Раздел: Документация

0 1 2 3 4 5 6 7 ... 125

Основы

МЕЖСЕТЕВЫХ ЭКРАНОВ

и безопасности

Internet

---

Основы

МЕЖСЕТЕВЫХ ЭКРАНОВ

Зачем нужен межсетевой экран

При подключении сети компании к Internet следует принять во внимание множество факторов: например, какой тип соединения сможет обеспечить требуемую полосу пропускания для предполагаемого трафика и к какому провайдеру подключиться. Где-то в вашем плане, несомненно, будет пункт, касающийся приобретения брандмауэра. Важно понимать, что перед вами стоит не просто рутинная задача, поэтому указанная запись должна находиться в самом начале списка. Установка брандмауэра - одно из важнейших дел, которые необходимо выполнить при подключении к Internet.

Что такое межсетевой экран

Термин firewall* впервые появился в описаниях организации сетей около пяти лет назад. Прежде чем он был принят экспертами по сетевой безопасности для определения способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большего масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.

Межсетевой экран работает примерно так же: он помогает избежать риска повреждения систем или данных в вашей локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. В то время как брандмауэр в здании представляет собой всего лишь конструкцию из цементных блоков или других прочных огнеупорных материалов, межсетевой экран устроен намного сложнее.

В отечественной литературе ему соответствует термин межсетевой экран, или брандмауэр; эти термины употребляются как взаимозаменяемые. - Прим. науч. ред.

---

ЗАЧЕМ НУЖЕН МЕЖСЕТЕВОЙ ЭКРАН 17

*

Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов (packet filter), принимающими решение на основе анализа заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и внешним миром и служат в качестве посредника для некоторых сетевых служб.

Что такое proxy-сервер? Вы найдете описание этой технологии в главе 7.

Название «брандмауэр», казалось бы, относится к одному устройству или одной программе. Но во всех случаях, за исключением простейших, лучше представлять себе его как систему компонентов, предназначенных для управления доступом к вашей и внешней сетям на основе определенной политики безопасности. Термин «межсетевой экран» был принят для обозначения совокупности компонентов, которые находятся между вашей сетью и внешним миром и образуют защитный барьер так же, как брандмауэр в здании создает преграду, предотвращающую распространение огня.

В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран стоит на границе вашей сети и служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности. Вот некоторые из новых функций, которые имеются в современных брандмауэрах:

О кэширование (caching). Это свойство особенно характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;

О трансляция адреса (address translation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;

О фильтрация контента (content restriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;

О переадресация (address vectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP-адресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.

0 1 2 3 4 5 6 7 ... 125