Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых адресов или портов на внешние, используемые за пределами ЛВС.
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
- обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
- происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
- отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
- традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
- персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
- сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
- сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
- уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
- Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
- stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
- stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
Программы:
Outpost Firewall Pro
• Передовой фаервол для безопасных соединений с Сетью;
• Антишпион-сканер для полноценной защиты от шпионского ПО - spyware;
• Модуль "Локальная безопасность" с превентивной защитой для блокировки неизвестных угроз;
• Веб-контроль для предотвращения возможности посещения опасных интернет-ресурсов.
Продукты линейки Outpost Pro версии являются полностью новыми разработками Agnitum, обладающими привлекательным и эргономичным интерфейсом.
• Антишпион-сканер для полноценной защиты от шпионского ПО - spyware;
• Модуль "Локальная безопасность" с превентивной защитой для блокировки неизвестных угроз;
• Веб-контроль для предотвращения возможности посещения опасных интернет-ресурсов.
Продукты линейки Outpost Pro версии являются полностью новыми разработками Agnitum, обладающими привлекательным и эргономичным интерфейсом.
ZoneAlarm Firewall
Бесплатный фаервол ZoneAlarm Free Firewall блокирует проникновение хакеров, скрывая систему от нежелательного сетевого трафика.
В режиме реального времени отслеживает активность всех приложений, работающих через Интернет, и позволяет разрешить или запретить доступ в сеть отдельным приложениям.
ZoneAlarm Firewall также защищает от вирусов, которые замедляют производительность системы, и программ-шпионов spyware, крадущих личную информацию, пароли, финансовые данные.
В режиме реального времени отслеживает активность всех приложений, работающих через Интернет, и позволяет разрешить или запретить доступ в сеть отдельным приложениям.
ZoneAlarm Firewall также защищает от вирусов, которые замедляют производительность системы, и программ-шпионов spyware, крадущих личную информацию, пароли, финансовые данные.
