Брандмауэры (как аппаратные, так и программные) позволяют определить, кто имеет право доступа в вашу сеть извне. Все брандмауэры реализуют те или иные правила; разница состоит в уровне детализации и простоте исполь-
зования, обеспечиваемой интерфейсом управления. В идеале брандмауэр позволяет решить три важнейшие задачи:
– задавать правила из интуитивно понятного графиче
ского интерфейса;
– управлять доступом вплоть до уровня индивидуаль
ных файлов и объектов;
– группировать файлы и объекты для коллективного при
менения к ним правил в целях упрощения управления.
На сетевом уровне управлять защитой с помощью
правил можно несколькими способами. Один из распространенных способов – с помощью адресации, когда пользователи приписываются к конкретной внутренней подсети для ограничения уровня их доступа. Фильтрация пакетов позволяет пропускать или блокировать пакеты в момент пересечения ими некоторых границ в зависимости от адреса отправителя или получателя.
Системы защиты функционируют на прикладном уровне; в этом случае системы или приложения, которым адресованы пакеты, запрашивают у пользователя пароль, проверяют его и затем предоставляют доступ в соответствии с предопределенными правилами.
Итак, как вы уже поняли, основа любой защиты – системный .подход. Для построения действительно эффективной защиты необходимо тщательно продумать ее. Для любого компьютера, «смотрящего» в сеть, критическое значение имеют три вещи:
– брандмауэр;
– антивирус;
– критические обновления для вашей операционной
системы.
Это справедливо как для домашнего компьютера, так и для подключенного к корпоративной сети. Давайте подробнее остановимся на каждом из этих пунктов.
Брандмауэр – это средство защиты от вторжения извне и от некоторых видов взлома «изнутри». Брандмауэр – это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства. С помощью брандмауэров можно существенно повысить безопасность работы в локальной сети.
В литературе о брандмауэрах можно часто встретить термин компьютер-бастион (bastion host). Название «бастион» происходит от средневекового слова, описывающего стены замка. Бастион-это специальное укрепленное место в стенах замка, предназначенное для отражения атак. Компьютер-бастион – это компьютер, который специально установлен для защиты от атак на сеть.
Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Интернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе, чем через компьютер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион.
