Компьютерные сети. Принципы, технологии, протоколы (Олифер, Олифер) - страница 746
Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации.
| Внешняя сеть — источник угроз (Интернет) |
|---|
 |
| Рис. 24.21. Сетевой экран защищает внутреннюю сеть от угроз, исходящих из внешней сети |
Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции:
□ анализировать, контролировать и регулировать трафик (функция фильтрации);
□ играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);
□ фиксировать все события, связанные с безопасностью (функция аудита).
Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности:
□ антивирусная защита;
□ шифрование трафика;
□ фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;
□ предупреждение^ обнаружение вторжений и сетевых атак;
□ функции VPN;
□ трансляция сетевых адресов.
Как можно заметить, большинство из перечисленных функций реализуются в виде отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика — неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставляются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту).
Отсюда возникают сложности при определении понятия «сетевой экран». Например, довольно распространено мнение, что сетевой экран — это пограничное устройство, выполняющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер — это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устройство, которое способно отслеживать состояние потока пакетов в рамках соединения. Мы же в этой книге будем придерживаться широко распространенной точки зрения о том, что сетевой экран — это программно-аппаратный комплекс, выполняющей разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана.