Термин "Брандмауэр"

Брандмауэр

Этот термин заимствован из немецкого языка. Он означает то же, что и английское «фаерволл», правда, исключительно в изначальном значении – стена, которая предохраняет здания от пожара, надежно разделяя их. Что интересно, говоря о компьютерной технологии, все немцы употребляют именно английское «Firewall». По сути же, это – одна из разновидностей сетевого экрана.

Все сетевые экраны принято подразделять по некоторым признакам в зависимости от:

• 
  
  возможности обеспечения соединения с сетью одного узла или же нескольких;
• 
  уровня сетевых протоколов, которые контролируются;
• 
  возможности отслеживания состояния активных соединений.

Если мы говорим об охвате контролируемых потоков данных, то сетевые экраны бывают традиционными (программа на шлюзе) и персональными (на пользовательском компьютере). Вырожденным случаем принято называть использование традиционного экрана сервером для того, чтобы ограничить нештатный доступ к собственным ресурсам и возможностям.

Уровень доступа контролируется на основе адресов отправителей, сеансовом уровне, а также уровне приложений. Некоторые решения, которые чаще всего относят к экранам последнего класса (уровня приложения), на самом деле представляют собой прокси-сервер. В данном случае фильтрация получается заметно более гибкой. Правда, у данной системы есть и свои недостатки.

В плане отслеживания активного соединения сетевые экраны подразделяются на stateless (простой фильтрации) и stateful (фильтрация с учётом контекста). Такие решения дают возможность бороться с некоторыми видами DoS-атак, а также уязвимостью некоторых сетевых протоколов. Некоторые продукты могут быть несовместимы с stateless-протоколом.

Среди наиболее востребованных возможностей брандмауэра – выборочная фильтрация доступа к службам, которые заведомо незащищены, а также препятствование получению информации с закрытым общим доступом (например, в защищенной подсети). В частности, оператор получает контроль доступа к различным узлам сети, а также может регистрировать любые попытки внешнего доступа (в некоторых случаях – еще и из внутренней сети). Кроме того, немаловажным является регламентирование порядка доступа к конкретной сети. Впрочем, следует учитывать, что межсетевой экран – вовсе не панацея от всех бед.Если мы говорим об охвате контролируемых потоков данных, то сетевые экраны бывают традиционными (программа на шлюзе) и персональными (на пользовательском компьютере). Вырожденным случаем принято называть использование традиционного экрана сервером для того, чтобы ограничить нештатный доступ к собственным ресурсам и возможностям.

Уровень доступа контролируется на основе адресов отправителей, сеансовом уровне, а также уровне приложений. Некоторые решения, которые чаще всего относят к экранам последнего класса (уровня приложения), на самом деле представляют собой прокси-сервер. В данном случае фильтрация получается заметно более гибкой. Правда, у данной системы есть и свои недостатки.

В плане отслеживания активного соединения сетевые экраны подразделяются на stateless (простой фильтрации) и stateful (фильтрация с учётом контекста). Такие решения дают возможность бороться с некоторыми видами DoS-атак, а также уязвимостью некоторых сетевых протоколов. Некоторые продукты могут быть несовместимы с stateless-протоколом.

Среди наиболее востребованных возможностей брандмауэра – выборочная фильтрация доступа к службам, которые заведомо незащищены, а также препятствование получению информации с закрытым общим доступом (например, в защищенной подсети). В частности, оператор получает контроль доступа к различным узлам сети, а также может регистрировать любые попытки внешнего доступа (в некоторых случаях – еще и из внутренней сети). Кроме того, немаловажным является регламентирование порядка доступа к конкретной сети. Впрочем, следует учитывать, что межсетевой экран – вовсе не панацея от всех бед.