Firewall (brandmauer – брандмауер) – это средство защиты работающих в Интернете серверов и сетей от несанкционированного доступа. Предохраняет от попадания в защищаемый объект или выхода из него пакетов данных, которые не отвечают установленным правилам безопасности.
Для защиты небольших сетей (домашних и малых офисов) широкое распространение получили недорогие брандмауэры, выполненные в виде отдельных модулей, либо являющиеся частью маршрутизаторов класса SOHO, в том числе - беспроводных маршрутизаторов, позволяющих комбинировать на их основе проводные и беспроводные сегменты локальных сетей.
На корпоративные брандмауэры возложена дополнительная функция организации множественных шифрованных соединений или виртуальных частных сетей VPN (Virtual Private Network). Брандмауэры этого вида отличаются от средств индивидуальной защиты тем, что допускают возможность программирования и контроля, как входящих, так и исходящих пакетов. Примерами могут служить: ППП Axent Technologies, Check Point, Cisco Firewall/Plus, Network Associates, Secure Computing и др. Последняя разработка в данной области фирмы Microsoft - Internet Security and Acceleration Server 2000 (также ISA Server 2000). К указанному классу средств можно также отнести программно-аппаратные решения, выполненные в соответствии со Спецификацией 1.0 консорциума TCPA.
В зависимости от уровней модели OSI, на которых функционируют брандмауэры, они могут быть отнесены к одному из следующих классов:
1. Packet filter – «пакетный фильтр»: наиболее простой тип брандмауэра, работающий на сетевом (третьем) уровне модели OSI или на IP-уровне протоколов TCP/IP. Такие брандмауэры присутствуют в обязательном порядке в каждом маршрутизаторе, поскольку все они работают на третьем уровне модели OSI. Задачей пакетных фильтров является фильтрация пакетов на основе сведений об IP-адресах источника или получателя, а также номерах портов.
2. Circuit-level gateway – «шлюз сеансового уровня»: работает на пятом уровне модели OSI или на транспортном (четвертом) TCP/IP уровне. Брандмауэры этого вида отслеживают процессы установления TCP-соединений и организацию сеансов обмена данными между оконечными машинами. Они позволяют определить легитимность каждой связи. При этом данные, передаваеимые во внешнюю сеть не содержат сведений об источнике передачи в защищаемой сети. Для повышения безопасности сети встроенные в маршрутизаторы брандмауэры, как правило, используют протокол NAT (Network Address Tranalation).
3. Application-level gateway – «шлюз прикладного уровня» или «proxy-сервер» – работает на седьмом уровне модели OSI, отвечающем за доступ приложений в сеть, обмен почтовыми сообщениями и управление сетью. Получая сведения о пакетах на прикладном уровне, шлюзы могут блокировать доступ к определенным сервисам и производить фильтрацию специфических команд, например, http:post, get и т.п. Шлюзы прикладного уровня могут также использоваться для регистрации активности отдельных пользователей и установленных ими сеансов связи. Брандмауэры этого уровня обеспечивают более надежную защиту сетей по сравнению с описанными ранее.
4. SPI (Stateful Packet Inspection) – это тип многоуровнего брандмауэра, объединяющего преимущества пакетных фильтров, а также шлюзов сеанаового и прикладного уровней.