Помимо защиты отдельных компьютеров и серверов, подключённых к сети, необходимо контролировать прохождение трафика через сеть в различных направлениях.
Межсетевой экран — одно из наиболее эффективных средств безопасности для защиты пользователей сети от внешних угроз. Межсетевой экран разделяет две или более сети и осуществляет контроль проходящего между ними трафика, одновременно предотвращая попытки несанкционированного доступа. В межсетевых экранах используются различные методы определения разрешённого и запрещённого доступа к сети. Эти методы перечислены ниже.
- Фильтрация пакетов — запрет или разрешение доступа на основе IP- или MAC-адресов.
- Фильтрация по приложениям — запрет или разрешение доступа для конкретных типов приложений на основе номеров портов.
- Фильтрация по URL-адресам — запрет или разрешение доступа к веб-сайтам на основе конкретных URL-адресов или ключевых слов.
- Анализ пакетов с учётом состояний соединений (SPI) — входящие пакеты должны представлять собой легитимные отклики на запросы внутренних узлов. Не запрошенные пакеты блокируются, если они не разрешены в явном виде. SPI также предоставляет возможность распознавать и блокировать конкретные типы атак, например атаку «отказ в обслуживании» (DoS-атака).
Межсетевые экраны поддерживают один или несколько подобных механизмов фильтрации и блокирования. Кроме того, межсетевые экраны часто выполняют преобразование сетевых адресов (NAT). NAT переводит внутренние IP-адреса и их группы во внешние публичные IP-адреса, которые передаются по сети. При этом внутренние IP-адреса скрыты от внешних пользователей.
Решения для межсетевых экранов предоставляются в различных типах пакетов, как показано на рисунке.
- Аппаратные межсетевые экраны — это выделенные устройства, называемые устройством защиты.
- Серверные межсетевые экраны — это приложения межсетевого экрана, выполняемые в сетевой операционной системе (NOS), например UNIX, Windows или Novell.
- Интегрированные межсетевые экраны — дополняет возможности существующего устройства (например маршрутизатора) функциями межсетевого экрана.
- Персональные межсетевые экраны — размещаются на узлах и не рассчитаны на защиту локальной сети в целом. Они могут быть реализованы в ОС по умолчанию или установлены сторонним поставщиком.