Межсетевой экран – фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet. Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet , в то время как большая часть досту­па к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows , NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим некоторые из них:

• сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

• невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

• в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

• каждый хост-компьютер, связанный с сетью Internet , нуждается в своих средствах усиленной аутентификации.