Брандмауэры с фильтрацией пакетов: как они работают и когда их использовать

В настоящее время большинство компаний уделяют большое внимание сетевой безопасности, и среди всех аспектов безопасности именно контроль доступа имеет наибольшее значение. Многие компании используют брандмауэры для фильтрации трафика, что, безусловно, является преимуществом.

Существуют различные типы брандмауэров, и в этой статье мы хотим предоставить важную информацию о брандмауэрах с фильтрацией пакетов. Если вы хотите узнать больше об этой конкретной технологии, мы поможем вам понять, как она работает, и проведем несколько сравнений с другими вариантами обеспечения безопасности.

Понимание механизмов фильтрации пакетов

Фильтрация пакетов — это технология брандмауэра, которая защищает от внешних атак. Эта технология контролирует трафик на основе определённых правил, которые применяются к пакетам данных, и пропускает или отклоняет определённые объёмы данных.

Пакетные фильтры анализируют данные, которые на границе сети разбиваются на пакеты. Эти контейнеры данных относительно невелики, что способствует эффективной передаче и отказоустойчивости. Пакеты состоят из двух основных компонентов:

• Заголовки. Они содержат информацию о назначении, источнике и идентификации пакетов. С помощью этой информации можно передавать данные туда, где они необходимы.
• Полезные данные. Это информация, которая должна быть передана. Эти данные не могут быть проанализированы с помощью фильтров.
  С помощью брандмауэра с фильтрацией пакетов можно проанализировать, должны ли определённые пакеты проходить в сеть. Для этого заголовок пакета проверяется по следующим критериям:
• Адрес назначения/источника исходящих/входящих пакетов.
• IP-адреса пакетов.
• Флаги заголовка.
• Используемый протокол передачи, как правило, TCP, UDP или ICMP.
• Сетевая карта (NIC).

Вся эта информация проверяется брандмауэром на основе списков контроля доступа и заранее определённых правил. Если правила соблюдены, передача продолжается; в противном случае операция отклоняется.

Основные особенности брандмауэров с фильтрацией пакетов

• Работают на основе отдельных пакетов данных.
• Правила применяются к информации, поступающей в сети.
• Углублённые проверки не проводятся.
• Используется внешняя информация о пакетах.
• Фильтры не сохраняют предыдущую информацию, поэтому каждый пакет оценивается отдельно.

Распространённые области применения фильтрации пакетов

Основная область применения фильтрации пакетов — сетевая безопасность. Все устройства, приложения и данные защищаются от различных внешних угроз. Благодаря обнаружению необычной активности и предотвращению её проникновения удаётся исключить множество рисков, в том числе утечки данных и вредоносные программы.

По сравнению с новейшими типами брандмауэров пакетные фильтры работают на гораздо более поверхностном уровне. Однако в некоторых случаях это может быть большим преимуществом. Например, такой подход значительно быстрее, что может стать большим преимуществом в ситуациях, когда безопасность не является главным приоритетом.

С помощью этой технологии можно использовать списки разрешенных IP-адресов (ACL) для мониторинга трафика. Чтобы упростить процесс, в ACL можно добавить ещё больше аутентифицированных IP-адресов. Таким образом, доступ к необходимой информации имеют только авторизованные пользователи, а остальные — нет.  

Категории брандмауэров с фильтрацией пакетов

Чтобы лучше понять принцип фильтрации пакетов, рассмотрим несколько категорий таких брандмауэров.

H3 — Статические брандмауэры с фильтрацией пакетов

При статической фильтрации пакетов перед внесением изменений всегда используется один и тот же набор правил. Помимо правил, которые может изменять администратор, сетевые соединения также могут регулироваться экспертами.

Такие брандмауэры можно настраивать различными способами: путем управления портами, установки конкретных правил и использования списков контроля доступа.

Статические фильтры чрезвычайно выгодны благодаря простоте использования и несложному процессу установки. Самое большое ограничение касается настроек и необходимости их обновления. Автоматизированных функций практически нет, поэтому они выгодны для малых предприятий, тогда как крупным компаниям, как правило, требуются более масштабируемые настройки.

Брандмауэры с динамической фильтрацией пакетов

Динамические брандмауэры могут адаптировать свою исходную конфигурацию в соответствии с изменениями в среде безопасности. Например, брандмауэры можно настроить так, чтобы порты закрывались или открывались в течение определенного периода времени.

Чтобы свести к минимуму огромные административные затраты, этот тип брандмауэра может помочь в автоматизации некоторых настроек. Меры безопасности в динамичной среде могут быть либо ослаблены, либо ужесточены в зависимости от обстоятельств.  

Брандмауэры с фильтрацией пакетов без отслеживания состояния

Фильтры пакетов без отслеживания состояния анализируют каждый пакет по отдельности. Информация о состоянии пакетов не сохраняется, поэтому для обеспечения стандартов безопасности применяются заранее определенные правила.

Брандмауэры без отслеживания состояния работают с списками контроля доступа (ACL). Они опираются на информацию о целевых и исходных портах, а также об IP-адресах.

Системы фильтрации пакетов с отслеживанием состояния

Речь идет о более продвинутой системе, которая анализирует состояние пакетов, прежде чем предоставить или отказать в доступе. Такая система фильтрации пакетов сохраняет данные о каждом запросе доступа для большинства протоколов передачи данных, в частности для UDP и TCP. Со временем можно создавать подробные профили пользователей, что облегчает обнаружение подозрительной активности.

В целом эти варианты обеспечивают более высокий уровень безопасности за счёт отслеживания подозрительных IP-адресов. В то же время, из-за функций сбора данных, такая система более уязвима для DDoS-атак.

