При описі правил доступу використовуються такі параметри як назва сервісу, ім'я користувача, допустимий часовий діапазон використання сервісу, комп'ютери, з яких можна користуватися сервісом, схеми аутентифікації. Сервера протоколів прикладного рівня дозволяють забезпечити найбільш високий рівень захисту - взаємодія із зовнішнім світом реалізується через невелике число прикладних програм, повністю контролюючих весь вхідний трафік.

Сервера сеансового рівня.

Сервер сеансового рівня вдає із себе транслятор TCP з'єднання. Користувач утворює з'єднання з певним портом на брандмауері, після чого останній проводить з'єднання з місцем призначення по іншу сторону від брандмауера. Під час сеансу цей транслятор копіює байти в обох напрямах, діючи як дріт.

Як правило, пункт призначення задається наперед, тоді як джерел може бути багато ( з'єднання типу один - багато). Використовуючи різні порти, можна створювати різні конфігурації.

Такий тип сервера дозволяє створювати транслятор для будь-якого визначеного користувачем сервісу, що базується на TCP, здійснювати контроль доступу до цього сервісу, збір статистики по його використанню.

Порівняльні характеристики

Нижче приведені основні переваги і недоліки пакетних фільтрів і серверів прикладного рівня щодо один одного.

До позитивних якостей пакетних фільтрів слід віднести наступні:

відносно невисока вартість;

гнучкість у визначенні правил фільтрації;

невелика затримка при проходженні пакетів.

Недоліки у даного типу брандмауерів наступні :

локальна мережа видна ( маршрутизується ) з INTERNET;

правила фільтрації пакетів важкі в описі, потрібні дуже хороші знання технологій TCP і UDP;

при порушенні працездатності брандмауера всі комп'ютери за ним стають повністю незахищеними або недоступними;

аутентифікацію з використанням IP-адреси можна обдурити використанням IP-спуфінга (атакуюча система видає себе за іншу, використовуючи її IP-адресу);

відсутня аутентифікація на призначеному для користувача рівні.

До переваг серверів прикладного рівня слід віднести наступні:

локальна мережа невидима з INTERNET;

при порушенні працездатності брандмауера пакети перестають проходити через брандмауер, тим самим не виникає загрози для машин, що захищаються ним;

захист на рівні додатків дозволяє здійснювати велику кількість додаткових перевірок, знижуючи тим самим вірогідність злому з використанням дірок в програмному забезпеченні;

аутентифікація на призначеному для користувача рівні може бути реалізована система негайного попередження про спробу злому.

Недоліками цього типу є:

вища, ніж для пакетних фільтрів вартість;

неможливість використанні протоколів RPC і UDP;

продуктивність нижча, ніж для пакетних фільтрів.

Віртуальні мережі

Ряд брандмауерів дозволяє також організовувати віртуальні корпоративні мережі ( Virtual Private Network), тобто об'єднати декілька локальних мереж, включених в INTERNET в одну віртуальну мережу. VPN дозволяють організувати прозоре для користувачів з'єднання локальних мереж, зберігаючи секретність і цілісність передаваної інформації за допомогою шифрування. При цьому при передачі по INTERNET шифруються не тільки дані користувача, але і мережева інформація - мережеві адреси, номери портів і т.д.

Схеми підключення

Для підключення брандмауерів використовуються різні схеми. Брандмауер може використовуватися як зовнішній роутер, використовуючи підтримувані типи пристроїв для підключення до зовнішньої мережі (1). Іноді використовується схема, зображена на рис.2.1.2, проте користуватися нею слід тільки в крайньому випадку, оскільки потрібна дуже акуратна настройка роутерів і невеликі помилки можуть утворити серйозні дірки в захисті інформації.

Рис.2.1.2

Якщо брандмауер може підтримувати два Ethernet інтерфейси (так званий dual-homed брандмауер), то найчастіше підключення здійснюється через зовнішній маршрутизатор (рис.2.1.3).

Рис.2.1.3

При цьому між зовнішнім роутером і брандмауером є тільки один шлях, по якому йде весь трафік. Зазвичай роутер настроюється таким чином, що брандмауер є єдиною видимою зовні машиною. Ця схема є найбільш поширеною з погляду безпеки і надійності захисту.

Інша схема представлена на рис.2.1.4.

Рис.2.1.4

При цьому брандмауером захищається тільки одна підмережа з декількох що виходять з роутера. У області, що не захищається брандмауером, часто розташовують сервери, які повинні бути видимі зовні (WWW, FTP і т.д.). Деякі брандмауери пропонують розмістити ці сервера на ньому самому - рішення, далеко не краще з погляду завантаження машини і безпеки самого брандмауера

Існують рішення (2.1.5), які дозволяють організувати для серверів, які повинні бути видимі зовні, третю мережу; це дозволяє забезпечити контроль за доступом до них, зберігаючи в той же час необхідний рівень захисту машин в основній мережі.

Рис.2.1.5

При цьому достатньо багато уваги приділяється тому, щоб користувачі внутрішньої мережі не могли випадково або умисне відкрити дірку в локальну мережу через ці сервера. Для підвищення рівня захищеності можливо використовувати в одній мережі декілька брандмауерів, що стоять один за одним.

2.2. Адміністрування брандмауера на базі ОС Linux

Легкість адміністрування є одним з ключових аспектів в створенні ефективної і надійної системи захисту. Помилки при визначенні правил доступу можуть утворити дірку, через яку може бути зламана система. Тому в більшості брандмауерів реалізовані сервісні утиліти, що полегшують введення, видалення, переглядання набору правил. Наявність цих утиліт дозволяє також проводити перевірки на синтаксичні або логічні помилки при введенні або редагування правив. Як правило, ці утиліти дозволяють проглядати інформацію, згруповану по критеріям, - наприклад, все що відноситься до конкретного користувача або сервісу.

Безпека сервера

Імовірно область безпеки, у якій сконцентровано максимум зусиль, - це безпека сервера. Звичайно це має на увазі постійний контроль безпеки вашої власної системи, і надію, що всі інші у вашій мережі роблять те ж. Вибір надійних паролів, підтримка безпеки сервісів локальної мережі вашого сервера, підтримка надійних реєстраційних записів, і відновлення програм, у яких виявлені "діри" - от деякі з тих речей, за виконання яких відповідає локальних адміністратор безпеки.

Безпека локальної мережі

Безпека мережі також необхідна як і безпека локального сервера. У вашій одиничній системі, розподіленій обчислювальній мережі, Інтернеті, існують сотні, якщо не тисячі, комп'ютерів з'єднані в одну мережу, і ви