Firewall и его роль в обеспечении безопасности данных

Первые брандмауэры появились более трех десятилетий назад и с той поры прилично усовершенствовались. Это позволило дополнить их функциями, которые раньше выполнялись отдельными устройствами. Собранные извне данные позволяли принять взвешенное решение относительно фильтрации трафика: какой блокировать, а какой разрешать. Сегодня домашний интернет сложно представить себе без firewall, входящего в базовый пакет операционных систем, а серьезные корпоративные сети начали пользоваться более продвинутыми брандмауэрами последнего поколения.

Функции и особенности брандмауэра

Классический брандмауэр – это сетевое устройство, отвечающее за фильтрацию входящих и исходящих пакетов в домашних и корпоративных сетях. На основании полученной информации и команд пользователя оно принимает решение о пропуске или блокировке трафика. Сегодня активно используются несколько типов межсетевых экранов, которые существенно совершенствовались и превратились в сложные многофункциональные устройства. Современные аналоги при принятии решения ориентируются на большое количество факторов, превратившись из стандартного фильтра пакетов в интеллектуального помощника.

Изначально использовались лишь на границах между ненадежными и доверенными сетями, но сегодня стало популярным использование межсетевых экранов для защиты от ряда внутренних сегментов – центров обработки данных или иных сегментов корпоративных сетей. Это устройства, которые создаются сторонними разработчиками, но при желании их можно приобрести в рамках пакетов программного обеспечения, устанавливаемого на сетевое оборудование.

Виды и функционал

Самыми первыми сетевыми экранами были и остаются брандмауэры на основе прокси. Они выполняют функцию шлюза между конечными пользователями: теми, кто запрашивает данные и отправителями пакетов трафика. К прокси-серверу подключается хост устройства, а сервер непосредственно отвечает за автономное соединение с источником данных. Перед тем, как разрешить передачу пакетов, устройство фильтрует их с учетом установленных правил и наличия маскирования устройства получателя.

Преимущество данной группы сетевых экранов в том, что компьютеры и сетевые устройства, расположенные вне защищенной сети, могут получать лишь ограниченный объем информации: подключиться к сети напрямую невозможно. Недостаток – особенности создания исходящих подключений, которые вызывают серьезные временные задержки и негативно влияют на производительность сетевого оборудования. За счет этого некоторые приложения вообще не могут работать при подключении через брандмауэр: время задержки превышает допустимые пределы отклика.

Stateful брандмауэры

Более усовершенствованная и производительная версия сетевых экранов, которые способны не только отслеживать информацию о доступных соединениях, но и отказаться от использования брандмауэра для проверки каждого пакета данных по отдельности. Этот принцип уменьшает время ожидания, положительно влияя на производительность оборудования. Классический пример, когда сетевой экран отказывается от проверки входящих пакетов, идентифицированных как ответ на проверенное и законное исходящее соединение. Предварительная проверка показала, что данное соединение является безопасным, поэтому нет необходимости в дополнительном анализе пакетов входящих данных, поступающих в ответ на такой запрос.

Сетевые экраны web-приложений

Данный тип устройств расположен между серверами поддержки приложений и интернетом. Это позволяет защитить соединение от межсайтового скриптинга и других опасных явлений. Облачные или аппаратные сетевые экраны встраиваются в приложения автономно. Это позволяет самостоятельно анализировать запросы и принимать решение, открывать ли доступ клиенту.

Категория: Статьи

Добавил: ingvarr

Дата публикации: 27.05.2020

Последнее редактирование: 27.05.2020

Просмотров: 136 | Рейтинг: 5.0/1

Всего комментариев: 0
Обсуждение материала:
Комментариев: 0
avatar