netConfig: сетевые технологии  
Главная   |   Настройка серверов   |   Настройка оборудования   |   Решения   |  

Firewall/proxy сервер

Firewall (сетевой экран, брандмауэр) — это система компонентов, предназначенная для защиты информационной системы от внешних и внутренних атак. Он также может служить средством управления доступом к информационным ресурсам вашей компании для внешних и внутренних пользователей.

В круг его задач входит не только обеспечение безопасности, но и другие:
  • Кэширование, это свойство характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet;
  • Трансляция сетевых адресов (NAT), возможность применения во внутренней сети любого IP адреса;
  • Фильтрация контента, то есть ограничение информации, получаемой из Internet;
  • Переадресация, путем изменения запросов, распределение нагрузки между несколькими серверами.
Сочетание этих возможностей дает определенные преимущества в защите рабочих станций и серверов.

Основные механизмы для пропускания и блокирования трафика:
  • Фильтр пакетов, принимающий решения на основе анализа заголовков пакетов;
  • Proxy-серверы, контроль на уровне приложений;
  • Шифрование трафика.
Обычно используют сочетание этих механизмов для грамотного планирования системы безопасности сети.

Фильтрацию пакетов осуществляют маршрутизаторы или компьютер, с соответствующим программным обеспечением, в которых заданы наборы правил, устанавливающие разрешенные типы сетевого трафика, имеющие право проходить через подключенные к нему сетевые интерфейсы. Им приходится принимать решения только на основе информации в заголовке пакета. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Поэтому нет возможностей распознать тип запроса. Proxy-сервер - это программа, которая выполняется на брендмауэре и перехватывает трафик приложений определенного типа. Пакетный фильтр гарантирует определенную степень защиты, а proxy-серверы обеспечивают дальнейшее блокирование нежелательного трафика между локальной и внешней сетью. Если proxy-сервер выйдет из строя, пакетный фильтр останется вашей первой линией обороны, пока работа proxy-сервера не будет восстановлена. Наиболее продвинутые фаерволы, обладают функцией proxy-сервера.

Ниже мы рассмотрим несколько программных фаерволов для защиты корпоративных сетей и сравним их по функциональности и стоимости.

Характеристики  Платформа
Windows Unix
Операционная система Microsoft Windows Server 2003 Linux-based FreeBSD
Название продукта Брандмауэр Интернета ICF Mikrotik Router OS IPFW, IPF, PF
Пакетный фильтр есть есть есть
Маркировка трафика Mangle нет есть есть
Качество обслуживания QoS нет есть есть
Отслеживание соединений SPI нет есть есть
Трансляция сетевых адресов NAT есть есть есть
Контроль на уровне приложений есть нет нет
Графический интерфейс GUI есть есть нет
Ресурсоемкость высокая низкая средняя

© 2012 netConfig