Мережевий екран
Міжмережевий екран, Мережевий екран, брандмауер, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна» — пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.
ФункціїРедагувати
Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).
В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:
- stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;
- stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що відповідають логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DDoS-атаками та вразливістю деяких протоколів мереж.
Типи фаєрволівРедагувати
Для того щоб відповідати вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.
- Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані службової інформації пакетів мережевого і транспортного рівнів моделі OSI. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.
- Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник). Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому як сервер-посередник використовуються швидші комп'ютери.
- Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони є серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з'єднання обслуговують велику кількість протоколів.
Спеціалізовані пристроїРедагувати
- .vantronix | Firewall ZL1(англ.)
- Cisco PIX[en][1] та Cisco ASA[2]
- Checkpoint FireWall-1(англ.)
- Juniper Netscreen(англ.)
- Nokia Firewalls[недоступне посилання з липень 2019](англ.)
- WatchGuard Firebox(англ.)
Персональні фаєрволиРедагувати
- Zillya Internet Security — zillya.ua
- Outpost Firewall — Agnitum Outpost(рос.)[недоступне посилання з 2018-13-02]
- Kaspersky Internet Security
- Jetico Personal Firewall (англ.)[недоступне посилання з 2018-13-02]
- Norton Personal Firewall 2006
- McAfee Firewall
- Zone Alarm
- Kerio WinRoute Firewall
- Comodo Firewall — Comodo Personal Firewall
- CA Personal Firewall (англ.)[недоступне посилання з 2018-13-02]
- SoftPerfect Personal Firewall (англ.)
- K7 Total Security — K7 TOTAL SECURITY (англ.)
- Windows Firewall (Windows Defender Firewall)
Програмне забезпеченняРедагувати
ПриміткиРедагувати
ПосиланняРедагувати
Див. такожРедагувати
- Брандмауер Windows
- Золотий щит
- Комп'ютерна безпека
- Сканери уразливості
- Повітряний проміжок (мережі передачі даних)
- Access control list
- Порівняння мережевих екранів[en]
- De-perimeterisation[en]
- Bastion host[en]
- Distributed firewall[en]
- Egress filtering[en]
- End-to-end principle[en]
- Firewall pinhole[en]
- Firewalls and Internet Security[en]
- Guard (information security)[en]
- Identity-based security[en]
- IP fragmentation attack[en]
- Список дистрибутивів роутерів та мережевих екранів[en]
- Mangled packet[en]
- Next-generation firewall[en]
- Personal firewall[en]
- Screened subnet[en]
- Unidirectional network[en]
- Virtual firewall[en]