Модернизация файрволлов

Первоначально межсетевые экраны были разработаны для отделения одних сетей от других, и в тот момент они были дюже схожи на умственные маршрутизаторы, которые легко по IP-адресам и портам отправителя и получателя протокола фильтруют пакеты по установленным обладателями правилам, не давая внешним пользователям вероятность напрямую обращаться к корпоративной сети. Это было первое поколение межсетевых экранов.

После этого оказалось, что для охраны от внешних воздействий этого не довольно - шлюз не только должен руководить потоками информации, но и сам принимать участие в их обработке. Тогда межсетевые экраны начали снабжать функциями VPN, встроенными антивирусами, механизмами аутентификации пользователей и другими дополнительными средствами охраны. Впрочем они были дополнительными инструментами, а фильтрация по-бывшему выполнялась по ветхим критериям - по IP-адресам и номерам портов. Тем не менее сходственные шлюзовые продукты теснее невозможно было назвать firewall в изначальном значении этого термина - стеной, отделяющей один дом от иного для предотвращения распространения пожара. Они превратились и в ворота, и в паспортный контроль, и в таможню, и даже в "туннель под Ла-Маншем". Таким было второе поколение межсетевых экранов, и именно в этом направлении и прогрессировали межсетевые экраны в начале нулевых годов.

Сейчас наступает время третьего поколения, которое теснее окончательно теряет образ стены, как перегородки, отделяющей одну сеть от иной, потому как правила фильтрации в современных условиях обязаны быть основаны теснее не на IP-адресах и портах, но на пользователях и источниках, к которым они хотят получить доступ. Определенное оборудование (вернее его IP-адрес), с поддержкой которого данный доступ предоставляется, теснее не имеет значения. Такое метаморфоза парадигмы сетевой охраны в первую очередь связано с становлением мобильных спецтехнологий, которые размывают представление стены как преграды, отделяющей защищённую среду от допустимо опасной.

Помимо того, один веб-сервер, такой как портал либо общественная сеть, может предоставлять как пригодные для бизнеса сервисы, так и небезопасные. Следственно примитивный фильтрации по IP теснее не довольно - охрана должна понимать не только с каким источником имеет дело пользователь, но и какие виджеты и партлеты он при этом использует. То есть для фильтрации надобно верно определять не примитивно адрес обслуживания, но и его функциональные вероятности, а для этого изготовитель экрана должен сначала исследовать комплект сервисов веб-источника и даль заказчику вероятность руководить всем из них в отдельности.

Помимо этого межсетевые экраны обязаны понимать не только сетевое взаимодействие, но и больше высокие ярусы данных, такие как содержимое файлов. Причём это должна быть не примитивное идентификация типов файлов, но и выделение объектов внутри файлов с определением их потенциальной угрозы. Скажем, атака на RSA была исполнена с подмогой вредного кода, тот, что был в виде flash-сценария встроен в таблицу Excel. Дабы недопустить такое нападение межсетевой экран должен разбирать формат файлов Excel, а также уметь исследовать встроенный в него flash. Это обозначает, что в межсетевом экране должна быть система выявления вторжений, которая работает не только на сетевом ярусе, но также может исследовать содержимое передаваемых файлов.

Собственно, аналитики теснее некоторое время работают над пониманием новой функциональности межсетевого экрана. В конце 2009 года компания Gartner в частности опубликовала изложение межсетевого экрана нового поколения Next Generation Firewall (NGFW), в котором и описали видоизменения, которые обязаны претерпеть межсетевые экраны. За это время разработчики защитного ПО теснее начали реализовывать в своих продуктах предлагаемые доктрины, а компания NSS Labs даже разработала комплект тестов, тот, что проверяет является ли межсетевой экран NGFW и даже выдаёт сертификаты. Пока из присутствующих на русском рынке только Check Point объявила о прохождении тестов, впрочем и все остальные изготовители, скорее каждого, объявят о приобретении схожих итогов. Так что рынок межсетевых экранов в дальнейший год может крепко поменяться.
http://www.drwebseller.ru/2011/07/19-2011.html