Особенности использования брандмауэра |
В основном Internet-брандмауэры сначала исследуют (работают на 3 и 4 уровнях), а потом разрешают или блокируют входящие и исходящие сетевые трафики. Списки управления доступом (ACL), составленные администратором, определяют порты и IP-адреса трафика (независимо от того, блокируемый он или разрешенный). Особое внимание необходимо обратить на сетевые порты, которые используются в механизмах связи между сетевыми приложениями через брандмауэры. Возьмем, к примеру, клиентский браузер, который устанавливает связь с Web-сервером с другой стороны брандмауэра (как элементарное обращение к Web-серверу в Internet). Для инициирования исходящего соединения необходимо запустить браузер и нацелить его на Web-узел, отправить последовательность IP-пакетов (состоящих из заголовка и иных атрибутов пакета) с полезной информацией о маршруте. Они чаще всего состоят из IP-адреса источника (адрес компьютера, с которого пользователь выходит в Web) и места назначения (3 уровень ) и протокола пакета (4уровень ). Протокол и порт назначения TCP 80, а порт источника обычно назначаемое число, больше 1024. Во время перемещения по Web, IP-адрес назначения принадлежит Web-серверу и полезная информация в данном случае это запрос на предоставление Web-страницы, который генерируется приложением пользователя. Большинство компаний разрешают из своей сети весь исходящий трафик. Брандмауэр, анализируя этот трафик, разрешает его в соответствии со своими правилами. Но минусом этого является низкая безопасность, так как любой вирус, например "троянский конь", может заразить не только компьютеры в сети, но и отправить его другим компьютерам в Internet.Поэтому для блокирования такой исходящей информации необходимо составлять списки управления доступом. Такой подход упрощает настройку и развертывание, но из-за отсутствия контроля данных, покидающих сеть, снижается безопасность. Например, "троянский конь" может заразить компьютер в сети предприятия и посылать информацию с этого компьютера другому компьютеру в Internet. Имеет смысл составить списки управления доступом для блокирования такой исходящей информации. А вот входящую информацию большинство брандмауэров блокируют. Как исключение есть 2 способа входящего трафика: это поступление трафика на входящий запрос ( когда указывают в браузере адрес Web-страницы) и размещение в Internet внутренней службы, ( это может быть Web- или FTP-узел, почтовый сервер и др.), так называемой трансляции порта или публикацией сервера. Не смотря на различные способы реализации трансляции порта, в ее основе лежит единый принцип. Внутренний сервер для размещения службы и сами службы ( к примеру, такие как TCP-порт 80 для Web-сервера )определяет администратор и при поступлении пакетов через внешний интерфейс, механизм трансляции портов пересылает их на конкретный компьютер сети, скрытый за брандмауэром. Чаще всего при трансляция порта используется служба NAT. |