7. Назначение и функции брандмауэров и прокси-серверов

Предотвращение несанкционированного доступа внешних пользователей к компьютеру (или ко всей сети) – компетенция прокси-серверов, брандмауэров.

Брандмауэр – это любое устройство или группа устройств, предоставляющее единственную контрольную точку, в которой можно разрешить или запретить дальнейшее перемещение потоков информации между Internet и внутренней сетью (рис. 7). Эти две функции – ограничение доступа и регистрация доступа – и являются основными функциями брандмауэра в сети.

Рис. 7. Использование брандмауэра для защиты сети

Брандмауэр ограничивает доступ к сети, используя информацию, заключенную в сетевом пакете. В случае Internet, использующей протокол ТСР/IР, эту информацию можно подразделить на следующие компоненты; конечный IP-адрес, конечный IP-порт, исходный IP-адрес и исходный IР-порт.

Уточним понятие IP-порта. Порты – это числа, которые протоколы на транспортном уровне используют для передачи данных соответствующим протоколам более высокого уровня. После того как пакет доставлен в компьютер-получатель, данные необходимо направить конкретному процессу-получателю.

Каждый компьютер может выполнять несколько процессов, более того, прикладной процесс может тоже иметь несколько точек входа, выступающих в качестве адреса назначения для пакетов данных. Поступающие пакеты организуются операционной системой в виде множества очередей к точкам входа различных прикладных процессов. Такие системные очереди при использовании протокола TCP называются IP-портами. Следовательно, каждый процесс, использующий протокол TCP, должен иметь номер порта, указывающий расположение определенного приложения или процесса на каждом компьютере. По сути, IP-порт – это расширение IP-адреса. Сочетание IP-адреса и номера порта называется сокетом.

Номера IP-портов, как правило, соответствуют «хорошо известным протоколам». Например, большинство Web-серверов ожидают запросов на соединение на 80 порту, а большинство почтовых серверов, поддерживающих SMTP протокол, используют 25 порт, номер 21 закреплен за службой удаленного доступа к файлам FTP. Наиболее распространенные TCP/IP приложения и службы используют первые 1023 портов из всех 65535 доступных. Эти применяемые по умолчанию, или «хорошо известные», IP-порты распределены между протоколами, работающими на сервере, в то время как порты, используемые на стороне клиента, выделяются приложению динамически при открытии соединения. Например, при установлении Telnet-сеанса с удаленным узлом пользователь обычно соединяется с «хорошо известным» IP-портом 23. При этом клиент получает динамически выделенный номер порта, который будет использоваться сервером при передаче сообщений на компьютер клиента.

Брандмауэр действует следующим образом. Основываясь на информации об исходном и конечном адресах и портах, он может либо принять пакет данных, либо отказаться от его приема. Брандмауэр может также регистрировать выполняемые действия аналогично определителю номера с памятью, чтобы иметь возможность установить, кто предпринял попытку доступа к сети.

Некоторые брандмауэры не ограничиваются простой фильтрацией пакетов и используют в качестве критерия допуска сетевой сеанс. Для каждого сеанса используется отдельный IP-порт, таким образом, каждому сеансу соответствует уникальный идентификатор. Сеансные брандмауэры способствуют повышению уровня безопасности системы и предоставляют более эффективные возможности по регистрации деятельности клиентов. Все, что может сделать брандмауэр – это снизить риск, связанный с подключением к Internet, но не полностью его исключить. Заметим, что брандмауэр может представлять собой как одно, так и несколько устройств. Так, в качестве брандмауэров используют иногда набор правил фильтрации на маршрутизаторах сети. Одним словом, брандмауэр – это не аппаратное обеспечение, а его настройка (конфигурация).

Прокси-сервер (proxy (англ.) – доверенное лицо, посредник) – это сервер, работающий «представителем» клиентов на рабочих станциях в сети и является, по сути, разновидностью брандмауэра. Однако прокси-сервер обладает одной дополнительной чертой, не присущей сеансным брандмауэрам: он может маскировать адрес и IP-порт конечного компьютера.

Рис. 8. Использование прокси-сервера для защиты сети

Иными словами, прокси-сервер – это система, настроенная в качестве посредника между несколькими сетями. Во все пакеты, проходящие через прокси-сервер во внешнюю сеть, будет подставлен адрес прокси-сервера в качестве адреса отправителя. Весь входящий трафик будет поступать на прокси-сервер. Таким образом, прокси-сервер «прячет» друг от друга истинного отправителя и адресата. Это позволяет предотвратить несанкционированный доступ, не препятствуя в то же время доступу к сети внешних пользователей (рис. 8).

При создании прокси-сервера указывается адрес IР-порта, который он в дальнейшем будет отслеживать. Прокси-сервер будет устанавливать, какой конечный IP- адрес и IP-порт собирается использовать клиент. Если разрешение на соединение отсутствует, подключение не выполняется, если же доступ разрешен, прокси-сервер выполнит подключение к внешнему источнику. Получаемые от внешнего источника данные передаются сетевому клиенту, а любые запросы сетевого клиента передаются внешнему источнику через прокси-сервер.

Чтобы получить доступ к внутренней сети, внешнему пользователю необходимо знать IP-адрес компьютера клиента, IP-адрес прокси-сервера и IP-порт, отслеживаемый прокси-сервером. Кроме того, этот пользователь должен быть включен в список лиц, которым разрешен доступ к сети, т. е. в IP-адрес внешних клиентов. Если хотя бы один из этих параметров не известен внешнему пользователю, он не сможет подключиться к компьютеру-клиенту, расположенному за прокси-сервером.

Прокси-серверы можно настроить для работы в обоих направлениях – для доступа внутренних пользователей к внешним и для доступа внешних пользователей к определенным внутренним серверам.

Кроме обеспечения «барьера безопасности» между сетями, прокси-сервер также можно настроить и для кэширования часто запрашиваемой информации.