Изменения

'''Межсетевой экран''' (англ. ''firewall'', нем. ''brandmauer'') - это система аппаратных и или программных компонентов, предназначенных для ограничения доступа между сетями, чаще всего между Интернетом и частной сетью. Межсетевой экран является частью системы безопаснсти, направленных на защиту информационных ресурсов организации.

==== Цели:====

# Чтобы воздвигнуть Воздвигнуть барьер между ненадежным программным обеспечением, общественными веб-серверами Вашей организации и конфиденциальной информацией, которая находится в частной во внутренней сети.

====Основные идеи:====* # Поместить специальное утройство-шлюз между внешним миром и внутренней сетью организации.* # Все сигналы должны сначала идти к шлюзу, где заранее определено, допустим ли подобный сигнал или нет.Межсетевые экраны не защищают от атак, которым удалось проникнуть за "стену", от передачи инсайдерской внутренней информации, например недобросовестными сотрудниками во снешний мир и от передачи во внутреннюю сеть файлов или программ, содержащих вирусы.

===Типы межсетевых экранов:===# ==== Пакетные фильтры.====[[Файл:packet_filtering.gif|thumb|alt=Aleft|upright=2|alt="Пакетный фильтр."]]Пакетный фильтр работает (англ. ''packet-filter'') исходя из ограничений, определяя определяет может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Плюсом такого подхода явлется простота и быстрота. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния.<br clear="both" />==== Шлюзы сеансового уровня ====[[Файл:Stateful_packet_filtering.gif|left|Пакетный фильтр с учетом состояния.]]Шлюз сеансового уровня (англ. ''stateful packet-filtering firewal'') - это пакетный фильтр с таблицей состояний. В самом простом варианте шлюз сеансового уровня поддерживает отслеживание состояния TCP соединения, начиная с "тройного рукопожатия" (SYN, SYN/ACK, ACK), которое происходит на старте каждой TCP транзакции и заканчивая последним пакетом сессии (FIN или RST). Обычно, после того как шлюз сеансового уровня проверил, что данная транзакция разрешена(основываясь на источике/адресе назначения/порте), он фиксирует изначачальное рукопожатие. Если рукопожатие совершилось в разумное время, проверяются все заголовки всех TCP подпакетов для этой транзакции на соответствие с таблицей состояний. IP адрес источника, порт источника, IP адрес назначения, порт назначения и номер сообщения проверяются пока одна из сторон не закроет транзакцию, посылая FIN или RST.  Данный вид межсетегого экрана работает лучше, чем обычная пакетная фильтрация, так как без данных о состоянии соединений межсетевой экран не может знать, является ли данное сообщение частью уже установленной сессии или является первым сообщением сессии. Некоторые простые пакетные фильтры могут считать, что все сообщения с проставленным ACK флагом являются частью установленной сессии, что является потенциальной уязвимостью. Также знание о состоянии соединений защищает внутреннюю сеть от сканирования(например утилитой nmap), так как межсетевой экран сразу же обнаруживает любое несоответствие с данными в таблице и блокирует подозрительный ip адрес.<br clear="both" />==== Посредники прикладного уровня====[[Файл:Application-layer_proxy.jpg|left|400px|Шлюз сеансового уровня]]Посредники прикладного уровня (англ. ''application-layer proxying''). В отличие от предыдущих пакетных фильтров, которые проверяют, но не изменяют пакетов их (кроме некоторых случаев переадресации), данные межсетевые экраны выступают в качестве посредника во всех сеансах передачи данных.Шлюзы сеансового уровня называют прикладными, так как они используют множество прикладных данных о сервисах, с помощью которых они обеспечивают не только улучшение производительности, но и безопасности, в отличие от обычных прокси(посредников).Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент.<br clear="both" />==== Инспекторы состояния. ====Инспектор состояния - такой межсетевой экран, который использует технологию проверки состояния (англ. ''Stateful Inspection''). Он представляет собой межсетевой экран, сочетающий фильтрацию трафика с сетевого по прикладной уровень. <br clear="both" />