 60 Mbit/s v režimu mediátoru (transparentní proxy) na aplikační úrovni. Každý firewall má tři síťová rozhraní 10/100 Mbps Fast Ethernet.

Oba firewally mohou podporovat až 3 tisíce VPN tunelů, ale model FireBox 4500 umožňuje dosáhnout vyšších rychlostí šifrování pomocí algoritmu TripleDES 100, respektive 55 Mbit/s ve srovnání s FireBoxem 2500.

Pro malé a střední podniky a vzdálené kanceláře firma vyrábí Firebox SOHO 6, Firebox SOHO 6/tc a Firebox 700.

Firebox 700 je schopen obsluhovat až 250 uživatelů současně. Jedná se o firewall, který podporuje jak filtrování paketů, tak filtry aplikačních zprostředkovatelů. WatchGuard odhaduje výkon Fireboxu 700 na 131 Mbps v režimu filtrování paketů a 43 Mbps v režimu proxy. Firebox 700 umožňuje vytvořit virtuální privátní síť se 150 tunely současně a provádět šifrování TripleDES rychlostí 5 Mbps.

Firebox SOHO 6 podporuje paketové filtry s propustností 75 Mbps. Podporuje také pětitunelovou virtuální privátní síť s propustností 20 Mbps (modifikace SOHO/tc) pomocí šifrování TripleDES.

Pro zajištění vysokorychlostní propustnosti pro velké informační společnosti byl vyvinut model Firebox Vclass, který umožňuje propustnost až 600 Mbit/s. Produkt je schopen podporovat až 20 tisíc VPN tunelů. V režimu šifrování je dosaženo rychlosti 300 Mbit/s.

Společnost Cisco Systems nabízí řadu firewallů Cisco PIX Firewall, které poskytují vysokou úroveň zabezpečení, výkonu a spolehlivosti. Sortiment firewallů představují následující produkty: PIX 506E, 515E, 525 a 535.

Firewally Cisco PIX 506E a 515E jsou upgrady na modely Cisco PIX 506 a 515. Tyto modely jsou určeny pro použití v podnikových sítích malých společností a také pro zajištění bezpečnosti vzdálených klientů podnikových podnikových sítí. Model 506E má výkon 20 Mbit/s a 515E 188 Mbit/s. Datový tok lze šifrovat buď pomocí algoritmu DES s 56bitovým klíčem nebo TripleDES se 168bitovým klíčem. Propustnost Cisco PIX 506E s DES šifrováním 20 Mbit/s, TripleDES 16 Mbit/s. Rychlost šifrování pro model 515E využívající algoritmus TripleDES je 63 Mbit/s. Model 515E podporuje až 2 tisíce VPN tunelů.

Pro použití ve středních a velkých podnicích vyrábí Cisco modely 525 a 535. Propustnost modelu 525 je 370 Mbps. Tento model může současně obsloužit až 280 tisíc relací. Model Cisco PIX 535 má výkon 1 Gbps a podporuje VPN s propustností 100 Mbps. Tento model navíc podporuje až 2 tisíce VPN tunelů a až 500 tisíc současných TCP spojení.

Firewally Cisco používají jako metodu ochrany verzi algoritmu pro skenování kontextu Adaptive Security Algorithm (ASA) a interní operační systém PIX OS, aby byla zajištěna vysoká spolehlivost a bezpečnost před možnými internetovými útoky.

Od společnosti eSoft, Inc. v listopadu 2002 byla představena nová řada produktů InstaGate xSP, která nahradila dřívější modely InstaGate EX2 a InstaGate PRO. Pod značkou InstaGate xSP vyrábí eSoft InstaGate xSP Branch Office pro malé a distribuované kanceláře a InstaGate xSP Business pro střední a velké kanceláře. Produkty řady xSP se dodávají se sadou aplikací SoftPak, které uživatelům umožňují rychle a snadno vytvořit robustní zabezpečení v celém obvodu jejich podnikové sítě. Produktová řada xSP je plně kompatibilní se stávajícími modely InstaGate a umožňuje vytvářet virtuální privátní sítě založené na IPSec a PPTP. InstaGate xSP Branch Office podporuje až 10 uživatelů a 10 VPN tunelů a InstaGate xSP Business podporuje až 100 uživatelů a 100 VPN tunelů. Produkty této řady jsou relativně levné.

3Com nabízí na trh dva typy firewallů: SuperStack 3, určený pro firemní centrály a velké kanceláře, a také pro zákazníky, kteří vyžadují vysoce výkonný přístup k virtuální privátní síti, a OfficeConnect pro malé kanceláře s méně než stovkou zaměstnanců, domácí kanceláře a domácí profesionálové.

Výrobci odhadují, že SuperStack 3 podporuje neomezený počet uživatelů podnikové sítě a poskytuje až 1000 VPN tunelů. Propustnost tohoto modelu při šifrování pomocí algoritmu TripleDES je 45 Mbit/s.

Modelovou řadu OfficeConnect představují modely OfficeConnect Internet Firewall 25 a OfficeConnect Internet Firewall DMZ. Model OfficeConnect Internet Firewall DMZ, využívající port DMZ, vám umožňuje poskytovat bezpečný externí přístup k síťovým zdrojům. OfficeConnect Internet Firewall DMZ podporuje až 100 uživatelů a OfficeConnect Internet Firewall 25 25 uživatelů. Spolu s OfficeConnect Internet Firewall DMZ a OfficeConnect Internet Firewall 25 firewally se OfficeConnect Web Site Filter používá k filtrování přístupu na nežádoucí webové stránky. Všechny firewally 3Com mají certifikaci ICSA. Rodina firewallů 3Com kombinuje výjimečně snadné použití s flexibilními možnostmi řešení. Firewally 3Com se snadno instalují a poskytují extrémně vysokou úroveň zabezpečení. Plug-and-play instalace eliminuje složité a časově náročné postupy nastavení a správy, aniž by byla obětována přísnost, úplnost a podrobnosti vaší bezpečnostní strategie.

Využití firewallů je tedy klíčovým prvkem při budování vysoce výkonných, bezpečných a spolehlivých informačních a analytických systémů a podnikových automatizačních systémů, finančních systémů, distribuovaných databází, systémů pro vzdálený přístup zaměstnanců k interním zdrojům podnikových sítí, segmentům podnikových sítí. a firemní síť jako celek.

Encyklopedický YouTube

1 / 5

✪ 1. Správce Cisco ASA. Co je firewall?

✪ ZoneAlarm Free Firewall - Bezplatný firewall pro váš počítač

✪ 2. Správce Cisco ASA. Firewally Cisco

✪ Firewally

titulky

Účel

Mezi úkoly, které firewally řeší, je hlavní ochrana segmentů sítě nebo jednotlivých hostitelů před neoprávněným přístupem pomocí zranitelností v protokolech modelu sítě OSI nebo v softwaru instalovaném na počítačích v síti. Firewally povolují nebo zakazují provoz porovnáním jeho charakteristik se zadanými vzory.

Nejběžnějším místem pro instalaci firewallů je perimetr místní sítě, aby byly interní hostitele chráněny před vnějšími útoky. Útoky však mohou začít i z interních hostitelů – v tomto případě, pokud se napadený hostitel nachází ve stejné síti, provoz nepřekročí perimetr sítě a firewall nebude aktivován. Firewally jsou proto nyní umístěny nejen na okraji, ale také mezi různými segmenty sítě, což poskytuje další úroveň zabezpečení.

Příběh

První zařízení, která filtrovala síťový provoz, se objevila na konci 80. let, kdy byl internet nový a v celosvětovém měřítku se nepoužíval. Tato zařízení byly směrovače, které kontrolují provoz na základě dat obsažených v záhlaví protokolu síťové vrstvy. Následně s rozvojem síťových technologií byla tato zařízení schopna filtrovat provoz pomocí dat z protokolů vyšší transportní úrovně. Směrovače lze považovat za první hardwarovou a softwarovou implementaci firewallu.

Softwarové firewally se objevily mnohem později a byly mnohem mladší než antivirové programy. Například projekt Netfilter/iptables (jeden z prvních softwarových firewallů zabudovaných do linuxového jádra od verze 2.4) byl založen v roce 1998. Tento pozdní vzhled je pochopitelný, protože antivirus po dlouhou dobu řešil problém ochrany osobních počítačů před malwarem. Na konci 90. let však viry začaly aktivně využívat chybějící firewally na počítačích, což vedlo ke zvýšenému zájmu uživatelů o tuto třídu zařízení.

Filtrování provozu

Filtrování provozu se provádí na základě sady předem nakonfigurovaných pravidel tzv sada pravidel. Firewall je vhodné považovat za sekvenci filtrů, které zpracovávají tok informací. Každý z filtrů je navržen tak, aby interpretoval samostatné pravidlo. Posloupnost pravidel v sadě má významný dopad na výkon brány firewall. Například mnoho firewallů postupně porovnává provoz s pravidly, dokud není nalezena shoda. U takových firewallů by měla být pravidla, která odpovídají největšímu provozu, umístěna v seznamu co nejvýše, čímž se zvýší výkon.

Existují dva principy zpracování příchozího provozu. První zásada říká: „Co není výslovně zakázáno, je dovoleno. V tomto případě, pokud firewall přijme paket, který nespadá pod žádné pravidlo, je přenášen dále. Opačný princip - "Co není výslovně povoleno, je zakázáno" - zaručuje mnohem větší bezpečnost, protože zakazuje veškerý provoz, který není výslovně povolen pravidly. Z tohoto principu však vyplývá další zátěž pro správce.

Firewally nakonec provádějí jednu ze dvou operací s příchozím provozem: předají paket dále ( dovolit) nebo paket zahoďte ( odmítnout). Některé firewally mají ještě jednu operaci - odmítnout, ve kterém je paket zahozen, ale odesílatel je informován, že služba, ke které se pokoušel přistupovat, je nedostupná. Naproti tomu při operaci odmítnout odesílatel není informován o nedostupnosti služby, což je bezpečnější.

Klasifikace firewallů

Stále neexistuje jednotná a obecně uznávaná klasifikace firewallů. Ve většině případů je však hlavní charakteristikou při jejich klasifikaci podporovaná vrstva modelu sítě OSI. S ohledem na tento model se rozlišují následující typy firewallů:

Řízené přepínače.
Dávkové filtry.
Brány na úrovni relace.
Zprostředkovatelé aplikační vrstvy.
Inspektoři stavu.

Řízené přepínače

Mnoho výrobců síťových zařízení, jako jsou Cisco, Nortel, 3Com, ZyXEL, poskytuje ve svých přepínačích možnost filtrovat provoz na základě MAC adres obsažených v záhlaví rámců. Například u přepínačů rodiny Cisco Catalyst je tato funkce implementována pomocí mechanismu Port Security. . Tato metoda filtrování však není účinná, protože MAC adresu nainstalovanou v hardwaru na síťové kartě lze snadno softwarově změnit, protože hodnota zadaná prostřednictvím ovladače má vyšší prioritu než ta, která je na kartě pevně připojena. Mnoho moderních přepínačů proto umožňuje jako funkci filtrování použít jiné parametry – například VLAN ID. Technologie virtuální místní sítě umožňuje vytvářet skupiny hostitelů, jejichž provoz je zcela izolován od ostatních síťových uzlů.

Dávkové filtry

Paketové filtry fungují na síťové vrstvě a řídí průchod provozu na základě informací obsažených v hlavičce paketu. Mnoho firewallů tohoto typu může pracovat s hlavičkami protokolu na vyšší úrovni přenosu (například TCP nebo UDP). Paketové filtry byly jedny z prvních, které se objevily na trhu firewallů a dodnes zůstávají nejběžnějším typem. Tato technologie je implementována v naprosté většině směrovačů a dokonce i v některých přepínačích.

Při analýze hlavičky síťového paketu lze použít následující parametry:

zdrojové a cílové IP adresy;
typ transportního protokolu;
pole záhlaví služeb protokolů sítě a transportní vrstvy;
zdrojový a cílový port.

Poměrně běžné je filtrování fragmentovaných paketů, což ztěžuje detekci některých útoků. Mnoho síťových útoků využívá tuto zranitelnost ve firewallech tím, že vydávají pakety obsahující zakázaná data jako fragmenty jiného, důvěryhodného paketu. Jedním ze způsobů, jak bojovat proti tomuto typu útoku, je nakonfigurovat bránu firewall tak, aby blokovala fragmentované pakety. Některé firewally mohou defragmentovat pakety před jejich předáním do vnitřní sítě, ale to vyžaduje další zdroje od samotného firewallu, zejména paměť. Defragmentaci je třeba používat velmi uvážlivě, jinak se takový firewall sám může snadno stát obětí DoS útoku.

Paketové filtry lze implementovat do následujících komponent síťové infrastruktury:

hraniční směrovače;
OS;

Protože paketové filtry obvykle kontrolují pouze data v záhlaví sítě a transportní vrstvy, mohou to udělat poměrně rychle. Proto jsou paketové filtry zabudované do okrajových směrovačů ideální pro umístění na okraji sítě s nízkou důvěryhodností. Paketové filtry však nemají schopnost analyzovat protokoly na vyšších úrovních modelu sítě OSI. Kromě toho jsou paketové filtry obvykle zranitelné vůči útokům, které využívají falšování síťových adres. Takové útoky jsou obvykle prováděny za účelem obejití řízení přístupu implementovaného firewallem.

Brány relace

Protože tento typ firewallu eliminuje přímou komunikaci mezi dvěma hostiteli, je brána vrstvy relace jediným spojovacím prvkem mezi externí sítí a interními zdroji. To vytváří dojem, že na všechny požadavky z externí sítě odpovídá brána, a je téměř nemožné určit topologii chráněné sítě. Navíc, protože kontakt mezi uzly je navázán pouze v případě, že je platný, brána vrstvy relace zabraňuje možnosti útoků DoS, které jsou vlastní filtrům paketů.

Navzdory účinnosti této technologie má vážnou nevýhodu: stejně jako všechny výše uvedené třídy firewallů nemají brány na úrovni relace schopnost ověřit obsah datového pole, což umožňuje útočníkovi přenášet „trojské koně“ do chráněné sítě.

Zprostředkovatelé aplikační vrstvy

Nevýhodou tohoto typu firewallu je velké množství času a zdrojů vynaložených na analýzu každého paketu. Z tohoto důvodu nejsou obecně vhodné pro aplikace v reálném čase. Další nevýhodou je nemožnost automaticky povolit podporu nových síťových aplikací a protokolů, protože každá z nich vyžaduje vlastního agenta.

