1 межсетевые экраны с фильтрацией пакетов, 2 межсетевые экраны прикладного уровня, 3 межсетевые экраны с инспекцией пакетов – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

198

Глава 13 Межсетевые экраны

13.2.1 Межсетевые экраны с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов ограничивают доступ, исходя из
содержащихся в пакете данных о сетевом адресе источника/получателя и о типе
приложения.

13.2.2 Межсетевые экраны прикладного уровня

Межсетевые экраны прикладного уровня ограничивают доступ, выступая в качестве
промежуточных (прокси) серверов по отношению к внешним серверам. Используя
программы, написанные для определенных интернет-служб, например, HTTP, FTP и
telnet, они могут проверять корректность содержимого пакета с точки зрения
конкретных приложений. Шлюзы прикладного уровня в целом имеют много
преимуществ по сравнению с непосредственным пропусканием трафика на внутренние
хосты:

Сокрытие информации не позволяет извне находить имена внутренних систем
посредством DNS, поскольку шлюз прикладного уровня – единственный хост, название
которого сообщается внешним системам.

Мощный механизм аутентификации позволяет проверять подлинность трафика на
прикладном уровне до его поступления на внутренние хосты, а средства ведения
журналов обеспечивают большую эффективность, чем если бы эта операция
выполнялась на самом хосте. Правила фильтрации в маршрутизаторе с фильтрацией
пакетов могут быть менее сложными по сравнению с тем случаем, когда маршрутизатор
должен фильтровать трафик на прикладном уровне, пересылая его нескольким
системам. Маршрутизатору требуется только пересылать трафик прикладного уровня,
предназначенный для шлюза прикладного уровня, а остальной трафик не пропускать.

13.2.3 Межсетевые экраны с инспекцией пакетов с учетом

состояния

Динамические (stateful) межсетевые экраны ограничивают доступ, применяя к пакетам
с данными определенные правила доступа. Решения об управлении доступом
принимаются с учетом IP-адреса и протокола. Они также следят за потоком данных в
сеансе, проверяя целостность соединения и адаптируясь к динамическим протоколам.
Такие межсетевые экраны в целом обеспечивают наилучшую пропускную способность
и прозрачность, однако они могут иметь недостаточно развитые средства управления
доступом на прикладном уровне и средства кэширования, поддерживаемые многими
прокси-серверами. Более подробные сведения о динамическом анализе пакетов см. в

разд. 13.5 на стр. 204

.

Межсетевые экраны различных типов стали неотъемлемой частью стандартных систем
безопасности на предприятиях.