Аппаратный брандмауэр — внешняя система безопасности

Даже новички, как правило, знают, что это неотъемлемая часть надежной концепции безопасности, но что же такое брандмауэр? Проще говоря, брандмауэр — это система защиты, которая защищает как отдельные компьютеры, так и целые компьютерные сети от несанкционированных попыток внешнего доступа.

Конечно, эти полезные системы безопасности имеют гораздо больше возможностей, чем приведенное выше краткое описание. Системы брандмауэров основаны на программных компонентах, при установке которых указывается, работает ли брандмауэр как персональный или как внешний брандмауэр. Первый, который также называют настольным брандмауэром, представляет собой наиболее известный компонент защиты для частных компьютеров, в то время как второй чаще всего используется для защиты целых сетей. О том, чем эти две системы отличаются друг от друга и какие методы они используют для защиты компьютерных систем, читайте в следующих параграфах.

Основное различие между этими двумя вариантами брандмауэров можно увидеть в различных компонентах, которые они используют: персональный брандмауэр (также известный как настольный или программный брандмауэр) предлагает чисто программное решение, которое устанавливается на компьютер, подлежащий защите. После установки это программное обеспечение контролирует трафик данных, проходящий между этим компьютером и соответствующей сетью. Некоторые операционные системы, например Windows, включают такие опции в состав своих программных пакетов.

На другом конце спектра находится внешний брандмауэр. Этот вариант состоит из комбинации программных и аппаратных компонентов. Они располагаются между различными компьютерными сетями и контролируют трафик данных, проходящий между ними; именно поэтому такие системы иногда называют сетевыми или аппаратными брандмауэрами. Другими словами, внешний брандмауэр — это отдельное устройство, которое с помощью встроенных сетевых интерфейсов соединяет различные сети друг с другом. Для того чтобы контролировать этот трафик данных, на этих устройствах устанавливаются программы межсетевого экрана, а в некоторых случаях и операционные системы.

Аппаратные брандмауэры гораздо сложнее персональных брандмауэров, то есть программных брандмауэров. И хотя они, безусловно, являются более дорогим вариантом, они представляют собой более надежное решение для обеспечения безопасности. Более того, учитывая, что программное обеспечение не работает на системе, которую оно должно защищать, им сложнее манипулировать. В отличие от этого, после отключения программного брандмауэра система, по сути, становится беззащитной, и часто пользователи остаются в неведении относительно потенциально катастрофических событий. Однако аналогичная атака на сетевой брандмауэр приведет к полному отключению системы устройства, что заблокирует как входящий, так и исходящий трафик данных до тех пор, пока не будет произведена перезагрузка.

Этот повышенный фактор безопасности является основной причиной того, что аппаратные брандмауэры являются предпочтительным решением как для центров обработки данных, так и для компьютерных систем, требующих серьезной защиты. По этой причине нередко трафик конфиденциальных данных, например, корпоративных сетей, контролируется — с серверами или без них — профессиональными внешними брандмауэрами. Установка программных брандмауэров для каждой компьютерной системы в отдельности потребовала бы гораздо больше усилий, поскольку все установки также требуют дополнительной настройки. Еще одним фактором, который следует учитывать, является более высокая стоимость, поскольку для каждого компьютера потребуется отдельная лицензия на установку. И, как уже говорилось выше, возрастает риск безопасности.

Учитывая, что они недороги и просты в установке, персональные брандмауэры особенно хорошо подходят для частного использования на домашних компьютерах и, как правило, могут быть легко настроены неопытными пользователями. Потребности небольших компаний с более простыми сетями также могут быть удовлетворены программными брандмауэрами, если они правильно настроены. При наличии необходимого бюджета и ноу-хау для установки этот вариант также может стать полезным дополнением к аппаратным брандмауэрам.  

Как уже упоминалось, сетевые брандмауэры особенно популярны для защиты обмена конфиденциальными данными. Часто они защищают сети, подключенные к Интернету. Также возможно подключение к дополнительной частной сети, представляющей потенциальную угрозу безопасности. В принципе, аппаратные брандмауэры можно настроить индивидуально, установив соответствующее программное обеспечение брандмауэра на подходящее устройство и усилив операционную систему. Эти шаги делают установку практически неуязвимой для внешних атак. Усиление может быть достигнуто только с помощью программ, которые требуются операционной системе. Гораздо более простой вариант — использовать устройство межсетевого экрана. Это система, состоящая из аппаратного обеспечения, упрочненной операционной системы и специально разработанного программного обеспечения брандмауэра. Главное здесь — уметь различать следующие три типа:

• Межсетевой экран: два физически разделенных сегмента сети соединяются на канальном уровне (уровень 2) модели OSI, что делает межсетевой экран практически невидимым и более устойчивым к атакам. Входящие и исходящие данные передаются только в том случае, если они также расположены на этом нижнем уровне. Мостовой брандмауэр также может обращаться к более высоким уровням протокола, чем типичные мосты, при фильтрации IP-адресов и портов.

• Маршрутизирующий брандмауэр: маршрутизирующие брандмауэры являются наиболее распространенным типом аппаратных брандмауэров и используются практически во всех устройствах для частного использования, таких как DSL-маршрутизаторы. По сравнению с мостовыми брандмауэрами, этот тип брандмауэра работает непосредственно на сетевом уровне (уровень 3) или выше и напрямую фильтрует IP-адреса и порты, что делает его видимым для всех в сети и потенциально уязвимым для атак.

• Прокси-брандмауэр: здесь брандмауэр работает как прокси между сетями источника и назначения. Ни одна из систем на обеих сторонах сети не устанавливает прямого соединения и поэтому не получает никаких пакетов, созданных непосредственно системой назначения. Таким образом, хакерам сложно узнать, где находится защищенная сеть компании. Учитывая, что прокси-брандмауэры работают на прикладном уровне (уровень 7), они способны принимать гораздо более конкретные решения по обеспечению безопасности, чем маршрутизирующие и мостовые брандмауэры. И наоборот, их использование приводит к потере производительности и требует значительного количества ноу-хау в отношении конфигурации.

Фильтрация пакетов играет наиболее важную роль, когда речь идет о соответствующих функциях различных типов аппаратных брандмауэров. При этом методе брандмауэр принимает решение на основе определенного вручную набора правил о том, какие пакеты данных должны быть переданы, а какие нет. Для этого брандмауэр работает на уровнях OSI 3 и 4, то есть на сетевом и транспортном уровнях, и проверяет пакет на наличие свойств, расположенных в соответствующем заголовке протокола. Здесь возможны точные IP-адреса или порты, которые либо разрешены, либо заблокированы в соответствии с правилами и нормами.

С помощью вышеупомянутого моста или коммутатора, который является своего рода расширением моста, фильтрация пакетов может осуществляться на канальном уровне (втором уровне) модели OSI. Там фильтрация пакетов осуществляется не на основе IP-адреса, а на основе MAC-адресов, которые используются для аппаратной адресации.

Кроме того, после расширения межсетевые экраны могут осуществлять фильтрацию с помощью методов проверки, ориентированных на состояние (stateful packet inspection, SPI). Для этого фильтрация пакетов, которая обычно ограничивается уровнями 3 и 4, также включает в себя прикладной уровень (уровень 7) и записанные данные приложений, находящиеся там. В отличие от прокси-брандмауэров, которые также имеют доступ к этому уровню, SPI не позволяет изменять эти данные.