3.11. Сетевые экраны и топология
Сетевые экраны («firewall») представляют собой топологические (заградительные) способы обеспечения ИБ. То есть, они зависят от четко определенной границы между «хорошим» сетевым сегментом (внутренняя часть корпоративной сети) и «плохой» внешней сетью, с которой соединен сегмент, а сам сетевой экран (СЭ) служит связующим звеном между ними, через которое транслируется информация. Несмотря на то, что СЭ могут быть весьма полезны, если, конечно же, они используются надлежащим образом, существуют определенные границы их возможностей по защите сетей.
Первое ограничение, естественно, заключается в том, что СЭ не могут быть защитой от атак, инициированных изнутри корпоративных сегментов, которые они защищают. Несмотря на всю актуальность последствий от таких атак, доля таких атак не известна (и вероятно никогда не станет известна), и не вызывает сомнений тот факт, что именно такие атаки являются причиной большинства проблем обеспечения ИБ. Если взглянуть на эту проблему более широко, то тогда, полагая, что СЭ требуют четко обозначенной границы и причем до такой степени, когда такая граница вообще исчезает, СЭ не помогают (вообще бесполезны). Любые внешние соединения, которые формируются протоколами, преднамеренно транслирующими сообщения через СЭ, любые каналы связи в режиме сквозного туннелирования, незащищенные беспроводные LAN-сети или прямые внешние соединения, инициируемые IP-узлами, номинально считающимися корпоративными, снижают уровень защищенности. СЭ становятся менее эффективными, если пользователи используют протоколы безопасности в режиме туннелирования для передачи трафика через эти СЭ и при этом они выбрали неадекватный уровень защищенности в конечных точках туннеля. Если туннелируемый трафик шифруется, то тогда СЭ не способен просматривать (контролировать) его. Часто цитируемое преимущество СЭ заключается в том, что они скрывают внутреннюю структуру корпоративной сети (состав корпоративных IP-узлов) от «внешних глаз». Полагая наличие «утечки» информации, очевидно, что вероятность успешного маскирования компьютеров довольно низка.
При более узком подходе, СЭ нарушают модель (принцип) сквозного соединения в Internet-сети и Internet-протоколах. Конечно, не все протоколы могут транслировать свои сообщения безопасно и легко через СЭ. Сетевые корпоративные сегменты, которые защищают себя с помощью СЭ могут оказаться «отрезанными» от новых и полезных истчников информации в Internet-сети.
СЭ функционируют лучше, если они используются в качестве одного из элементов общей структуры безопасности. Например, точно настроенный СЭ может использоваться для функционального разделения демонстрационного WWW-сервера и сервера с базой данных при условии, что между последними существует только открытый (без шифрования трафика) канал связи. То же самое касается и СЭ, который «пропускает через себя» только зашифрованный трафик в режиме туннелирования. Такой СЭ можно использовать для защиты одного сегмента VPN-сети. Но с другой стороны, в таком случае другой сегмент VPN-сети должен быть защищен таким же образом.