Как я уже говорил, работа фильтрующего экрана основана на анализе заголовка пакета. Экран пропускает пакет, только если адреса отправителя, адреса получателя и номеров задействованных портов не противоречат установленным правилам фильтрации. В любом другом случае пакет блокируется, информация об этом вносится в протокол (log-файл). Некоторые фильтрующие экраны анализируют статусную информацию пакета. Речь идет о Статусных пакетных фильтрах, следящих за состоянием каждого установленного соединения, что позволяет блокировать отдельные «неудовлетворительные» пакеты. Proxy-экраны, помимо фильтрации пакетов на основе информации заголовка, способны анализировать содержание (блок данных) проходящего пакета. При этом система определяет, удовлетворяет ли содержимое пакета потребностям (в частности, потребностям безопасности) соединения. Проще говоря, система определяет программы, участвующие в передаче данных, команды прикладного и сессионного уровня и т. п. Такая, без сомнения, полезная функциональность заставляет proxy-экран работать значительно медленнее пакетного фильтра.
Существует еще один вариант — своеобразная комбинация технологий проксирования и пакетной фильтрации. При этом возможно достижение определенного баланса между качеством экранирования и скоростью работы. Устройства, о которых идет речь, можно настроить таким образом, чтобы трудоемкий анализ всего содержимого пакета применялся только на тех соединениях и сессиях, где это на самом деле необходимо с точки зрения безопасности. Существуют «узкоспециализированные» экраны, предназначенные только для фильтрации определенного протокола, причем некоторые из них настолько популярны на рынке, что производители давно зарекомендовавших себя пакетных фильтров взялись за интеграцию ргоху-механизмов в свои продукты. Все, что надо сделать при выборе специализированного экрана, — это определить для себя, какие протоколы и службы используются в вашей сети и какие из этих служб нуждаются в ргоху-экранировании, а для каких достаточно защиты на уровне анализа заголовков пакетов. После того как выбран подходящий экран, можно приступить к настройке системы и интеграции ее в инфраструктуру сети. Если межсетевому экрану для полноценной работы необходимо соединение с удаленными терминалами и протоколирующими системами, то защите этих соединений лучше посвятить отдельное время. Кроме того, убедитесь в том, что удаленные системы не влияют на производительность экрана. Итак, предположим, вы определили для себя, какой межсетевой экран использовать и какие зоны безопасности защищать. Теперь перейдем к разработке списка правил фильтрации.
