Изменения

'''Межсетевой экран''' (англ. ''firewall'', нем. ''brandmauer'') - это система аппаратных и или программных компонентов, предназначенных для ограничения доступа между сетями, чаще всего между Интернетом и частной сетью. Межсетевой экран является частью системы безопаснсти, направленных на защиту информационных ресурсов организации.

==== Цели====

# Чтобы воздвигнуть Воздвигнуть барьер между ненадежным программным обеспечением, общественными веб-серверами Вашей организации и конфиденциальной информацией, которая находится в частной во внутренней сети.

====Основные идеи:====

Межсетевые экраны не защищают от атак, которым удалось проникнуть за "стену", от передачи инсайдерской внутренней информации, например недобросовестными сотрудниками во снешний мир и от передачи во внутреннюю сеть файлов или программ, содержащих вирусы.

==== Пакетные фильтры.====[[Файл:packet_filtering.gif|thumb|upright=2|left|Пакетный фильтр.]]Пакетный фильтр работает (англ. ''packet-filter'') исходя из ограничений, определяя определяет может или не может данный пакет пройти сквозь "стену". Фильтр основывается на данных,содержащихся в пакетах: источнике, адресе назначения, порте, транспортном протоколе и интерфейсе. Межсетевой экран может иметь разные настройки по умолчанию: либо он пропускает все неотфильтрованные пакеты, либо пропускает только отфильтрованные. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности. В коммерческом мире, простые пакетные фильтры становятся все более редкими: все основные межсетевые экраны имеют некоторую степень мониторинга состояния. Плюсом такого подхода явлется простота и быстрота. Недостатком является низкий уровень защищенности.

==== Пакетный фильтр с таблицей состояний. Шлюзы сеансового уровня ====[[Файл:Stateful_packet_filtering.gif|upright=1.8|thumbleft|Пакетный фильтр с учетом состояния.]]Пакетный Шлюз сеансового уровня (англ. ''stateful packet-filtering firewal'') - это пакетный фильтр с таблицей состояний в . В самом простом варианте шлюз сеансового уровня поддерживает отслеживание состояния TCP соединения, начиная с "тройного рукопожатия" (SYN, SYN/ACK, ACK), которое происходит на старте каждой TCP транзакции и заканчивая последним пакетом сессии (FIN или RST). Обычно, после того как фильтр шлюз сеансового уровня проверил,что данная транзакция разрешена(основываясь на источике/адресе назначения/порте), он фиксирует изначачальное рукопожатие. Если рукопожатие совершилось в разумное время, проверяются все заголовки всех TCP подпакетов для этой транзакции на соответствие с таблицей состояний. То есть, пока одна из сторон не закроет транзакцию, посылая FIN или RST. IP адрес источника, порт источника, IP адрес назначения, порт назначения и номер сообщения проверяютсяпока одна из сторон не закроет транзакцию, посылая FIN или RST.

Данный вид межсетегого экрана работает лучше, чем обычная пакетная фильтрация, так как без без данных о состоянии соеденений соединений межсетевой экран не может знать, является ли данное сообщение частью уже установленной сессии или является первым сообщением этой сессии. Некоторые простые пакетные фильтры могут считать, что все сообщения с проставленным ACK флагом являются частью установленной сессии, что является потенциальной уязвимостью. Также знание о состоянии соединений защищает внутреннюю сеть от сканирования(например утилитой nmap), так как межсетевой экран сразу же обнаруживает любое несоответствие с данными в таблице и блокирует подозрительный ip адрес.<br clear="both" />==== Посредники прикладного уровня====[[Файл:Application-layer_proxy.jpg|left|400px|Шлюз сеансового уровня]]Посредники прикладного уровня (англ. ''application-layer proxying''). В отличие от предыдущих пакетных фильтров, которые проверяют, но не изменяют пакетов их (кроме некоторых случаев переадресации), данные межсетевые экраны выступают в качестве посредника во всех сеансах передачи данных.Шлюзы сеансового уровня называют прикладными, так как они используют множество прикладных данных о сервисах, с помощью которых они обеспечивают не только улучшение производительности, но и безопасности, в отличие от обычных прокси(посредников).Недостатками данного типа межсетевых экранов являются большие затраты времени и ресурсов на анализ каждого пакета. По этой причине они обычно не подходят для приложений реального времени. Другим недостатком является невозможность автоматического подключения поддержки новых сетевых приложений и протоколов, так как для каждого из них необходим свой агент.

Инспекторы Инспектор состояния представляют собой пакетный фильтр с учетом состояния с некоторыми доработками на уровне приложений. Например- такой межсетевой экран, инспектор который использует технологию проверки состояния следит и за нагрузкой, что позволяет проверить, что инициатор соединения и вправду запрашивает HTTP сессию, а не пытается, например, добиться отказа 80ого порта(англ.Данный класс межсетевых экранов позволяет контролировать:# каждый передаваемый пакет — на основе таблицы правил;# каждую сессию — на основе таблицы состояний;# каждое приложение — на основе разработанных посредников''Stateful Inspection'').Осуществляя Он представляет собой межсетевой экран, сочетающий фильтрацию трафика по принципу шлюза сеансового уровня, данный класс межсетевых экранов не вмешивается в процесс установления соединения между узлами. Поэтому производительность инспектора состояний заметно выше, чем у посредника прикладного уровня и шлюза сеансового уровня, и сравнима с производительностью пакетных фильтров. Ещё одно достоинство инспекторов состояния — прозрачность для пользователя: для клиентского программного обеспечения не потребуется дополнительная настройка. Данные межсетевые экраны имеют большие возможности расширения. При появлении новой службы или нового протокола прикладного уровня для его поддержки достаточно добавить несколько шаблонов. Однако инспекторам состояний сетевого по сравнению с посредниками прикладного уровня свойственна более низкая защищённостьприкладной уровень.