Státní inspektoři

Každý z výše uvedených typů firewallů se používá k ochraně podnikových sítí a má řadu výhod. Mnohem efektivnější by však bylo shromáždit všechny tyto výhody do jednoho zařízení a pořídit si firewall, který filtruje provoz ze sítě na aplikační úroveň. Tato myšlenka byla realizována u státních inspektorů a spojovala vysoký výkon a bezpečnost. Tato třída firewallů vám umožňuje ovládat:

každý přenášený paket je založen na tabulce pravidel;
každá relace - na základě tabulky stavu;
Každá aplikace je založena na vyvinutých zprostředkovatelích.

Filtrováním provozu na principu brány na úrovni relace tato třída firewallů nezasahuje do procesu navazování spojení mezi uzly. Proto je výkon stavového inspektoru výrazně vyšší než výkon zprostředkovatele aplikační vrstvy a brány vrstvy relace a je srovnatelný s výkonem paketových filtrů. Další výhodou státních inspektorů je transparentnost pro uživatele: pro klientský software není potřeba žádná další konfigurace. Tyto brány firewall mají skvělé možnosti rozšíření. Když se objeví nová služba nebo nový protokol aplikační vrstvy, stačí přidat několik šablon, které ji podporují. Státní inspektoři jsou však ze své podstaty méně zabezpečeni než zprostředkovatelé na aplikační úrovni.

Termín stavová kontrola, zavedený společností Check Point Software, se stal mezi výrobci síťových zařízení tak populární, že nyní je jako tato technologie klasifikován téměř každý firewall, i když ji plně neimplementuje.

Implementace

Existují dvě verze firewallů – softwarová a hardwarově-softwarová. Softwarová a hardwarová verze má zase dvě varianty – ve formě samostatného modulu v přepínači nebo routeru a ve formě specializovaného zařízení.

V dnešní době se častěji používá softwarové řešení, které na první pohled vypadá atraktivněji. To je způsobeno skutečností, že k jeho použití by se zdálo, že stačí pouze zakoupit software brány firewall a nainstalovat jej na jakýkoli počítač v organizaci. Jak však ukazuje praxe, organizace nemá vždy volný počítač, a dokonce ani ten, který splňuje poměrně vysoké požadavky na systémové prostředky. Po nalezení počítače (nejčastěji zakoupeného) následuje proces instalace a konfigurace operačního systému a také samotného softwaru brány firewall. Je snadné vidět, že používání běžného osobního počítače není tak jednoduché, jak by se mohlo zdát. Proto se nazývají specializované hardwarové a softwarové systémy bezpečnostní zařízení na základě, zpravidla

Firewall

Obrázek znázorňující umístění brány firewall v síti.

Firewall nebo firewall- soubor hardwaru nebo softwaru, který sleduje a filtruje síťové pakety, které jím procházejí, v souladu se stanovenými pravidly.

Hlavním úkolem firewallu je chránit počítačové sítě nebo jednotlivé uzly před neoprávněným přístupem. Firewally se také často nazývají filtry, protože jejich hlavním úkolem je nepropouštět (filtrovat) pakety, které nesplňují kritéria definovaná v konfiguraci.

Některé firewally umožňují i překlad adres – dynamické nahrazování intranetových (šedých) adres nebo portů externími používanými mimo LAN.

Ostatní jména

Firewall, firewall, firewall, firewall- vznikl přepisem anglického výrazu firewall.

Typy firewallů

Firewally jsou rozděleny do různých typů v závislosti na následujících vlastnostech:

zda štít poskytuje spojení mezi jedním uzlem a sítí nebo mezi dvěma či více různými sítěmi;
na úrovni jakých síťových protokolů je řízen datový tok;
zda jsou či nejsou sledovány stavy aktivních spojení.

V závislosti na pokrytí řízených datových toků se firewally dělí na:

tradiční síť(nebo internetová síť) obrazovka- program (nebo integrální součást operačního systému) na bráně (server, který přenáší provoz mezi sítěmi) nebo hardwarové řešení, které řídí příchozí a odchozí datové toky mezi připojenými sítěmi.
osobní firewall- program nainstalovaný na počítači uživatele a určený k ochraně pouze tohoto počítače před neoprávněným přístupem.

Zvrhlým případem je použití tradičního firewallu serverem k omezení přístupu k jeho vlastním zdrojům.

V závislosti na úrovni, na které probíhá řízení přístupu, existuje rozdělení na firewally, které fungují na:

úrovni sítě, kdy dochází k filtrování na základě adres odesílatele a příjemce paketů, čísel portů transportní vrstvy modelu OSI a statických pravidel určených správcem;
úroveň relace(také známé jako stavové) – sledování relací mezi aplikacemi, které neumožňují průchod paketům porušujícím specifikace TCP/IP, často používané při škodlivých operacích – skenování zdrojů, hackování prostřednictvím nesprávných implementací TCP/IP, přerušovaná/pomalá připojení, vkládání dat .
aplikační úroveň, filtrování založené na analýze aplikačních dat přenášených v rámci paketu. Tyto typy obrazovek umožňují blokovat přenos nežádoucích a potenciálně škodlivých informací na základě zásad a nastavení. Některá řešení firewallu na aplikační úrovni jsou proxy servery s některými funkcemi firewallu, které implementují transparentní proxy se specializací na protokol. Díky možnostem proxy serveru a multiprotokolové specializaci je filtrování mnohem flexibilnější než klasické firewally, ale takové aplikace mají všechny nevýhody proxy serverů (například anonymizaci provozu).

V závislosti na monitorování aktivních připojení jsou brány firewall:

bezstavové (jednoduché filtrování), které nesledují aktuální připojení (například TCP), ale filtrují datový tok výhradně na základě statických pravidel;
stavová, stavová kontrola paketů (SPI)(kontextové filtrování), sledování aktuálních spojení a předávání pouze těch paketů, které splňují logiku a algoritmy odpovídajících protokolů a aplikací. Tyto typy firewallů umožňují efektivněji bojovat s různými typy DoS útoků a zranitelností některých síťových protokolů. Kromě toho zajišťují fungování protokolů jako H.323, SIP, FTP atd., které využívají složitá schémata přenosu dat mezi příjemci, která lze jen těžko popsat statickými pravidly a jsou často nekompatibilní se standardními bezstavovými firewally.

Typické vlastnosti

filtrování přístupu ke zjevně nechráněným službám;
zabránění přijímání citlivých informací z chráněné podsítě a také vnášení nepravdivých údajů do chráněné podsítě pomocí zranitelných služeb;
řízení přístupu k síťovým uzlům;
může registrovat všechny pokusy o přístup jak zvenčí, tak z vnitřní sítě, což umožňuje sledovat využití přístupu k internetu jednotlivými uzly sítě;
regulace přístupu k síti;
upozornění na podezřelou aktivitu, pokusy prozkoumat nebo napadnout síťové uzly nebo samotnou obrazovku;

Kvůli bezpečnostním omezením mohou být některé služby vyžadované uživatelem zablokovány, například Telnet, FTP, SMB, NFS a tak dále. Nastavení firewallu proto vyžaduje účast specialisty na zabezpečení sítě. V opačném případě mohou škody způsobené nesprávnou konfigurací převážit výhody.

Je třeba také poznamenat, že použití brány firewall zvyšuje dobu odezvy a snižuje propustnost, protože filtrování není okamžité.