Недостатки брандмауэров с фильтрацией пакетов

Технология фильтрации пакетов возникла в 1980-х годах, и с тех пор в этой области произошло множество инноваций. Многие эксперты сходятся во мнении, что такой подход можно считать слишком устаревшим; поэтому мы рассмотрим здесь некоторые недостатки этой технологии.

1. Ограниченные функции безопасности

Проблемы безопасности при использовании этой технологии возникают из-за того, что доступ предоставляется на основе поверхностной информации, такой как номер порта, IP-адрес и данные протокола. Информация об использовании приложений или об устройстве пользователя не учитывается.

Кроме того, фильтрация осуществляется исключительно на основе внешних характеристик пакетов. Если в полезных данных содержится подозрительный код, он не отфильтровывается должным образом и попадает в сеть.

Особо уязвимым считается брандмауэр без сохранения состояния. Поскольку каждый запрос обрабатывается отдельно, у хакеров появляется больше возможностей для атак. При попытке атаки брандмауэр не сохраняет данные об этом событии.

2. Базовые функции ведения журналов

Эта технология регистрирует лишь самую базовую информацию о сетевом трафике, что может напрямую повлиять на вопросы соответствия нормативным требованиям. Стандарты в области защиты данных становятся всё более строгими, и порой доказать целостность данных, опираясь исключительно на фильтрацию пакетов, практически невозможно.

Отсутствие ведения журналов также снижает стандартный уровень безопасности, поскольку отсутствует информация о запросах на доступ. ИТ-специалистам может быть сложно выявить подозрительную активность, что может привести к серьезным уязвимостям в системе безопасности.    

3. Ограниченная гибкость

Пакетные фильтры имеют определенные ограничения в плане гибкости, обеспечиваемой при доступе к сети. Они позволяют осуществлять фильтрацию по номерам портов или IP-адресам. По сравнению с другими вариантами управления доступом это крайне ограниченные возможности.

Современные брандмауэры могут автоматически адаптироваться к конкретным обстоятельствам и предлагают множество функций. Хотя брандмауэры на основе фильтрации пакетов позволяют вручную настраивать правила, в них отсутствует проверка пакетов, а управление угрозами не автоматизировано.

4. Непригодность для крупных организаций

При использовании этой технологии небольшими предприятиями она очень проста и не требует больших ресурсов. Однако в крупной корпорации эта система может потребовать значительных ресурсов.

Многие задачи приходится выполнять вручную, а обновление правил не автоматизировано. Это может привести к человеческим ошибкам и увеличению рабочей нагрузки.

5. Чрезмерное доверие

Поскольку эта технология не проверяет полезные данные, хакеры могут получить доступ к системе под видом доверенных пользователей.

Еще один риск заключается в том, что эта технология не ведет журнал исторических данных. Отсутствуют записи о доверенных и недоверенных пользователях, поскольку такие брандмауэры в основном основаны на списках доступа (ACL). К тому же такой список может оказаться устаревшим.

Сравнение брандмауэров с фильтрацией пакетов и прокси-серверов

Прокси-серверы и брандмауэры с фильтрацией пакетов можно рассматривать как альтернативы, поскольку они защищают границу сети путем мониторинга трафика. Однако они работают несколько по-разному.

Прокси-сервер отличается от фильтрации пакетов тем, что он анонимизирует трафик. Этот процесс скрывает IP-адреса, что значительно затрудняет проверку трафика извне. Кроме того, такой сервер сохраняет данные в кэше. Это означает, что ранее посещённые веб-сайты загружаются быстрее.

Некоторые прокси-серверы могут использоваться в качестве шлюза и контролировать доступ к определённым приложениям. Определённые объёмы данных могут быть исключены из обслуживания. Также можно контролировать исходящие сетевые данные.

Тем не менее прокси-серверы не предоставляют функций фильтрации или проверки пакетов. Поэтому наилучший результат можно достичь, сочетая брандмауэр с прокси-серверами.

Фильтрация пакетов против межсетевых экранов с отслеживанием состояния

Межсетевые экраны с фильтрацией пакетов считаются «безсостоятельными», поскольку информация о состоянии пакета не учитывается. Состояние обозначает взаимодействие между пакетами данных, серверами и протоколами. Информация о состоянии отслеживает процесс передачи данных в локальные сети или из них. Все сведения о назначении и источнике данных фиксируются брандмауэрами с отслеживанием состояния. Кроме того, такие брандмауэры могут также собирать информацию о полезной нагрузке.

Кроме того, брандмауэры с отслеживанием состояния собирают информацию обо всех предыдущих передачах данных. Таким образом формируется журнал каждого запроса. Это означает, что система может принимать более обоснованные решения относительно разрешения или отказа.

Поскольку брандмауэры с отслеживанием состояния собирают гораздо больше информации, чем пакетные фильтры, это сказывается на затратах. Это означает, что пакетная фильтрация требует меньше ресурсов и работает значительно быстрее.

Заключительные соображения: понимание сильных и слабых сторон брандмауэров с пакетной фильтрацией

Выбор правильного брандмауэра может стать решающим шагом, способствующим устранению многих онлайн-рисков. Фильтрация пакетов — это один из вариантов, при котором данные пакетов контролируются и к ним применяются определённые правила. У этого типа брандмауэра есть много преимуществ, но также и некоторые ограничения.

Такие ограничения влияют на популярность фильтрации пакетов. Однако, несмотря на некоторые недостатки, она по-прежнему остается хорошим выбором, если скорость является важным критерием.