Персональный компьютерохранитель!

Ермолаев Евгений aka Saturn

Спецвыпуск Xakep, номер #041, стр. 041-066-3

Первое поколение

Каждый IP-пакет проверяется на совпадение с допустимыми правилами, записанными в firewall. Проверка пакета производится по списку правил, которые задаются пользователем. Каждому правилу присваивается номер, и правила проверяются строго в порядке возрастания номеров. Параметры, которые проверяли файрволы этого типа: интерфейс движения пакета, адрес источника пакета, адрес получателя, тип пакета (TCP, UDP, ICMP и т.д.), порт получателя. Содержание пакетов не рассматривается. Создается 2 списка: отрицание (deny) и разрешение (permit, allow, accept). "Вердикт" выносится следующим образом:

- не найдено правило - пакет удаляется; если правило в списке "пропустить" - пропустить; если в списке отрицаний - пакет удаляется.

Несмотря на всю простоту работы этого поколения файрволов, у них есть несколько преимуществ, таких как:

- быстрая работа;

- легкость реализации;

- не требуется специальная конфигурация компьютера.

Недостатки вытекают из достоинств:

- не проверяется содержимое пакетов;

- слишком поверхностная проверка.

Circuit level firewalls (цепного уровня)

Принцип работы основан на том, что большой фрагмент информации состоит из пакетов (которые передаются "по цепи"). Программы этого поколения анализируют целостность всего фрагмента. Помимо целостности, обращается внимание на направление всех пакетов. Первый пакет цепи содержит информацию, которая применяется для проверки допустимости передачи.

Преимущества:

- неплохая скорость работы;

- возможность сокрытия топологии сети.

Недостатки:

- трудности реализации для не TCP протоколов.

Firewall программного уровня и kernel proxy

Проверяет данные, передаваемые в пакетах. Таким образом, проверяется целостность данных, а также отслеживается передача конфиденциальной информации (такой как пароли). Используется также proxy-сервис, который кэширует, а также дает возможность фильтрации URL.

Основная идея kernel proxy - поместить firewall программного уровня в ядро операционной системы. Понятно, что этот шаг, кроме повышения производительности, позволяет более тщательно проверять поступающую информацию.

Следует также сказать, что не существует общепринятого стандарта реализации всех описанных выше функций, и каждая фирма делает это по-своему.

Где Firewall бессилен?

Какой бы замечательной ни была идея того или иного инструмента (а firewall - это инструмент защиты) - эта идея не может быть всеобъемлющей. Скажем, глупо молотком мешать чай в кружке (хотя и возможно), и вообще нереально забить гвоздь столовым прибором. К чему эта демагогия? Да к тому, что firewall, какой бы он ни был хороший, не может быть использован для некоторых функций защиты информации.