Прокси-фаервол (proxy-firewall). Брандмауэр (FireWall) как средство реализации политики сетевой безопасности

Прокси-фаервол, называемый также прокси-сервером — это обычно прикладная программа, устанавливаемая на сервер, имеющий доступ в защищенную и внешнюю сеть.

Все соединения хостов защищенной сети с хостами внешней сети осуществляются от имени прокси-фаервола, как если бы прокси-фаервол сам устанавливал эти соединения. Хосты защищенной сети никогда сами не устанавливают соединений с внешним миром. Для установки связи, хосты внутренней сети посылают запросы прокси-фаерволу, запросы сравниваются с базой правил. Если запрос соответствует правилу в базе и разрешен, прокси-фаервол посылает запрос внешнему хосту и затем посылает ответ внутреннему хосту.

Прокси-фаерволы работают на верхних уровнях модели OSI. Соединения устанавливаются между сетевым и транспортным уровнем, однако прокси-фаервол анализирует запрос вплоть до седьмого уровня на предмет соответствия набору правил, если все правильно, он устанавливает соединение.

Анализ пакетов до седьмого уровня является большим преимуществом прокси-фаерволов. Но имеются и следующие недостатки:

• · Прокси-сервер — это программа работающая под управлением определенной операционной системы, поэтому прокси-сервер будет настолько безопасным, насколько безопасна сама эта система
• · Значительная процессорная нагрузка для осуществления прокси сервисов, что сказывается на производительности, при увеличении числа запросов на соединение. Это самая медленная технология

Рисунок 4. Схема работы прокси-фаервола.

Динамическая пакетная фильтрация (stateful packet filtering)

Данная технология обеспечивает лучшую комбинацию безопасности и производительности. Используется не только ACL, но также анализируется состояние сессии, записываемое в базу, которую называют таблицей состояния (state table). Эту технологию Cisco преимущественно использует в своих устройствах защиты.

После того как соединение установлено, все данные сессии сравниваются с таблицей состояния. Если данные сессии не соответствуют информации в таблице состояния для этой сессии, соединение сбрасывается.

В этой технологии сохраняется состояние каждой открытой сессии. Каждый раз, когда устанавливается разрешенное внешнее либо внутреннее TCP или UDP соединение, информация об этом соединении запоминается в таблице состояния сессий. В таблицу заносится адрес источника и назначения, номера портов, порядковые номера TCP сессии (sequence numbers), также дополнительные флаги.

Зачем это необходимо? Для анализа возвращаемых пакетов в каждой конкретной сессии на предмет их легитимности (те же порты, правильные порядковые номера сессии, флаги и тд). То есть теперь все входящие и исходящие пакеты сравниваются с информацией в таблице состояния.

То есть в общем смысл работы динамической фильтрации заключается в следующем — если соединение, запрашиваемое хостом, разрешено фаерволом, то он запоминает это и помещает информацию о соединении в таблицу состояний (state table) и при возвращении трафика, то есть при ответе другого хоста на запрос, пакеты разрешаются, если они соответствуют тому, что ожидает устройство защиты, то есть соответствуют информации, хранящейся в state table.

Этот метод эффективен по трем причинам:

• · Он работает и с пакетами и с соединениями
• · Производительность выше, чем у прокси-фаерволов
• · Сохраняется информация каждого соединения, что позволяет определить является ли пакет частью этого соединения.