Выше рассматривались пакетные фильтры и было показано, что недостаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из имевших место ранее соединений и других приложений, используется для принятии окончательного решения о текущей попытке установления соединения. В зависимости от типа проверяемого пакета, для принятия решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.
Таким образом, для обеспечения наивысшего уровня безопасности, МЭ должен уметь считывать, анализировать и использовать следующую информацию:
o Информацию о соединении - информацию со всех уровней модели.
o Состояние соединения - состояние, полученное из предыдущих пакетов.Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки встречного входящего соединения FTP data.
o Состояние приложения - информация о состоянии, полученная из другихприложений. Например, когда-либо авторизованному пользователю был разрешен доступ через firewall только для разрешенных типов сетевых протоколов.
Кроме того, МЭ должен уметь выполнять действия над передаваемой информацией в зависимости от всех вышеизложенных факторов.
Stateful Inspection - технология нового поколения, удовлетворяет всем требованиям к безопасности, приведенным выше.
Технология инспекции пакетов с учетом состояния протокола на сегодня является наиболее передовым методом контроля трафика (она разработана и запатентована компанией Check Point Software Technologies).
Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного процесса-посредника (proxy) для каждого защищаемого протокола или сетевой службы. В результате достигаются высокие показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, МЭ обеспечивает наивысший уровень безопасности. Метод stateful inspection обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает максимально возможный уровень безопасности, контролируя соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать соединения только на 5 - 7 уровнях.
Обработка нового соединения при этом осуществляется следующим образом:
После того как соединение занесено в таблицу, обработка последующих пакетов этого соединения происходит на основе анализа таблиц.
Метод stateful inspection обеспечивает контроль не только на уровне соединения, но и на прикладном уровне.
Варианты расположения МЭ
Вопрос размещения МЭ в корпоративной сети рассматривается с учетом конкретных особенностей уже имеющихся средств защиты, целей подключения и т. д. Однако можно выделить несколько общих схем, приемлемых для большинства конфигураций.
Простейшая схема подключения 1 приведена на Рис. 4.23.2 Внутренняя сеть отделена от внешней маршрутизатором с фильтрацией пакетов. Разумеется, этого недостаточно для организации полноценной защиты.
В схеме 2 (Рис. 4.23.3) дополнительно используется МЭ 2-го или 3-го типа (посредник) или 4-го типа (Stateful Inspection). Это, вероятно, одна из самых популярных схем подключения МЭ.
Область сети между пакетным фильтром и основным МЭ часто используется для расположения там дополнительных МЭ. Например, это может быть выделенный посредник для какой-либо службы (Web, почта) как на Рис. 4.23.4
Это может быть и система анализа содержимого (МЭ 5-го типа) как на Рис 4.23.5
Область между пакетным фильтром и основным МЭ играет существенную роль при построении защиты периметра. Эта область называется демилитаризованной зоной и служит для размещения в ней следующих узлов:
o Средств защиты (дополнительных МЭ, систем обнаружения атак)
o Серверов Web, SMTP, DNS и других, требующих доступа снаружи.
Существует два способа организации демилитаризованной зоны:
o Граничная сеть (рассмотренная в схемах выше)
o Тупиковая сеть (Рис. 4.23.6)
Второй вариант (тупиковая сеть) предполагает использование отдельного сетевого интерфейса МЭ для организации демилитаризованной зоны. По соображениям производительности первый вариант (граничная сеть) предпочтительнее.
Приведённые схемы расположения МЭ могут быть дополнены с учётом особенностей подключения к Internet, требований к безопасности и других факторов.