Problémy, které nelze vyřešit firewallem

Firewall sám o sobě není všelékem na všechny síťové hrozby. Zejména on:

nechrání síťové uzly před průnikem přes „pasti“ (angl. zadní vrátka) nebo zranitelnosti softwaru;
neposkytuje ochranu proti mnoha interním hrozbám, především únikům dat;
nechrání před uživateli, kteří si stahují škodlivé programy, včetně virů;

K vyřešení posledních dvou problémů se používají vhodné doplňkové nástroje, zejména antiviry. Obvykle se připojují k firewallu a procházejí odpovídající částí síťového provozu, přičemž fungují jako proxy transparentní pro ostatní síťové uzly, nebo dostávají kopii všech přenášených dat z firewallu. Taková analýza však vyžaduje značné hardwarové zdroje, takže se obvykle provádí nezávisle na každém síťovém uzlu.

Literatura

David W. Chapman, Jr., Andy Fox Cisco Secure PIX Firewally = Cisco® Secure PIX® Firewally. - M.: "Williams", 2003. - S. 384. - ISBN 1-58705-035-8

Poznámky

viz také

Odkazy

Firewally
Dostupný
Volný, uvolnit
Proprietární
Hardware

Škodlivý software
Infekční malware	Počítačový virus (seznam) · Síťový červ (seznam) · Trojský kůň · Boot virus · Chronologie
Metody skrývání	Backdoor · Zombie počítač · Rootkit
Malware pro zisk	Adware · Software narušující soukromí · Ransomware (Trojan.Winlock) · Spyware · Bot · Botnet · Webové hrozby · Keylogger · Form grabber · Scareware · Prodejce porna
Podle operačního systému	Linux Malware · Viry Palm OS · Makrovirus · Mobilní virus
Ochrana	Defenzivní výpočetní technika · Antivirový program · Firewall· Systém detekce narušení · Prevence úniku informací · Antivirová chronologie
Protiopatření	Anti-Spyware Coalition · Počítačový dohled · Honeypot · Provoz: Bot Roast

Nadace Wikimedia. 2010.

Města
Aki

Podívejte se, co je "Firewall" v jiných slovnících:

FIREWALL- (firewall) Uzel v síti, který slouží jako bariéra bránící přenosu provozu z jednoho segmentu do druhého. Používá se jak ke snížení provozu, tak ke zvýšení bezpečnosti sítě. Firewally mohou fungovat jako bariéry...... Slovník obchodních podmínek

Ještě před pár lety stačilo ke spolehlivé ochraně vašeho PC nainstalovat dobrý antivirový program a sledovat pravidelné aktualizace databáze. Vynalézavost útočníků však dává vzniknout stále více novým způsobům způsobování škod. Často je hlavní cestou pronikání do počítače uživatele přes jeho síťová připojení, přesněji řečeno, přes zranitelnost systému s nimi spojená. Antivirový balíček dokáže detekovat pouze škodlivý kód, ale ne každý antivirus je schopen odhalit neoprávněný přístup k datům.

S rozvojem tržních vztahů informace stále více nabývají kvalit zboží, to znamená, že je lze kupovat, prodávat, převádět a bohužel i krást. Proto je problém zajištění informační bezpečnosti každým rokem stále naléhavější. Jedním z možných řešení tohoto problému je použití firewallů.

Moderní technologie zabezpečení sítí jsou jedním z nejdynamičtějších segmentů moderního bezpečnostního trhu. Nástroje síťové bezpečnosti se vyvíjejí tak rychle, že v současnosti obecně přijímaná terminologie v této oblasti ještě není plně zavedena. Tyto prostředky ochrany se objevují v literatuře a médiích jako firewally, firewally a dokonce informační membrány. Nejčastěji používaným termínem je však „firewalls“ (FW).

Obecně platí, že pro zajištění ochrany sítě je mezi dvě sady informačních systémů (IS) instalována clona nebo informační membrána, které jsou prostředkem k omezení přístupu klientů z jedné sady systémů k informacím uloženým na serverech jiné sady. V tomto smyslu lze ME reprezentovat jako sadu filtrů, které analyzují informace, které jimi procházejí, a rozhodují se: předat informaci nebo ji zablokovat. Zároveň jsou zaznamenávány události a generovány alarmy, pokud je detekována hrozba. Typicky jsou stínící systémy vyrobeny asymetricky. Pro obrazovky jsou definovány pojmy „uvnitř“ a „venku“ a úkolem obrazovky je chránit vnitřní síť před potenciálně nepřátelským prostředím. Kromě toho lze ME použít jako podnikovou otevřenou část sítě viditelnou z internetu. Mnoho organizací například používá ME k ukládání dat s otevřeným přístupem, jako jsou informace o produktech a službách, soubory z FTP databází, chybové zprávy a tak dále.

Firewall nebo firewall je soubor hardwaru nebo softwaru, který řídí a filtruje síťové pakety procházející přes něj v souladu se stanovenými pravidly.

Některé firewally umožňují i překlad adres – dynamické nahrazování intranetových (šedých) adres nebo portů externími používanými mimo lokální síť.

Obrázek 4. Obecná struktura firewallu

Ostatní jména

Firewall (německy: Brandmauer) je termín převzatý z němčiny, který je obdobou anglického firewallu v původním významu (stěna, která odděluje sousední budovy, chrání před šířením požáru). Zajímavé je, že v oblasti výpočetní techniky se slovo „Firewall“ používá v němčině.

Firewall – vznikl přepisem anglického výrazu firewall.

Typy firewallů

Firewally jsou rozděleny do různých typů v závislosti na následujících vlastnostech:

zda štít poskytuje spojení mezi jedním uzlem a sítí nebo mezi dvěma či více různými sítěmi;

na úrovni jakých síťových protokolů je řízen datový tok;

zda jsou či nejsou sledovány stavy aktivních spojení.

V závislosti na pokrytí řízených datových toků se firewally dělí na:

tradiční síť (neboli firewall) -- program (nebo nedílná součást operačního systému) na bráně (server, který přenáší provoz mezi sítěmi) nebo hardwarové řešení, které řídí příchozí a odchozí datové toky mezi připojenými sítěmi.

osobní firewall je program nainstalovaný na počítači uživatele a určený k ochraně pouze tohoto počítače před neoprávněným přístupem.

Zvrhlým případem je použití tradičního firewallu serverem k omezení přístupu k jeho vlastním zdrojům.

V závislosti na úrovni, na které probíhá řízení přístupu, existuje rozdělení na firewally fungující na:

úroveň sítě, kdy dochází k filtrování na základě adres odesílatele a příjemce paketů, čísel portů transportní vrstvy modelu OSI a statických pravidel určených správcem;

vrstva relace (také známá jako stavová) – sledování relací mezi aplikacemi, nepovolení paketů, které porušují specifikace TCP/IP, často používané při škodlivých operacích – skenování zdrojů, hackování přes nesprávné implementace TCP/IP, přerušovaná/pomalá připojení, vkládání dat.

aplikační úrovni, filtrování založené na analýze aplikačních dat přenášených v rámci balíčku. Tyto typy obrazovek umožňují blokovat přenos nežádoucích a potenciálně škodlivých informací na základě zásad a nastavení.

Některá řešení firewallu na aplikační úrovni jsou proxy servery s některými funkcemi firewallu, které implementují transparentní proxy se specializací na protokol. Díky možnostem proxy serveru a multiprotokolové specializaci je filtrování mnohem flexibilnější než klasické firewally, ale takové aplikace mají všechny nevýhody proxy serverů (například anonymizaci provozu).

V závislosti na monitorování aktivních připojení jsou brány firewall:

bezstavové (jednoduché filtrování), které nesledují aktuální připojení (například TCP), ale filtrují datový tok výhradně na základě statických pravidel;

stavová, stavová kontrola paketů (SPI) (kontextové filtrování), sledování aktuálních spojení a předávání pouze těch paketů, které splňují logiku a algoritmy odpovídajících protokolů a aplikací. Tyto typy firewallů umožňují efektivněji bojovat s různými typy DoS útoků a zranitelností některých síťových protokolů. Kromě toho zajišťují fungování protokolů jako H.323, SIP, FTP atd., které využívají složitá schémata přenosu dat mezi příjemci, obtížně popsatelná statickými pravidly a často nekompatibilní se standardními bezstavovými firewally.

Je třeba poznamenat, že v současnosti jsou spolu s jednoúrovňovými firewally stále oblíbenější komplexní firewally pokrývající úrovně od sítě po aplikaci, protože takové produkty kombinují nejlepší vlastnosti jednoúrovňových firewallů různých typů. Obrázek 1 ukazuje strukturu stínění informací mezi dvěma systémy při použití referenčního modelu ISO/OSI.

Obrázek 5. Rámec informačního štítu s použitím referenčního modelu

Moderní požadavky na firewally

Hlavním požadavkem je zajištění bezpečnosti vnitřní (chráněné) sítě a plná kontrola nad externími připojeními a komunikačními relacemi.

Bezpečnostní systém musí mít výkonné a flexibilní ovládací prvky, aby bylo možné snadno a úplně implementovat bezpečnostní politiku organizace.

Firewall by měl fungovat bez povšimnutí uživatelů místní sítě a neměl by jim ztěžovat právní úkony.

Firewallový procesor musí být rychlý, pracovat dostatečně efektivně a umět obsloužit veškerý příchozí i odchozí provoz ve špičce, aby jej nemohlo zablokovat velké množství hovorů a narušit jeho provoz.

Samotný bezpečnostní systém musí být spolehlivě chráněn před jakýmikoli neoprávněnými vlivy, protože je klíčem k důvěrným informacím v organizaci.

Systém správy obrazovky musí být schopen centrálně vynutit jednotnou bezpečnostní politiku pro vzdálené pobočky.

Vlastnosti moderních firewallů

Jak je patrné z tabulky 3, firewall je nejběžnějším prostředkem pro posílení tradičních prostředků ochrany před neoprávněným přístupem a používá se k zajištění ochrany dat při organizaci práce v síti.

Konkrétní implementace ME do značné míry závisí na použitých výpočetních platformách, ale přesto všechny systémy této třídy používají dva mechanismy, z nichž jeden zajišťuje blokování síťového provozu a druhý naopak umožňuje výměnu dat.

Některé verze ME se zároveň zaměřují na blokování nežádoucího provozu, zatímco jiné se zaměřují na regulaci povolené výměny mezi stroji.

Tabulka 3 – Vlastnosti bran firewall

Typ brány firewall	Princip činnosti	Výhody	Nedostatky
Stínící směrovače (brány firewall pro filtrování paketů)	Filtrování paketů se provádí v souladu s IP hlavičkou paketu podle kritéria: co není výslovně zakázáno, je povoleno. Analyzované informace jsou: - adresa odesílatele; - adresa příjemce; - informace o aplikaci nebo protokolu; - číslo zdrojového portu; - číslo portu příjemce	Nízké náklady Minimální dopad na výkon sítě Snadná konfigurace a instalace Průhledný software	Zranitelnost ochranného mechanismu vůči různým typům síťových útoků, jako je spoofing zdrojových adres paketů, neoprávněná úprava obsahu paketů Nedostatek podpory protokolů událostí a auditních nástrojů v řadě produktů
Screening gateway (ESG)	Výměna informací probíhá prostřednictvím bašty instalované mezi vnitřní a vnější sítí, která rozhoduje o možnosti směrování provozu. Existují dva typy ES: úroveň relace a aplikace	· Nedostatek end-to-end průchodu paketů v případě selhání · Vylepšené, ve srovnání s EM, bezpečnostní mechanismy, umožňující použití dalších autentizačních nástrojů, jak softwarových, tak hardwarových · Použití procedury překladu adres, která umožňuje skrytí adres hostitelů v uzavřené síti	· Použití pouze výkonných bastionových hostitelů kvůli velkému objemu výpočtů · Nedostatek „transparentnosti“ kvůli skutečnosti, že ES zavádí zpoždění v procesu přenosu a vyžaduje autentizační procedury od uživatele
stínící podsítě (ES)	Mezi vnitřní a veřejnou sítí je vytvořena izolovaná podsíť. Zprávy z otevřené sítě zpracovává aplikační brána a končí v elektronickém podpisu. Po úspěšném absolvování kontroly u elektronického podpisu vstupují do uzavřené sítě. Stejným způsobem jsou prostřednictvím elektronického podpisu zpracovávány i požadavky z uzavřené sítě. Filtrování je založeno na principu: co není dovoleno, je zakázáno	Možnost skrytí adresy vnitřní sítě · Zvýšená spolehlivost ochrany · Možnost vytvoření velkého provozu mezi vnitřními a otevřenými sítěmi při použití více bastionových hostitelů v elektronické síti · "transparentnost" práce pro libovolné síťové služby a libovolnou strukturu vnitřní sítě síť	Použití pouze výkonných bastionových hostitelů kvůli velkému objemu výpočtů Údržbu (instalaci, konfiguraci) mohou provádět pouze specialisté

