Брандмауэр (firewall, сетевой экран) является неотъемлемой составляющей системы безопасности сети. Термин «firewall» подразумевает защиту от опасности: как противопожарная перегородка в автомобиле защищает пассажиров от двигателя, так сетевой экран защищает сеть от внешнего мира.
Компьютер-брандмауэр позволяет жестко управлять взаимодействием систем вашей сети и внешнего мира.
Идея брандмауэра довольно проста. Это некая заслонка, фильтрующая весь трафик, которым обмениваются защищенная и внешняя сети. На практике, это обычно заслонка между сетью предприятия и Интернетом. Создание централизованного фильтра упрощает задачу наблюдения за трафиком и позволяет сконцентрировать усилия по обеспечению безопасности в одной точке.
Существуют различные варианты реализации брандмауэров. Более того, различных типов брандмауэров существует так много, что термин практически потерял свою значимость. Если кто-то говорит, что защищен брандмауэром, нельзя с уверенностью сказать, что именно этот человек имеет в виду. Рассмотрение различных типов архитектур брандмауэров требует целой книги - например «Создание защиты в Интернете» (Building Internet Firewalls) от O'Reilly & Associates. Здесь мы рассмотрим архитектуру экранированной подсети (вероятно, наиболее распространенную архитектуру брандмауэров) и архитектуру многосетевого узла - по сути дела, представляющую экран в себе.
Наиболее распространенная архитектура брандмауэра включает по меньшей мере четыре аппаратных элемента: внешний маршрутизатор, защищенный сервер (известный как узел-бастион), сетевой периметр и внутренний маршрутизатор. Каждый аппаратный элемент обеспечивает определенный аспект функционирования общей схемы защиты. Архитектура представлена на рис. 12.4.
Внешний маршрутизатор - единственный канал между сетью предприятия и внешним миром. Он осуществляет минимальное управление доступом. Маршрутизатор проверяет, что адреса пакетов, приходящих из внешнего мира, не принадлежат внутренней сети.
Если номер нашей сети 172.16, внешний маршрутизатор удаляет все пришедшие через внешний интерфейс пакеты, адрес которых начинается с 172.16. Пакеты с такими адресами ис точников должны приходить на маршрутизатор только через внутренний интерфейс. Специалисты по безопасности называют такой тип управления доступом фильтрацией пакетов.
Большую часть работы по управлению доступом выполняет внутренний маршрутизатор. Он фильтрует пакеты не только на основе адреса, но также на основе протокола и номеров портов, что позволяет контролировать службы, доступные как внутри сети, так и вне ее. Какие службы блокирует данный маршрутизатор, решает администратор системы. Если вы планируете использовать брандмауэр, доступ к службам должен быть регламентирован в руководящем документе по безопасности. Практически любая служба может оказаться угрозой безопасности системы. Подобные угрозы следует оценивать в свете общих требований к безопасности. Службы, предназначенные только для внутренних пользователей (NIS, NFS, X-Windows и др.), блокируются практически всегда. Службы, разрешающие запись на внутренние системы (Telnet, FTP, SMTP и т. д.), обычно блокируются. Службы, предоставляющие сведения о внутренних системах (DNS, fingerd и т. д.), обычно блокируются. Доступных служб практически не остается! И здесь в игру вступают узел-бастион и сетевой периметр.
Узел-бастион - это защищенный сервер. Он является точкой соприкосновения сети предприятия и внешнего мира - в том, что касается служб с ограниченным доступом. Некоторые из служб, заблокированных внутренним шлюзом, могут оказаться тем, ради чего создавалась сеть. Такие жизненно необходимые службы работают безопасным образом на узле-бастионе. Одни службы узел-бастион предоставляет самостоятельно (в частности, DNS, почтовые службы SMTP, а также анонимный FTP-доступ), другие представлены посредническими службами (proxy services). Когда узел-бастион выступает в роли прокси-сервера, внутренние клиенты подключаются ко внешнему миру через узел-бастион, а внешние системы отвечают внутренним клиентам через этот же узел.
Узел-бастион, таким образом, имеет возможность контролировать проходящий в обе стороны трафик в желательной степени.
Защищенных серверов может быть (и часто бывает) несколько. Сетевой периметр объединяет такие серверы, а также связывает внешний и внутренний маршрутизаторы. Системы сетевого периметра гораздо более подвержены атакам, чем системы внутренней сети. Так оно и должно быть. В конце концов, защищенные серверы нужны, чтобы предоставлять доступ к службам как для внешних, так и для внутренних клиентов. Изоляция систем, которые должны быть доступны внешнему миру, в отдельной сети сокращает возможность того, что нарушение безопасности одной из систем этой сети приведет к нарушению безопасности системы из внутренней сети.
Архитектура многосетевого узла - это попытка сочетать все описанные функции брандмауэра на одном компьютере. Маршрутизатор IP заменяется многосетевым узлом, который не выполняет пересылку пакетов на уровне IP. Многосетевой узел, по существу, разрывает связь между внутренней и внешней сетями. Чтобы дать внутренней сети определенный уровень подключения, такой узел выполняет функции, сходные с функциями узла бастиона. На рис. 12.5 представлены различия IP-маршрутизатора и брандмауэра на базе многосетевого узла. Маршрутизатор передает пакеты через уровень IP. Передача для каждого пакета основывается на конечном адресе, а также маршруте к этому конечному адресу, существующем в таблице маршрутизации. Узел же не просто пересылает пакеты. Многосетевой узел способен обрабатывать пакеты на прикладном уровне, что дает ему полный контроль над тем, как именно обрабатываются пакеты.
Рис. 12.5. Брандмауэры против маршрутизаторов
Такое определение брандмауэра - устройство, не имеющее ничего общего с маршрутизатором IP, - не является повсеместно принятым. Некоторые склонны называть брандмауэрами маршрутизаторы с функциями экранирования, но по большому счету это все - вопрос семантики. В настоящей книге маршрутизаторы с функциональностью для обеспечения безопасности называются «защищенными маршрутизаторами» или «защищенными шлюзами». Брандмауэры, хоть и могут сочетаться с маршрутизаторами, не просто фильтруют пакеты.