Технология межсетевых экранов

Сперва необходимо заняться моделированием угроз, выработать политику безопасности и только после этого выбирать подходящие технологии.

Угрозы определяют политику безопасности, а она, в свою очередь, — процесс разработки.

Б. Шнайдер. Секреты и ложь Одним из основных элементов эшелонированной обороны корпоративной сети являются межсетевые экраны. Кроме того, межсетевые экраны являются первым защитным устройством, разделяющий внешний и внутренний параметры.

Межсетевой экран представляет собой локальное или функционально распределенное средство, реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и (или) выходящей из нее, и обеспечивает защиту АС посредством фильтрации информации, т. е. ее нализа по совокупности критериев и принятия решении о ее распространении. МЭ просматривает пакеты, проходящие через него в обоих направлениях, и принимает решение о допуске или уничтожении пакетов. Таким образом, МЭ реализует одну точку защиты между двумя сетями — он защищает одну сеть от другой.

Развитие технологий межсетевых экранов

Технология МЭ сравнительно методы, но быстро развиваются. Приблизительно временны рамки, развития этих технологий приведены ниже на рис. 3.1.

Первое появление МЭ как технологии связывается с маршрутизаторами, которые появились в 1983 -1985 г. эти МЭ назывались фильтрами пакетов. Первая статья, описывающая процесс фильтрации пакетов для целей защиты, опубликованы в Digital Equipment Corporation в 1988 г.

Рисунок 3.1. Развитие технологии межсетевых экранов.

В 1989 -1990 г. AT &T Bell Lab появилась второе поколение архитектур (МЭ), связанное и исследованием задержек в цепях. При этом исследователи предложили первую рабочую модель третьего поколения — МЭ прикладного уровня, но данные идеи не были детально проработаны и реализованы.

Поэтому межсетевые экраны третьего поколения одновременно предложены несколькими исследователя в 1990 г. В первых публикациях Спаффорд (Gene Spafford) из университета Pudue, Чезвик (Bill Cheswick) из. AT &T Bell Lab и Ранум (Marcus Ranum) описали МЭ прикладного уровня в 1990 — 1991 г.

В 1991 г. Ранум предложил форму хоста — бастиона, выполняющего службу proxy/ она была реализована фирмой DEC.

В 1991 г. Чезвик и Белловин (Stave Bellovin) начали исследовать динамические фильтры пакетов и разрабатывать в Bell Lab соответствующею архитектуру, но она не была до конца реализована. В 1992 г. Брайден (Bob Braden) и Дешан (Anette Deschan) из USB Informatics Sciense Institute разработали систему динамической фильтрации «Visas «Check Point Software, реализованную в 1994 г. данная технология запатентована компанией под названием «инспекция состояний».

В 1996 г. начались работы по разработке 5 — го поколения: Kernel Proxy. В 1997 г. был реализован Cisco Centry FW — первый коммерческий МЭ 5 — го поколения.

В 1999 г. была предложена идея построения распределенных межсетевых экранов. Необходимо отметить, что как исследовательские (академические), так и коммерческие МЭ представляли и представляют собой громадные сложные программные продукты. Стоимость их практики недоступна для рядовых пользователей. Поэтому начиная с 2000 г. широкое направление исследований было нацелено на разработку персональных МЭ. Такие МЭ разрабатывались для использования на отдельной компьютере, обеспечивая персональную защиту пользователя. К этому же времени относятся исследовательские разработки по созданию распределенных систем МЭ.

Далее рассмотрим основные элементы технологий построения межсетевых экранов.