Typické možnosti povolení brány firewall

Obrázek 6. Povolení ME pomocí schématu dvouportové brány

Obrázek 7. Povolení ME přímo na chráněném serveru

Obrázek 8. Povolení ME v systému Internet Intranet

Srovnávací charakteristiky moderních firewallů

Tabulka 4 - Srovnávací charakteristiky moderních firewallů

		Plošina	Společnost	Zvláštnosti
Solstice Firewall	Komplex	SunOS, UNIX, Solaris	Sun Microsystems	Implementuje bezpečnostní politiku: všechna data, která nemají výslovné oprávnění, jsou vyřazena. Během provozu paketové filtry na branách a serverech generují záznamy o všech událostech a spouštějí mechanismy alarmů, které vyžadují odezvu správce.
			Milkyway Networks Corporation	Nepoužívá mechanismus filtrování paketů. Princip fungování: co není výslovně povoleno, je zakázáno. Registruje všechny akce serveru a varuje před možným porušením. Lze použít jako obousměrnou bránu.
Server brány firewall BorderWare	Brána pro screening na aplikační úrovni	UNIX, Windows, DOS	Secure Computing Corporation	Bezpečnostní software, který zajišťuje provoz pod kontrolou OS (vlastní vývoj). Umožňuje zaznamenávat adresy, časy, pokusy, použitý protokol.
ALF (filtr aplikační vrstvy)	Brána pro screening na aplikační úrovni			Dokáže filtrovat IP pakety podle adres, rozsahů portů, protokolů a rozhraní. Došlý balíček lze zmeškat, odstranit nebo poslat na jeho adresu.
Služba ANS InterLock	Brána pro screening na aplikační úrovni		Systémy ANS CO + RE	Používá zprostředkující programy pro služby Telnet, FTR, HTTR. Podporuje šifrování spojení typu point-to-point a jako prostředek ověřování lze použít hardware.
	Integrovaná obrazovka	SunOS, BSDI na Intel, IRIX na INDY a Challenge		Pro analýzu používá čas, datum, adresu, port atd. Zahrnuje middleware aplikační vrstvy pro Telnet, FTR, SMTP, X11, HTTP, Gopher a další služby Podporuje většinu hardwarových autentizačních balíčků.
	Brána pro screening na aplikační úrovni	SunOS, BSDI, Solaris, HP-UX, AIX		Uzavřená síť je zvenčí vnímána jako jediný hostitel. Má zprostředkující programy pro služby: e-mail, protokol FTR atd. Registruje všechny akce serveru a varuje před porušením.
	Brána pro screening na aplikační úrovni		Sterling Software	Jedná se o softwarový produkt, který chrání informace před neoprávněným přístupem při propojování uzavřených a otevřených sítí. Umožňuje zaznamenávat všechny akce serveru a varovat před možným porušením.
CyberGuard Firewall	Obousměrná end-to-end brána (host-to-bastion jako filtr, brána na úrovni aplikace nebo end-to-end obrazovka)	Platforma RISC, OS UNIX	Harris Computer Systems Corporation	Byla použita komplexní řešení, včetně bezpečnostních mechanismů OS UNIX a integrovaných síťových nástrojů určených pro RISC počítače. Pro analýzu se používá zdrojová adresa, cílová adresa atd.
Digitální brána firewall pro UNIX	Integrovaná obrazovka		Digital Equipment Corporation	Předinstalované na systémech Digital Alpha a poskytující funkce stínícího filtru a aplikační brány.
Eagle Enterprise	Brána pro screening na aplikační úrovni	Implementace technologie Virtual Private Networking		Zahrnuje zprostředkující programy na aplikační úrovni pro služby FTR, HTTP a Telnet. Registruje všechny akce serveru a varuje před porušením.
Firewall IRX router	Stínící router			Umožňuje analyzovat síť za účelem optimalizace síťového provozu, bezpečného propojení místní sítě se vzdálenými sítěmi založenými na otevřených sítích.
	Komplexní firewall	Intel x86, Sun Sparc atd.		Poskytuje ochranu před útoky hackerů, jako je podvržení adres (padělání adres paketů) a představuje kombinaci nástrojů ochrany na úrovni sítě a aplikací.
Firewall-1/VPN-1	Komplexní firewall	Intel x86, Sun Sparc atd.	Technologie Check Point Software	Představuje otevřené aplikační rozhraní OPSEC API. Zajišťuje: - identifikaci počítačových virů; - skenování URL; - blokování Javy a ActiveX; - Podpora protokolu SMTP; - filtrování HTTP; - Zpracování protokolu FTP
TIS Firewall Toolkit	Sada programů pro vytváření a správu firewallových systémů		Důvěryhodné informační systémy	Všechny moduly jsou distribuovány ve zdrojovém kódu a jsou napsány v jazyce C. Sada je určena pro zkušené programátory.
Gauntlet Internet Firewall	Brána pro screening na aplikační úrovni	UNIX, zabezpečené BSD	Důvěryhodné informační systémy	Podporuje služby: e-mail, webová služba, terminálové služby atd. Vlastnosti: šifrování na úrovni sítě, ochrana proti útokům hackerů, jako je podvržení adresy, ochrana proti pokusům o změnu směrování.
	Víceprotokolový firewall	Různé hardwarové platformy	Software a technologie Network-1	Řízení je implementováno na úrovni rámce, paketu, kanálu a aplikace (pro každý protokol). Umožňuje pracovat s více než 390 protokoly, umožňuje popsat případné podmínky filtrování pro následnou práci.
Zastava-Jet	Komplexní firewall	SPARC, Solaris, UNIX		Implementuje bezpečnostní politiku: všechna data, která nemají výslovné oprávnění, jsou vyřazena.

Firewall sám o sobě není všelékem na všechny síťové hrozby. Zejména on:

nechrání síťové uzly před pronikáním zadními vrátky nebo zranitelností softwaru;

neposkytuje ochranu proti mnoha interním hrozbám, především únikům dat;

nechrání před uživateli, kteří si stahují škodlivé programy, včetně virů;

Firewall nebo firewall(v němčině) brandmauer, v angličtině. , v Rusku požární hranice) je systém nebo kombinace systémů, která umožňuje rozdělit síť na dvě nebo více částí a implementovat soubor pravidel, která určují podmínky pro průchod paketů z jedné části do druhé (viz obr. 1). Nejčastěji je tato hranice vytyčena mezi lokální síť podniky a INTERNET, i když to může být také provedeno v rámci místní sítě podniku. Firewall tak umožňuje průchod veškerého provozu. Pro každý paket, který projde, firewall rozhodne, zda jej povolí, nebo zahodí. Aby firewall mohl činit tato rozhodnutí, potřebuje definovat sadu pravidel. Jak jsou tato pravidla popsána a jaké parametry se používají k jejich popisu, probereme trochu později.
Obr. 1

Firewally zpravidla fungují na některé unixové platformě - nejčastěji BSDI, SunOS, AIX, IRIX atd., méně často - DOS, VMS, WNT, Windows NT. Hardwarové platformy zahrnují procesory INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC a rodinu RISC procesorů R4400-R5000. Kromě Ethernetu podporuje mnoho firewallů FDDI, Token Ring, 100Base-T, 100VG-AnyLan a různá sériová zařízení. Požadavky na RAM a místo na pevném disku závisí na počtu počítačů v chráněném segmentu sítě.

Obvykle se provádějí změny v operačním systému, na kterém je brána firewall spuštěna, aby byla samotná brána firewall bezpečnější. Tyto změny ovlivňují jak jádro operačního systému, tak odpovídající konfigurační soubory. Na samotném firewallu nesmíte mít uživatelské účty (a tedy potenciální díry), pouze administrátorský účet. Některé brány firewall fungují pouze v režimu pro jednoho uživatele. Mnoho firewallů má systém pro kontrolu integrity programových kódů. V tomto případě jsou kontrolní součty programových kódů uloženy na bezpečném místě a jsou porovnávány na začátku programu, aby se zabránilo záměně softwaru.

Všechny firewally lze rozdělit do tří typů:

Všechny typy se mohou vyskytovat současně ve stejném firewallu.

Dávkové filtry

Firewally s paketovým filtrem rozhodují o povolení nebo zrušení paketu podle IP adres, příznaků nebo čísel portů TCP v hlavičce paketu. IP adresa a číslo portu jsou informace o síti a transportní vrstvě, ale paketové filtry také používají informace aplikační vrstvy, protože Všechny standardní služby v TCP/IP jsou spojeny s určitým číslem portu.

K popisu pravidel pro předávání paketů slouží tabulky jako:

Pole „akce“ lze přeskočit nebo zahodit.
Typ paketu - TCP, UDP nebo ICMP.
Flags - příznaky z hlavičky IP paketu.
Pole "zdrojový port" a "cílový port" mají význam pouze pro pakety TCP a UDP.

Servery na aplikační úrovni

Firewally se servery aplikační vrstvy používají specifické servery služby(proxy server) - TELNET, FTP atd., spuštěné na firewallu a procházející veškerým provozem souvisejícím s touto službou. Tím se vytvoří dvě spojení mezi klientem a serverem: od klienta k bráně firewall a od brány firewall k cíli.

