|
|
  |
Главная страница / Архитектура отрасли Firewall (proxy, маршрутизаторы)При соединении корпоративной сети с Интернетом или другой сетью фактор обеспечения безопасности доступа в сеть компании имеет критическое значение. Наиболее эффективный способ защиты предполагает размещение системы Firewall между локальной сетью и Интернетом. Данная система обеспечивает проверку всех соединений между сетью организации и Интернетом на соответствие политике безопасности данной организации. Для эффективного обеспечения безопасности сети Firewall обязан отслеживать и управлять всем потоком, проходящим через него. Чтобы принимать управляющие решения для TCP/IP-сервисов (передавать, блокировать или отмечать в журнале попытки установления соединений), Firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и других приложений. Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений, – главный фактор в принятии управляющего решения при попытке установить новое соединение. Для принятия решения могут учитываться состояние и соединения (полученного из прошлого потока данных), и приложения (полученного из других приложений). Итак, управляющие решения требуют, чтобы Firewall имел доступ, возможность анализа и использования следующих данных: • информация о соединениях – информация от всех семи уровней в пакете; • история соединений – информация от предыдущих соединений; • состояние уровня приложения – информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через Firewall только для авторизованных видов сервиса; • манипулирование информацией – вычисление разнообразных выражений, основанных на всех перечисленных факторах. Попробуем описать границы, в которых доступные технологии Firewall обеспечивают эти четыре основных свойства. Сравнение альтернатив Кроме Firewall есть ряд аппаратных и программных решений, широко используемых для обеспечения безопасности. Наиболее очевидный вариант – маршрутизаторы. Маршрутизаторы действуют на сетевом уровне, их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Сравним: • информация о соединении – маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов; • наследуемая информация о соединении и приложении – маршрутизаторы не поддерживают хранение информации об истории соединения или приложения; • действия над информацией – маршрутизаторы имеют очень ограниченные возможности по действиям над информацией. К тому же маршрутизаторы трудно конфигурировать, достаточно сложно следить за их состоянием и управлять ими. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения. е преимущества – поддержка полной информации о приложениях, обеспечение частичной информации об истории соединений и о текущем соединении, полной информации – о приложении. Кроме того, они способны обрабатывать информацию и совершать действия над ней. Однако имеются очевидные трудности в использовании Proxy на уровне приложения в качестве Firewall, в частности: • ограничения на соединения – каждый сервис требует наличия собственного Proxy, так что количество доступных сервисов и их масштабируемость ограничены; • ограничения технологии – application gateways не могут обеспечить Proxy для сервисов общих семейств протоколов; • производительность – реализация на уровне приложения имеет значительные потери в производительности. Кроме того, Proxy беззащитны к ошибкам в приложениях и OS, неверной информации в нижних уровнях протоколов, традиционные Proxy очень редко являются прозрачными. Исторически Proxy уровня приложений удовлетворяли общим требованиям их применения и Сети. Однако по мере превращения Интернета в постоянно меняющуюся динамичную среду, периодически предлагающую новые протоколы, сервисы и приложения, Proxy уже не способны обработать различные типы взаимодействий в Сети или отвечать возросшим требованиям бизнеса, в частности, к пропускной способности и безопасности сетей. В отличие от описанных альтернатив, Firewall вводит передовую архитектуру, названную технологией проверки с учетом состояния протокола, которая реализует все необходимые возможности Firewall на сетевом уровне (см. таблицу). Предлагая проверку с учетом состояния протокола, Firewall имеет доступ к данным, полученным от всех уровней коммуникаций, и анализирует их. Эти данные о «состоянии» и «контексте» запоминаются и обновляются динамически, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соединений. Данные, собранные из состояний соединений и приложений, конфигурации сети и правил безопасности, используются для генерации соответствующего действия и либо принятия, либо отвержения, либо шифрации канала связи. Любой трафик, который намеренно не разрешен правилами безопасности, блокируется по умолчанию, и одновременно в реальном времени генерируются сигналы оповещения, обеспечивая системного администратора полной информацией о состоянии сети. Политика безопасности Firewall выражается в виде базы правил и свойств. База правил – это упорядоченный набор правил, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле (Accept, Encrypt, Reject, Drop). Если соединение не соответствует ни одному из правил, оно блокируется в соответствии с принципом «Что специально не разрешено, всегда запрещено». Firewall позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, назначения и сервис проверян быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены исходя из их содержания. К примеру, почта для (или от) определенных адресов может быть запрещена или перенаправлена, доступ может быть запрещен к заданным URL’s и включена антивирусная проверка над передаваемыми файлами. Антивирусная проверка является составной частью такого свойства Firewall, как проверка содержимого потоков данных, и значительно снижает уязвимость защищенных машин. Проверка всех передаваемых файлов производится с использованием встроенного антивирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными) полностью интегрирована в политику безопасности (базу правил). В продуктах известного поставщика решений на базе Firewall компании Check Point модуль проверки динамически загружается в ядро операционной системы, между уровнем Data Link и Network (уровни 2 и 3). Когда приходит первый пакет нового соединения, модуль проверки тестирует базу правил для определения, должно ли быть разрешено это соединение. Как только соединение установлено, Firewall добавляет его во внутреннюю таблицу соединений. Из соображений эффективности последующие пакеты соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным, только если соединение имеется в таблице соединений. Firewall выступает сегодня как наиболее действенное средство управления безопасностью. При многократно возросшем трафике данных корпоративных клиентов очень важно, чтобы никакой «сорный» трафик не проник в сеть компании под видом корпоративных данных. Безусловно, нельзя уповать только на Firewall, но и строить сетевое решение без межсетевых экранов крайне опасно. Можно без преувеличения сказать, что Firewall сегодня – необходимое средство управления безопасностью. Главная страница / Архитектура отрасли |