В самом простом случае действие брандмауэра заключается в фильтровании пакетов. Фильтр принимает пакеты, поступающие на его интерфейсы, анализирует информацию, которую оставили в заголовках пакета различные протоколы, использовавшиеся при его создании, и принимает решение о возможности передачи пакета в другую сеть. Фильтрование пакетов осуществляется на нескольких уровнях эталонной модели OSI. Решая, пропустить пакет или нет, брандмауэр опирается на следующие его характеристики.
• Аппаратныеадреса. Передавать данные в другую сеть разрешается только определенным компьютерам. Для защиты сетей от неавторизованного доступа через Интернет этот метод фильтрования применяется нечасто, но бывает удобен внутри интерсети. С его помощью можно, например, ограничить круг компьютеров, допущенных в определенную ЛВС.
• IP-адреса.Передавать данные в другую сеть разрешается только на заданные IP-адреса и/или пришедшие только с заданных IP-адресов. Если в Вашей сети, например, есть Web-сервер, настройте брандмауэр так, чтобы он пропускал входящий трафик Интернета только на его IP-адрес. Все остальные компьютеры сети пользователям Интернета будут недоступны.
• Идентификаторы протоколов.Через фильтр пропускаются только пакеты, IP-дейтаграммы в которых созданы заданными протоколами, например TCP, UDP или ICMP.
• Номера портов.Брандмауэр пропускает или задерживает пакеты, опираясь на номер целевого порта или порта-источника, указан-
ный в заголовке транспортного уровня. Такое фильтрование называется зависящим от службы (service-dependent), поскольку номера портов идентифицируют приложение или службу, которые сгенерировали пакет или которым он предназначен. Например, с помощью брандмауэра можно разрешить пользователям сети доступ к Интернету через порты 110 и 25 (они обычно применяются для входящей и исходящей электронной почты), но закрыть выход в Интернет через порт 80 (обычно применяемый для доступа к Web-серверам).
Истинная сила фильтрования пакетов проявляется в сочетании фильтров различных типов. Вот простой пример. Чтобы предоставить службе поддержки сети возможность удаленно администрировать некоторые компьютеры, можно открыть доступ в Вашу сеть из Интернета для входящего трафика Telnet. С другой стороны, доступность порта 23 (порта Telnet) всем пользователям Интернета без исключения представляет потенциально чрезвычайно опасную брешь в защите сети. Решение состоит в том, чтобы объединить фильтр по номеру порта с фильтром по IP-адресу, чтобы доступ к сети через порт Telnet был открыт только компьютерам сетевых администраторов.
Обычно фильтрование пакетов можно осуществлять с помощью обычного маршрутизатора. В занятии 2 главы 11 рассказывалось о механизме фильтрования пакетов, встроенном в Windows 2000. Его наличие означает, что для настройки фильтров не нужны огромные дополнительные расходы. На пропускной способности маршрутизатора фильтрование пакетов обычно заметно не сказывается. Однако помните, что маршрутизатор применяет заданные Вами правила фильтрования индивидуально к каждому пакету, поэтому очень сложная система фильтров может ощутимо замедлить работу сети.
Трудность работы с фильтрами заключена в том, что для их настройки необходимо глубокое понимание коммуникаций TCP/IP и способность предугадывать преступные замыслы внешних врагов. Именно врагов, потому что иначе как «войной умов» использование фильтров для защиты сети не назовешь. Потенциальные захватчики постоянно изобретают новые пути обхода стандартных конфигураций фильтров, и Вы должны быть готовы оперативно корректировать фильтры, чтобы противостоять этим изобретениям.