Межсетевой экран

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену адресов назначения редиректы или источника мапинг, biNAT, NAT.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́л, файерво́л — образованo транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
• отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

• сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
• уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

  Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

См. также

• Маршрутизатор
• Персональный файрвол
• Великий китайский файрвол

Пакетные фильтры/сетевые экраны

• APF Firewall
• CHX-I
• IPFilter
• ipfw2
• iptables
• Kerio WinRoute Firewall
• Microsoft Internet Security and Acceleration Server
• netfilter
• NetworkShield Firewall
• pf

Ссылки

• Лекция «Межсетевые экраны»
• «Межсетевой экран» в UNIX

Брандмауэр приборы

• .vantronix
• Checkpoint
• Cisco
• Juniper
• Sonicwall
• WatchGuard

Литература

• Дэвид В. Чепмен, мл., Энди Фокс Брандмауэры Cisco Secure PIX = Cisco® Secure PIX® Firewalls. — М.: «Вильямс», 2003. — С. 384. — ISBN 1-58705-035-8

ar:جدار ناري bg:Защитна стена bn:ফায়ারওয়াল (কম্পিউটার নেটওয়ার্কিং) bs:Hardverski firewall ca:Tallafocs cs:Firewall da:Firewall de:Firewall el:Firewall en:Firewall eo:Fajroŝirmilo es:Cortafuegos (informática) et:Tulemüür (informaatika) eu:Suebaki (informatika) fa:فایروال fi:Palomuuri fr:Pare-feu gl:Devasa he:חומת אש hr:Sigurnosna stijena hsb:Firewall hu:Tűzfal (számítástechnika) id:Firewall it:Firewall ja:ファイアーウォール kk:Желіаралық қалқан ko:방화벽 (네트워킹) lb:Firewall mk:Огнен ѕид ml:ഫയര്‍വാള്‍ ms:Tembok api nl:Firewall no:Brannmur pl:Zapora sieciowa pt:Firewall ro:Firewall sh:Sigurnosna stena simple:Firewall (networking) sk:Firewall sl:Požarni zid sr:Заштитни зид sv:Brandvägg th:ไฟร์วอลล์ tr:Ateş duvarı uk:Фаєрвол vi:Tường lửa (mạng máy tính) yi:Firewall zh:防火墙 (网络) zh-min-nan:Hoé-piah