Úplná sada podporovaných serverů se liší pro každý konkrétní firewall, ale nejběžnější servery pro následující služby jsou:

terminály (Telnet, Rlogin);
přenos souborů (Ftp);
e-mail (SMTP, POP3);
WWW (HTTP);
Gopher;
Wais;
X Window System (X11);
síťový tisk (LP);
vzdálené provádění úlohy (Rsh);
Prst;
Zprávy ze sítě Usenet (NNTP);
Kdo je;
RealAudio.

Použití serverů na aplikační úrovni umožňuje vyřešit důležitý problém – skrýt strukturu místní sítě, včetně informací v hlavičkách poštovních paketů nebo služby doménových jmen (DNS), před externími uživateli. Další pozitivní vlastností je schopnost autentizace na uživatelské úrovni (nezapomeňte, že autentizace je proces potvrzení identity něčeho; v tomto případě je to proces potvrzení, zda je uživatel skutečně tím, za koho se vydává).

Název služby,
uživatelské jméno,
přijatelné časové rozmezí pro používání služby,
počítače, ze kterých můžete službu používat,
autentizační schémata.

Servery na aplikační úrovni vám umožňují poskytovat nejvyšší úroveň ochrany, protože interakce s vnějším světem je realizována prostřednictvím malého počtu aplikačních programů, které plně řídí veškerý příchozí a odchozí provoz.

Servery na úrovni připojení

Server na úrovni připojení je překladač připojení TCP. Uživatel se připojí ke konkrétnímu portu na bráně firewall, který se poté připojí k cíli na druhé straně brány firewall. Během relace tento překladač kopíruje bajty v obou směrech a funguje jako drát.

Cíl je zpravidla specifikován předem, přičemž zdrojů může být mnoho (one-to-many spojení). Pomocí různých portů lze vytvořit různé konfigurace.

Tento typ serveru umožňuje vytvořit překladač pro jakoukoli uživatelsky definovanou službu založenou na TCP, řídit přístup k této službě a shromažďovat statistiky o jejím používání.

Srovnávací charakteristiky paketových filtrů a serverů na aplikační úrovni

Níže jsou uvedeny hlavní výhody a nevýhody paketových filtrů a serverů na aplikační úrovni vůči sobě navzájem.

relativně nízké náklady;
flexibilita při definování pravidel filtrování;
mírné zpoždění v průchodu paketů.

místní síť je viditelná (směrovatelná) z INTERNETU;
pravidla filtrování paketů se obtížně popisují a vyžadují velmi dobrou znalost technologií TCP a UDP;
pokud firewall nefunguje správně, všechny počítače za ním se stanou zcela nechráněnými nebo nepřístupnými;
IP autentizaci lze oklamat pomocí IP spoofingu (útočící systém se vydává za jiného pomocí své IP adresy);
neexistuje žádná autentizace na úrovni uživatele.

místní síť je neviditelná z INTERNETU;
pokud firewall selže, pakety přestanou procházet firewallem, čímž nevytvářejí žádnou hrozbu pro počítače, které chrání;
ochrana na úrovni aplikace umožňuje velké množství dodatečných kontrol, čímž se snižuje pravděpodobnost hackování pomocí děr v softwaru;
autentizaci na uživatelské úrovni lze implementovat systém okamžitého varování před pokusem o hackování.

vyšší náklady než u paketových filtrů;
nemožnost používat protokoly RPC a UDP;
výkon je nižší než u paketových filtrů.

Virtuální sítě

Řada firewallů také umožňuje organizovat virtuální podnikové sítě ( Soukromá virtuální síť), tj. spojit několik lokálních sítí zahrnutých v INTERNETU do jedné virtuální sítě. VPN umožňují organizovat připojení k místní síti, které je pro uživatele transparentní, při zachování utajení a integrity přenášených informací pomocí šifrování. Při přenosu přes INTERNET jsou navíc šifrována nejen uživatelská data, ale také síťové informace – síťové adresy, čísla portů atd.

Schémata připojení firewallu

Pro připojení firewallů se používají různá schémata. Firewall lze použít jako externí router s použitím podporovaných typů zařízení pro připojení k externí síti (viz obrázek 1). Někdy se používá schéma znázorněné na obr. 2, ale mělo by být použito pouze jako poslední možnost, protože je vyžadována velmi pečlivá konfigurace směrovačů a malé chyby mohou způsobit vážné díry v ochraně.

Obr.2

Nejčastěji je připojení realizováno přes externí router, který podporuje dvě ethernetová rozhraní (tzv. dual-homed firewall) (dvě síťové karty v jednom počítači) (viz obr. 3).

Obr.3

V tomto případě mezi externím routerem a firewallem existuje pouze jedna cesta, po které proudí veškerý provoz. Router je obvykle nakonfigurován tak, že firewall je jediným strojem viditelným zvenčí. Toto schéma je nejvýhodnější z hlediska bezpečnosti a spolehlivosti ochrany.

Další schéma je na obr. 4.

Obr.4

V tomto případě firewall chrání pouze jednu podsíť z několika opouštějících router. Servery, které musí být viditelné zvenčí (WWW, FTP atd.), se často nacházejí v oblasti nechráněné firewallem. Většina firewallů umožňuje hostovat tyto servery na samotném firewallu – řešení, které zdaleka není nejlepší z hlediska zatížení stroje a zabezpečení samotného firewallu.

Existují řešení (viz obr. 5), která umožňují organizovat třetí síť pro servery, které by měly být viditelné zvenčí; To vám umožňuje řídit přístup k nim při zachování požadované úrovně ochrany strojů v hlavní síti.

Obr.5

Velká pozornost je přitom věnována tomu, aby uživatelé vnitřní sítě nemohli náhodně nebo úmyslně otevřít díru do lokální sítě prostřednictvím těchto serverů. Pro zvýšení úrovně zabezpečení je možné v jedné síti používat více firewallů za sebou.

Správa

Snadná správa je jedním z klíčových aspektů při vytváření efektivního a spolehlivého bezpečnostního systému. Chyby v definování přístupových pravidel mohou vytvořit díru, přes kterou lze systém nabourat. Většina bran firewall proto implementuje obslužné programy, které usnadňují zadávání, odstraňování a prohlížení sady pravidel. Přítomnost těchto nástrojů také umožňuje kontrolovat syntaktické nebo logické chyby při zadávání nebo úpravách pravidel. Tyto nástroje vám zpravidla umožňují prohlížet informace seskupené podle určitých kritérií, například vše, co se týká konkrétního uživatele nebo služby.

Sběr statistik a systémy varování před útoky

Další důležitou součástí firewallu je systém pro sběr statistik a varování před útokem. Informace o všech událostech - výpadky, příchozí a odchozí spojení, počet přenesených bajtů, použité služby, doba připojení atd. - hromadí se ve statistických souborech. Mnoho firewallů umožňuje flexibilně definovat události, které mají být protokolovány, popisovat akce firewallu při útocích nebo pokusech o neoprávněný přístup – může to být zpráva do konzole, e-mail správci systému atd. Okamžité zobrazení zprávy o pokusu o hackování na konzole nebo obrazovce správce může pomoci, pokud je pokus úspěšný a útočník již pronikl do systému. Mnoho bran firewall obsahuje generátory sestav, které se používají ke zpracování statistik. Umožňují shromažďovat statistiky o využití zdrojů konkrétními uživateli, o využívání služeb, poruchách, zdrojích, ze kterých byly provedeny pokusy o neoprávněný přístup atd.

