Компромисс между типами межсетевых экранов — более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Это напрямую касается и межсетевых экранов. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов.

В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Проблемы в сфере сертификации МЭ

Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов.

Отсутствие защиты новых сетевых сервисов

Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана. Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа.

Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах.

Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. В этом случае помогут средства анализа защищенности. Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности.

Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. Будучи заинтересованным человеком в области сертификации СЗИ, решил изложить некоторые мысли по сертификации межсетевых экранов. Межсетевые экраны фильтруют весь входящий/исходящий трафик, которые проходит через личную систему каждого пользователя.

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать.