Фильтрация трафика

Фильтрация информационных потоков состоит в их выборочном пропуска­нии через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предвари­тельно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно пред­ставлять как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий: анализа информации по заданным в интерпретируемых правилах крите­риям, например, по адресам получателя и отправителя или по типу при­ложения, для которого эта информация предназначена; принятия на основе интерпретируемых правил одного из следующих ре­шений: не пропустить данные; обработать данные от имени получателя и возвратить результат отпра­вителю.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым с использованием указанных критериев ана­лиза осуществляется: разрешение или запрещение дальнейшей передачи данных; выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использо­ваться следующие параметры: служебные поля пакетов сообщений, содержащие сетевые адреса, идентифи­каторы, адреса интерфейсов, номера портов и другие значимые данные; непосредственное содержимое пакетов сообщений, проверяемое, напри­мер, на наличие компьютерных вирусов; внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на кото­рых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.