для максимальной защиты сети от постороннего вмешательства, при этом не создавая особых неудобств зарегистрированным пользователям сети. Для создания самого лучшего брандмауэра достаточно просто физически отключить сеть от Интернета.
Как вы уже знаете, все сетевые коммуникации требуют физического соединения. Если сеть не будет подсоединена к Интернету, его пользователи никогда не смогут проникнуть или атаковать локальную сеть. Например, если компании требуется только внутренняя сеть, которая обеспечивает доступ к базе данных по продажам, и нет необходимости в том, чтобы в эту сеть можно было проникнуть извне, можно физически изолировать компьютерную сеть от всего остального мира.
Необходимость в брандмауэре возникает тогда, когда компания хочет соединить свою локальную сеть со всем остальным миром с помощью Интернета.
Для того чтобы удовлетворить требованиям широкого круга пользователей, существует три типа брандмауэров: сетевого уровня, уровня приложений и уровня схем. Каждый из этих трех типов использует свой, отличный от других подход к защите сети. Рассмотрите отдельно каждый тип. Ваше решение должно учитывать тип и степень защиты, требуемой для сети, а именно это и определяет необходимую конструкцию брандмауэра. Помните, что большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование – это способ защитить передаваемую информацию от перехвата. Многие брандмауэры, которые предоставляют возможности шифрования, защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Интернет. Кроме того, они автоматически расшифровывают приходящие данные, прежде чем отправить их в локальную сеть. Используя функции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Интернет удаленным пользователям, не беспокоясь о том, что кто-то может случайно перехватить и прочесть их.
Брандмауэр сетевого уровня – это экранирующий маршрутизатор или специальный компьютер, который проверяет адреса пакетов, для того чтобы определить, пропускать пакет в локальную сеть или нет. Как уже говорилось, пакеты содержат IP-адреса отправителя и получателя, а также массу другой информации, которую использует брандмауэр для управления доступом к пакету.
Можно, например, сконфигурировать брандмауэр сетевого уровня или маршрутизатор таким образом, что он будет блокировать все сообщения, поступающие от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать. Когда экранирующий маршрутизатор встречает пакет, содержащий определенный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в локальную сеть или выйти из нее. Специалисты по разработке сетей часто называют данный метод «методом черного списка» (blacklisting). Большая часть программного обеспечения экранирующих маршрутизаторов позволяет вам внести в черный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров вашей сети.
Помните, что пакет, поступающий экранирующему маршрутизатору, может содержать любое количество информации, например сообщение электронной почты, запрос Telnet на вход в систему (запрос от удаленного пользователя на доступ к вашему компьютеру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня будет предоставлять различные функции для каждого типа запросов. Например, можно запрограммировать маршрутизатор так, чтобы пользователи Интернета могли просматривать вашу Web-страницу, но не могли использовать FTP для пересылки файлов на ваш сервер или с него. Или можно запрограммировать маршрутизатор так, чтобы он позволял пользователям Интернета загружать файлы с вашего сервера на их серверы, но не позволял загружать файлы с их серверов на ваш. Обычно экранирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматривается следующая информация:
– адрес источника пакета;
– адрес места назначения пакета;
– тип протокола сеанса данных (например, TCP, UDP или ICMP);
– порт источника и порт приложения назначения для требуемой службы;
– является ли пакет запросом на соединение. Если вы правильно установили и сконфигурировали брандмауэр сетевого уровня, его работа будет достаточно быстрой и почти незаметной для пользователей. Конечно, для тех, кто находится в черном списке, это будет совсем не так.
Брандмауэр уровня приложений – обычно это персональный компьютер, который использует программное обеспечение сервера-посредника. Поэтому часто его называют сервером-посредником (proxy- server). Название «сервер-посредник» возникло от слова «proxy» – заместитель, посредник.
Серверы-посредники обеспечивают связь между пользователями локальной сети и серверами присоединенной (внешней) сети. Другими словами, сервер-посредник контролирует передачу данных между двумя сетями. В некоторых случаях он может управлять всеми сообщениями нескольких пользователей сети. Например, какой-либо пользователь сети, обладающий доступом к Интернету через сервер-посредник, будет казаться остальным компьютерам, входящим в Интернет, сервером-посредником (иначе говоря, пользователь использует TCP-адрес сервера-посредника).
В сети сервер-посредник может предоставлять доступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента. Когда вы используете брандмауэр сетевого уровня, ваша локальная сеть не соединена с Интернетом. Более того, поток данных, который перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. Сервер-посредник передает отдельную копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует источник, от которого исходит запрос на соединение, и защищает вашу сеть от пользователей Интернета, которые могут попытаться получить информацию о вашей частной сети.
Поскольку сервер-посредник распознает сетевые протоколы, можно запрограммировать его таким образом, что он будет отслеживать, какая именно служба вам требуется. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять загрузку с помощью ftp-файлов с вашего сервера, но не позволит загружать с помощью ftp-файлы на ваш сервер.
Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора, нужно установить различные серверы-посредники для разных сетевых служб. Наиболее популярные серверы-посредники для сетей на базе Unix и Linux – это TIS Internet Firewall Toolkit и SOCKS. Для получения дополнительной информации о сервере-посреднике TIS Internet Firewall Toolkit посетите Web-сайт по адресу http://www.tis.com/docs/products/fivtk/index.html.
Если вы используете сервер на базе Windows NT, то поддержку сервера-посредника осуществляет как Microsoft Internet Information Server, так и Netscape Commerce Server. После того как вы установите сервер- посредник уровня приложений, пользователи вашей сети должны будут использовать программное обеспечение клиентов, поддерживающее работу с сервером-посредником.
Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и другие, в которых осуществлена поддержка сервера-посредника. В большинстве Web-браузеров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредника, используя предпочтения программного обеспечения браузеров. К сожалению, остальные протоколы Интернета не способны поддерживать серверы-посредники. В таких случаях вы должны выбрать приложение для работы в Интернете, основываясь на том, совместимо оно или нет со стандартными протоколами посредников. Например, приложения, которые поддерживают протокол посредников SOCKS, являются хорошим выбором, если вся ваша сеть базируется на SOCKS.
Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать программное обеспечение клиента, которое поддерживает службы посредника. Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким
