Назначение межсетевого экрана
Известно, что от несанкционированного доступа извне нужно защищать как локальные сети, так и персональные компьютеры. До недавнего времени специальные программы-антивирусы полностью решали эту задачу. И сегодня на личный персональный компьютер, как правило, установлен антивирус, устраняя нежелательные проникновения.
Однако локальные сети, прежде всего коммерческие и в государственных структурах, имеют гораздо больший объем входящих данных. Помимо этого, компьютеры, объединенные в одну сеть, обмениваются информацией между собой. Поэтому зачастую антивирусная программа не в состоянии защитить сеть, хоть в определенной мере и защищает компьютер.
Для защиты локальных сетей, а также их фрагментов, было создано специальное устройство – межсетевой экран (файервол, брандмауэр). Оно выполняется либо в виде отдельно встраиваемого модуля, либо в форме специального устройства, называемого аппаратным межсетевым экраном.
В общих чертах принцип действия любого межсетевого экрана заключается в сравнении поступающей информации с предустановленными шаблонами, которое проводится последовательно по определенным алгоритмам. В зависимости от настроек и типа оборудования фильтрация осуществляется двумя путями:
- пропускается информация, которая явно не запрещена;
- отклоняется все неразрешенная информация.
Результатом этого является два решения: пакет данных пропускается или отклоняется. Программное обеспечение межсетевого экрана способно к «обучению», поэтому список шаблонов разрешенных пакетов постоянно обновляется.
Типы межсетевого экрана
Все межсетевые экраны можно разделить на такие типы:
- брандмауэр в виде программного обеспечения, устанавливаемого на ПК;
- встраиваемые модули;
- маршрутизаторы с функцией межсетевой защиты;
- управляемые коммутаторы;
- программно-аппаратные устройства.
Недостатком всех перечисленных устройств, кроме программно-аппаратных, является необходимость использования ресурсов оборудования не только для выполнения функций межсетевого экрана, но и для решения других задач. Таким образом, производительность такого решения будет ограниченной. Кроме этого, на стороннем оборудовании достаточно сложно организовать фильтрацию на разных уровнях локальной сети.
Поэтому, для максимально эффективной защиты используют аппаратные межсетевые экраны.
Аппаратный межсетевой экран, выполненный в виде отдельного устройства, имеет ряд преимуществ:
- нет необходимости приобретать отдельный компьютер и сопутствующее программное обеспечение (операционная система, специализированные программы);
- отдельное устройство имеет предустановленные программы и использует все ресурсы исключительно для решения задач по фильтрации трафика;
- легкость установки и использования;
- возможность интегрировать аппарат в телекоммуникационную стойку или шкаф, что значительно облегчает коммутацию и обслуживание.
Именно поэтому использование аппаратных файерволов является оптимальным решением для защиты локальных сетей, в отличие от встроенных модулей, маршрутизаторов с функцией фильтрации, свитчей и т.п.
Классы межсетевого экрана
Условно межсетевые экраны делят на классы по признаку способа осуществления фильтрации данных. Различают:
- Управляемые коммутаторы. Могут обеспечить эффективную защиту внутри локальной сети, однако не защищают ее периметр.
- Пакетные фильтры. Обрабатывают данные на сетевом уровне, некоторые версии, во избежание проникновения вредоносных программ, умеют распознавать «маскировку» отдельных фрагментов. Эффективны в качестве файервола на границе сетей с низким уровнем доверия.
- Шлюзы сеансового уровня. Анализируют информацию в рамках текущего сеанса. Преимуществом технологии является то, что устройство выступает посредником между глобальной сетью и локальной, поэтому вредоносная программа не может установить состав и архитектуру локальной сети. Все перечисленным классам устройств, несмотря на их преимуществ, присущ существенный недостаток – они не способны анализировать содержимое поля данных, обрабатывая МАС- и ІР-адреса, служебные поля и заголовки пакетов. Следующие устройства избавлены от этого недостатка.
Все перечисленным классам устройств, несмотря на их преимуществ, присущ существенный недостаток – они не способны анализировать содержимое поля данных, обрабатывая МАС- и ІР-адреса, служебные поля и заголовки пакетов. Следующие устройства избавлены от этого недостатка.
- Посредники прикладного уровня. Эффективная технология, схожая по принципу действия со шлюзами сеансового уровня, однако программное обеспечение работает с содержимым пакетов, умея распознавать его контекст, обеспечивает защиту на прикладном уровне.
- Инспекторы состояния. Наиболее интеллектуальный и сложный вид аппаратных файерволов, совмещающий принципы действия обозначенных ранее технологий.
Как выбрать аппаратный файервол
В том случае, когда принято решение для защиты от внешнего вредного проникновения в локальную сеть купить аппаратный межсетевой экран, нужно ответственно подойти к выбору конкретной модели. Прежде всего, учитывая характеристики сети и задачи, которые предстоит решать устройству, необходимо определить класс защиты.
Затем можно приступать к выбору оборудования по типу интерфейса (Fast Ethernet, Gigabit Ethernet) и максимальной пропускной способности (от 100 Мбит/с и выше).
На рынке представлены межсетевые экраны с набором дополнительных функций: наличие USB-порта, интерфейса SFP для соединения оптоволоконного кабеля, функцией питания от сети POE, предустановленными дополнительными антивирусными и антиспамными программами, возможностью установки в 19” стойку и другими.
Где купить межсетевой экран
Компания «Сетевуха» предоставляет широкий выбор аппаратных межсетевых экранов разных классов и типов, с возможностью выбора дополнительных функций. В наличии устройства надежных и широко известных брендов.
Квалифицированные специалисты компании помогут определить модель необходимого сетевого экрана firewall, окажут необходимые консультации.
Для того, чтобы купить аппаратный фаервол, для крупных локальных сетей или для малого бизнеса, нет необходимости посещать «Сетевуху» лично. Компания доставит выбранный товар в любой населенный пункт Украины.