Межсетевые экраны для удаленных офисов

Майк Фратто

Межсетевой экран (МЭ) — неотъемлемая часть любой сети, в которой предусмотрен режим удаленного доступа. Теперь, с появлением новых функций в МЭ, использовать его стало просто, как никогда.

Если в вашей компании практикуется телекомьютинг или вы хотите обеспечить широкополосный доступ для удаленного офиса, вам, чтобы защитить корпоративную сеть, нужен МЭ. Нельзя полагаться на то, что сеть достаточно сложна для взлома, как, впрочем, и на то, что она слишком мала, чтобы представлять для взломщика какой-то интерес. Злоумышленник может оставить без внимания данные, хранящиеся в вашей сети, и использовать ее просто в качестве плацдарма, перед тем как атаковать выбранную цель.

Подобно другим устройствам для широкополосных сетей, ваш МЭ должен обладать набором базовых элементов и возможностей: портами на 10/100 Мбит/с, средствами локального администрирования, поддержкой протокола DHCP и механизма трансляции сетевых адресов (Network Address Translation — NAT). Наличие других элементов, например встроенного концентратора или коммутатора, желательно, но не обязательно. Если ваш МЭ класса SOHO (Small Office/Home Office) защищает критически важную для бизнеса компании сеть, он должен быть оснащен резервными средствами доступа, в частности через последовательный порт; подключив к нему модем или терминальный сервер, вы сможете проводить необходимые востановительные работы.

Давайте раз и навсегда разберемся, что же такое трансляция сетевых адресов и межсетевое экранирование. МЭ контролирует трафик, пересекающий границу вашей корпоративной сети. Это означает, что вы можете определять, какой трафик пропускать, а какой нет. Правила, в соответствии с которыми разрешается или блокируется прохождение трафика, известны под названием “политика безопасности”. Используя эти правила, можно управлять доступом в зависимости от содержимого определенных полей в пакетах данных — значений IP-адресов, номеров портов или данных приложений.

Механизм NAT всего лишь изменяет значения IP-адресов в пакетах, проходящих через NAT-шлюз. Разобравшись в том, как этот механизм реализован в конкретном устройстве того или иного поставщика, вы сможете задавать правила трансляции сетевых адресов, так же как вы задаете правила межсетевого экранирования. Но изменение IP-адресов — это единственное, что делает NAT. Безопасность, которую дает его применение, — это только полезный побочный эффект (см. рисунок). Некоторые устройства NAT позволяют определять правила, дающие возможность устанавливать соединения внешних устройств с внутренними серверами посредством статического отображения номеров внешних портов на внутренние серверы, но это совсем не то же самое, что межсетевое экранирование.

Добавим немного VPN

Удаленное администрирование