Межсетевой экран

Межсетевой экран (МСЭ) или firewall – фильтр пакетов для защиты внутренней информационной среды (Intranet) от несанкционированных действий со стороны внешней среды (Extranet/Internet) [8, с. 466-472] 1).

Расположение firewall иллюстрирует рис. ↓.

Простой пакетный фильтр (packet filter) обычно размещается на шлюзе (маршрутизаторе) и работает совместно с NAT разрешая, запрещая или отвечая на пакеты согласно устанавливаемым правилам (цепочкам) в зависимости от направления следования пакетов (OUT/IN), IP адресов, портов и протоколов. Каждый пакет рассматривается независимо от предыдущих. Может защитить от некоторых атак типа DoS (ping-of-death, SYN-flood и др.).

МСЭ с контролем соединения (virtual circuit control) чаще всего выполнен в виде отдельного устройства и устанавливает правила пропуска или уничтожения пакетов в зависимости от «виртуального» соединения, т. е. учитываются предыдущие пакеты 2).

МСЭ с контролем приложения (application layer gateway) практически не отличается от сервиса proxy и в продвинутых моделях проксирует не только традиционные приложения с HTTP, FTP, но и другие протоколы.

Наиболее защищённой считается структура с выделением ресурсов для публичного доступа в т. н. демилитаризованную зону (DeMilitarized Zone — DMZ) с двумя МСЭ, устраняющими проникновение из вне во внутреннюю сеть (см. рис. ↓).

29. VLAN, VPN.

VLAN (Virtual Local Area Network) и VPN (Virtual Private Network) – два популярных способа решения задачи построения независимых сетей, использующих общие физические линии связи в локальных и глобальных сетях соответственно. VLAN решает эту задачу на уровне технологии (Ethernet), а VPN – на уровнях стека протоколов (TCP/IP).

Наиболее «продвинутое» построение VLAN для технологии Ethernet основано на стандарте 802.11Q, 1) согласно которому в заголовке кадра Ethernet устанавливается номер подсети, обрабатываемый коммутаторами и/или сетевыми картами [1, с. 458-464]. Один и тот же порт коммутатора (сетевую карту) можно ассоциировать с несколькими номерами виртуальных подсетей для организации доступа к общему сетевому ресурсу (серверу). Следует отметить, что для содержимого кадра при организации VLAN не предполагается использование какой-либо защиты и «независимость» виртуальных подсетей построена на «правильной» отправке кадра коммутатором или пропуске «чужих» кадров сетевой картой. Очевидно, что такой подход оправдан только, когда кадр физически не выходит за пределы организации и можно гарантировать защиту от несанкционированного перехвата.

Для обозначения семиуровневой модели иногда используется прилагательное «эталонная», подчёркивающее теоретический характер этой модели. Действительно, за редким исключением, ни один из практически используемых стеков протоколов не соответствует этой модели в точности.

Среди причин этого явления можно выделить следующие. Во-первых, все основные практически используемые стеки (TCP/IP, IPX/SPX, АТМ, X.25 и др.) разрабатывались до появления семиуровневой модели.

Во-вторых, форма описания семиуровневой модели в момент появления была весьма далека от совершенства и многие разработчики просто не смогли своевременно понять её важность.

В-третьих, кажущаяся громоздкость модели делала разработанные на её основе стеки коммерчески невыгодными и пригодными только для научных исследований.

Тем не менее, семиуровневая модель позволяет сопоставить между собой различные стеки, даёт «точку отсчёта» для разработки новых сетевых решений и с этих позиций роль модели остаётся весьма значимой.