Идентификация и аутентификация пользователей

Кроме разрешения или запрещения допуска различных приложений в сеть межсетевые экраны могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном.

Прежде чем пользователю будет предоставлено право на какой-либо сервис, необходимо убедиться, что он действительно тот, за кого себя выдает. Идентификация и аутентификация пользователей являются важными компонентами концепции межсетевых экранов. Идентификация и аутентификация пользователя чаще осуществляются при предъявлении обычного идентификатора (имени) и пароля (рис. 2).

Трансляция сетевых адресов

Для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию всей сети, межсетевые экраны выполняют очень важную функцию - трансляцию внутренних сетевых адресов (networkaddresstranslation, NAT).

Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов выполняется автоматическое преобразование IP-адресов компьютеров-отправителей в один «надежный» IP-адрес.

Трансляция внутренних сетевых адресов может осуществлять двумя способами: динамически и статически. В первом случае адрес выделяется узлу в момент обращения к firewall. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу firewall, из которого передаются все исходящие пакеты. IP-адрес firewall становится единственным активным IP-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными firewall, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.

При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например в Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети.

Проблемы безопасности МЭ

Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Наряду с описанными выше достоинствами межсетевых экранов существуют ограничения в их использовании и ряд угроз безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов.

Возможное ограничение пропускной способности. Традиционные межсетевые экраны являются потенциально узким местом сети, так как все соединения должны проходить через межсетевой экран.

Отсутствие встроенных механизмов защиты от вирусов. Традиционные firewalls не могут защитить от пользователей, загружающих зараженные вирусами программы из архивов Internet или при передаче таких программ в качестве приложений к письму. Проблема вирусов может быть решена с помощью других антивирусных мер защиты.

Отсутствие эффективной защиты от получаемого из Internet опасного содержимого - апплетов Java, управляющих элементов ActiveX, кода Shockwave, сценариев JavaScript, Jscipt и VBScript и т.п. - с помощью этих технологий можно выполнить большое число несанкционированных действий на компьютере.

Межсетевой экран, как любое другое средство, не может защитить от ошибок и некомпетентности администраторов и пользователей. Экранирующая система не защищает также от нападения по не контролируемым ею каналам связи.

Традиционные МЭ являются, по существу, средствами, только блокирующими атаки. В большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. Для организации упреждения атак необходимо использовать средства обнаружения вторжений которые будут рассмотрены в следующей главе.

Для защиты информационных ресурсов корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.