1 межсетевые экраны с фильтрацией пакетов, 2 межсетевые экраны прикладного уровня, 3 межсетевые экраны с инспекцией пакетов – Инструкция по эксплуатации Zyxel P-2602H
Страница 198: С учетом состояния
Руководство пользователя cерии P-2602H/HW EE
198
Глава 13 Межсетевые экраны
13.2.1 Межсетевые экраны с фильтрацией пакетов
Межсетевые экраны с фильтрацией пакетов ограничивают доступ, исходя из
содержащихся в пакете данных о сетевом адресе источника/получателя и о типе
приложения.
13.2.2 Межсетевые экраны прикладного уровня
Межсетевые экраны прикладного уровня ограничивают доступ, выступая в качестве
промежуточных (прокси) серверов по отношению к внешним серверам. Используя
программы, написанные для определенных интернет-служб, например, HTTP, FTP и
telnet, они могут проверять корректность содержимого пакета с точки зрения
конкретных приложений. Шлюзы прикладного уровня в целом имеют много
преимуществ по сравнению с непосредственным пропусканием трафика на внутренние
хосты:
Сокрытие информации не позволяет извне находить имена внутренних систем
посредством DNS, поскольку шлюз прикладного уровня – единственный хост, название
которого сообщается внешним системам.
Мощный механизм аутентификации позволяет проверять подлинность трафика на
прикладном уровне до его поступления на внутренние хосты, а средства ведения
журналов обеспечивают большую эффективность, чем если бы эта операция
выполнялась на самом хосте. Правила фильтрации в маршрутизаторе с фильтрацией
пакетов могут быть менее сложными по сравнению с тем случаем, когда маршрутизатор
должен фильтровать трафик на прикладном уровне, пересылая его нескольким
системам. Маршрутизатору требуется только пересылать трафик прикладного уровня,
предназначенный для шлюза прикладного уровня, а остальной трафик не пропускать.
13.2.3 Межсетевые экраны с инспекцией пакетов с учетом
состояния
Динамические (stateful) межсетевые экраны ограничивают доступ, применяя к пакетам
с данными определенные правила доступа. Решения об управлении доступом
принимаются с учетом IP-адреса и протокола. Они также следят за потоком данных в
сеансе, проверяя целостность соединения и адаптируясь к динамическим протоколам.
Такие межсетевые экраны в целом обеспечивают наилучшую пропускную способность
и прозрачность, однако они могут иметь недостаточно развитые средства управления
доступом на прикладном уровне и средства кэширования, поддерживаемые многими
прокси-серверами. Более подробные сведения о динамическом анализе пакетов см. в
Межсетевые экраны различных типов стали неотъемлемой частью стандартных систем
безопасности на предприятиях.