logo search
Лекции_Информационные сети

Брандмауэры (сетевые фильтры).

Брандмауэры можно определить как набор аппаратно-программных средств, предназначенных для предотвращения доступа в сеть извне и для контроля над данными, поступающими в сеть или выходящими из нее. Брандмауэры получили широкое распространение с 90-х годов с развитием сети Internеt.

Для эффективной работы брандмауэра требуется, чтобы весь трафик проходил через него, но сам он должен быть непреступен для внешних атак.

Условно брандмауэры можно разделить на следующие группы:

Наибольшее распространение получили брандмауэры с фильтрацией пакетов, т.к. они самые дешевые. Обычно они реализованы на маршрутизаторах. Самое простое - сравнить IP-адрес пришедшего пакета со списком разрешенных. Недостаток таких брандмауэров в том, что он не может отличить имитационный пакет, то есть пакет, содержащий IP-адрес законного пользователя (если его как-то узнали и сымитировали).

Существенным улучшением является так называемая динамическая фильтрация пакетов, при которой производится ping (запрос) по IP-адресу, очевидно, что если атака пришла извне, то ping не достигнет отправителя пакета, и пакет будет отвергнут.

С помощью двух простых брандмауэров, установленных в двух сегментах сети, организация может, например, отделить таким образом бухгалтерию от отдела продаж.

Подробнее о брандмауэрах будет рассказано в курсе «Безопасность…».