Autentizace

Autentizace je jednou z nejdůležitějších součástí firewallů. Než je uživateli uděleno právo používat konkrétní službu, je nutné se ujistit, že je skutečně tím, za koho se vydává.

Zpravidla se používá princip zvaný „co ví“ – tzn. uživatel zná nějaké tajné slovo, které odešle na autentizační server jako odpověď na svůj požadavek.

Jedním ze schématu ověřování je použití standardních unixových hesel. Toto schéma je z bezpečnostního hlediska nejzranitelnější – heslo může zachytit a použít jiná osoba.

Třídy zabezpečení brány firewall

S ohledem na zpracování důvěrných informací se automatizované systémy (AS) dělí do tří skupin:

Víceuživatelské systémy, které zpracovávají informace různé úrovně důvěrnosti.
Víceuživatelské systémy, ve kterých mají všichni uživatelé rovný přístup ke všem zpracovávaným informacím umístěným na médiích s různou úrovní důvěrnosti.
Jednouživatelské systémy, ve kterých má uživatel plný přístup ke všem zpracovávaným informacím umístěným na médiích různého stupně utajení.

V první skupině je 5 tříd zabezpečení: 1A, 1B, 1B, 1G, 1D, ve druhé a třetí skupině jsou 2 třídy zabezpečení: 2A, 2B a 3A, 3B, resp. Třída A odpovídá maximálnímu, třída D minimálnímu zabezpečení reproduktoru.

Firewally umožňují udržovat bezpečnost objektů ve vnitřní oblasti ignorováním neoprávněných požadavků z vnější oblasti, tzn. vykonat stínění. V důsledku toho je snížena zranitelnost vnitřních objektů, protože zpočátku musí narušitel třetí strany překonat firewall, kde jsou ochranné mechanismy nakonfigurovány obzvláště pečlivě a pevně. Stínicí systém je navíc na rozdíl od univerzálního řešen jednodušším a tedy bezpečnějším způsobem. Obsahuje pouze ty komponenty, které jsou nezbytné k provádění stínicích funkcí. Stínění také umožňuje řídit informační toky směřující do vnější oblasti, což pomáhá zachovat důvěrnost ve vnitřní oblasti. Kromě funkcí řízení přístupu zaznamenávají brány firewall toky informací.

Podle úrovně zabezpečení se firewally dělí do 5 tříd. Nejnižší bezpečnostní třída je pátá. Používá se pro bezpečnou interakci reproduktorů třídy 1D s vnějším prostředím, čtvrtý - pro 1G, třetí - pro 1B, druhý - pro 1B, nejvyšší - první - pro 1A.

Pro reproduktory třídy 2B a 3B se používají firewally alespoň třídy pět.

Pro reproduktory třídy 2A, 3A se v závislosti na důležitosti zpracovávaných informací používají firewally následujících tříd:

při zpracování informací klasifikovaných jako „tajné“ - ne nižší než třetí třída;
při zpracování informací klasifikovaných jako „přísně tajné“ - ne nižší než druhá třída;
při zpracování informací klasifikovaných jako „zvláštní důležitost“ - pouze první třídy.

Bezpečnostní indikátory shrnuje tabulka 1.

Označení:

stůl 1

Bezpečnostní indikátory	Bezpečnostní třídy
Bezpečnostní indikátory	5	4	3	2	1
Řízení přístupu (filtrování dat a překlad adres)	+	+	+	+	=
Identifikace a autentizace	-	-	+	=	+
Registrace	-	+	+	+	=
Administrace: Identifikace a autentizace	+	=	+	+	+
Administrace: registrace	+	+	+	=	=
Administrace: snadné použití	-	-	+	=	+
Integrita	+	=	+	+	+
Zotavení	+	=	=	+	=
Testování	+	+	+	+	+
Příručka správce zabezpečení	+	=	=	=	=
Zkušební dokumentace	+	+	+	+	+
Projektová (projektová) dokumentace	+	=	+	=	+

Průvodce kupujícím brány firewall

Výzkumné oddělení společnosti TruSecure, laboratoř ICSA, vyvinulo příručku pro zákazníky brány firewall. Jedna část tohoto dokumentu obsahuje následující formulář hodnocení kupujícího:

Kontaktní údaje - adresa a odpovědné osoby.
Obchodní pracovní prostředí:
- počet a umístění jednotlivých institucí (budov) podniku;
- označení jednotek a informací omezeného charakteru a informací, pro které je důležitá dostupnost dat pro interakci jednotek, jejich umístění;
- Označení externích partnerů, se kterými je nutné zorganizovat interakci;
- popis veřejně dostupných služeb;
- požadavky na organizaci vzdáleného přístupu do vnitřního informačního prostoru podniku;
- elektronické služby využívající veřejné komunikační kanály (například elektronický obchod).
Plánované změny v podnikatelském prostředí dle uvedených parametrů.
Informační prostředí:
- počet uživatelských pracovních stanic udávající hardware, systém a aplikační software;
- struktura sítě udávající topologii, médium pro přenos dat, použitá zařízení a protokoly;
- struktura vzdáleného přístupu označující použitá zařízení a metody ověřování;
- počet serverů udávající hardware, systém a aplikační software;
- stávající systém podpory informačních systémů ze strany dodavatelů s jejich uvedením a hranicemi působnosti;
- Antivirové systémy a jiné softwarové kontrolní systémy;
- Technologie správy sítí a informačních systémů;
- autentizační technologie - seznam a popis.
Plánované změny v informačním prostředí dle uvedených parametrů.
Připojení k internetu:
- typ připojení k internetu;
- existující firewally (pokud existují);
- Prostředky komunikace s vnějším prostředím používané vnitřními systémy;
- interní systémy a služby přístupné zvenčí;
- servery pro elektronický obchod a jiné transakční systémy;
- údaj o existenci schválené bezpečnostní politiky pro přístup a používání internetu.
Plánované aktivity (pro které je firewall zakoupen):
- změny v metodách přístupu k internetu a podnikových bezpečnostních politikách;
- vznik nových protokolů, které musí být podporovány samostatně pro interní uživatele, uživatele se vzdáleným přístupem nebo speciální uživatele přístupné veřejnosti.
Požadovaná funkce brány firewall:
- o kontrole přístupu;
- vydávané zprávy;
- autentizace;
- správa konfigurace;
- kontrolovat obsah projíždějícího provozu;
- deníky;
- rozpoznání útoku;
- možnosti sítě (počet rozhraní, způsob přístupu);
- vzdálená správa;
- systémové požadavky (na klíč, integrace s jinými produkty atd.).
Jiné podmínky:
- odhadované náklady na firewall (kolik může podnik utratit);
- očekávané datum spuštění produktu;
- požadavky na to, aby měl výrobek certifikáty;
- požadavky na navrhovaného správce produktu a službu podpory;
- zvláštní smluvní podmínky (pokud existují);
- další komentáře, které nejsou součástí tohoto formuláře.

Předpokládá se, že podnik vyplněním tohoto formuláře a jeho odesláním výrobci umožní výrobci vytvořit nabídku nejvyšší kvality pro kupujícího. Vyplnění tohoto formuláře, aniž byste jej komukoli zasílali, umožní organizaci lépe pochopit, jaké řešení potřebuje.