Работа фильтрующего экрана основана на анализе заголовка пакета. Экран пропускает пакет, только если адреса отправителя, адреса получателя и номеров задействованных портов не противоречат установленным правилам фильтрации. В любом другом случае пакет блокируется, информация об этом вносится в протокол (log-файл). Некоторые фильтрующие экраны анализируют статусную информацию пакета. Речь идет о Статусных пакетных фильтрах, следящих за состоянием каждого установленного соединения, что позволяет блокировать отдельные «подозрительные» пакеты. Proxy-экраны, помимо фильтрации пакетов на основе информации заголовка, способны анализировать содержание (блок данных) проходящего пакета. При этом система определяет, удовлетворяет ли содержимое пакета потребностям (в частности, потребностям безопасности) соединения. Проще говоря, система определяет программы, участвующие в передаче данных, команды прикладного и сессионного уровня и т. п.
Существует еще один вариант — комбинация технологий проксирова — ния и пакетной фильтрации. При этом возможно достижение определенного баланса между качеством экранирования и скоростью работы. Устройства, о которых идет речь, можно настроить таким образом, чтобы трудоемкий анализ всего содержимого пакета применялся только на тех соединениях и сессиях, где это на самом деле необходимо с точки зрения безопасности Управление системами экранирования, IDS и пользовательским доступом — трудная задача. Хорошая практика — начинать с правила «deny all» (запретить все). И со временем добавлять разрешающие инструкции сервисам, которые необходимы для работы сайта. Никаких излишеств. Ничего сверх необходимого. При этом старайтесь отслеживать протекающие в рамках сайта информационные процессы, следите за правами пользователей и систем, и это в результате позволит упростить задачу поддержки правил экранирования. Хорошим началом будет создание правила, запрещающего любые соединения, кроме тех, что описаны отдельно. После этого можно будет установить правила для нужных в работе соединений между системами в разных зонах безопасности. Таким образом вы избавитесь от атак, направленных на компрометацию сервера посредством взлома или остановки дополнительных сервисов. После того как установлены все правила, необходимые для работы сайта, пришло время убедиться в том, что разрешены соединения только по заданным протоколам и только с заданными серверами.
