5)«Мэ экспертного уровня»

Они сочетают в себе элементы 3-х предыдущих видов МЭ, т.е. прикладного, сеансового и сетевого. Как МЭ с фильтрацией пакетов, они работают на сетевом уровне, фильтруя вх. и исх. Пакеты, на основе IPадресов и номеров портов. Они выполняют функции МЭ сеансового уровня, также выполняют функции прикладного уровня проверяя содержимое каждого пакета в соответствии с использованной политикой безопасности.

Но в отличие от МЭ прикладного уровня, при анализе данных прикладного уровня, они не нарушают клиент-серверные модели взаимодействия и допускают прямые соединения между клиентами и внешними хостами. Вместо программ посредников используются специальные алгоритмы распознавания и обработки данных на уровне приложения.

Недостаток:прямое соединение.

Иллюстрация, показывающая расположение сетевого экрана (Firewall) в сети.

20.Межсетевые экраны. Применение.

Межсетево́й экра́н, сетево́й экра́н, файерво́л, брандма́уэр — комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

ИСПОЛЬЗОВАНИЕ МЕЖСЕТЕВЫХ ЭКРАНОВ.

Размещение межсетевого экрана в качестве пограничного устройства между внутренней сетью (интранетом) и Интернетом позволяет контролировать весь исходящий и входящий интернет-трафик и управлять его прохождением. Между внутренней и внешней сетью создается четкий защитный рубеж. Однако некоторым внешним клиентам может потребоваться доступ к внутренним ресурсам. Для этого можно предусмотретьдемилитаризованную зону (DMZ).

В компьютерных сетях демилитаризованной зоной называется участок сети, доступный как внутренним, так и внешним пользователям. Он более защищен по сравнению с внешней сетью, но менее защищен по сравнению с внутренней сетью.

DMZ создается посредством использования одного или нескольких межсетевых экранов, разграничивающих внутреннюю сеть, DMZ и внешнюю сеть. В DMZ часто размещаются веб-серверы, открытые для доступа извне.

Конфигурация с одним межсетевым экраном.

Один межсетевой экран делит сетевое пространство на три зоны: внешняя сеть, внутренняя сеть и DMZ. Весь трафик поступает на межсетевой экран из внешней сети. Межсетевой экран должен контролировать трафик и принимать решение о его пересылке в DMZ или во внутреннюю сеть, либо о запрете пересылки.

Конфигурация с двумя межсетевыми экранами

В конфигурации с двумя межсетевыми экранами предусмотрены внутренний и внешний межсетевой экраны, между которыми располагается DMZ. Внешний межсетевой экран применяет менее строгие ограничения и разрешает доступ пользователей из Интернета в DMZ, а также сквозное прохождение трафика, запрошенного внутренними пользователями. Внутренний межсетевой экран применяет более строгие ограничения и защищает внутреннюю сеть от несанкционированного доступа.

Для небольших сетей с низким трафиком подходит конфигурация на основе одного межсетевого экрана, который, однако, является критической точкой отказа и может оказаться перегруженным. Конфигурация с двумя межсетевыми экранами целесообразна для крупных и сложных сетей со значительно большими объемами трафика.