Что makoe брандмауэр

Брандмауэром называют специальный программно-аппаратный комплекс, обеспечивающий защиту локальной сети от вторжений из локальной или глобальной сети, например, Интернета, в точке их соединения. Брандмауэры позволяют пропускать через сетевое соединение только авторизованный трафик, контролируя тем самым сетевое взаимодействие между компьютерами глобальной и локальной сети.

Например, брандмауэры позволяют управлять доступом сетевых пользователей к различным сетевым службам. Эта задача решается конфигурированием брандмауэра, при котором можно разрешать или блокировать доступ к отдельной службе локальной сети с помощью списков ACL (Access Control List - Список контроля доступа). Списки ACL предоставляют гибкие возможности управления доступом, поскольку с их помощью можно, скажем, разрешать доступ к отдельным службам и запрещать доступ ко всем остальным службам или, альтернативно, блокировать доступ к отдельным службам и разрешать доступ ко всем остальным службам. Администратор системы сам может выбрать наиболее удобный ему метод, ориентируясь на размер сети и число исполняемых служб.

Высокоразвитые брандмауэры позволяют выполнять очень точную настройку доступа к сетевым службам, предоставляя для этого удобный графический интерфейс. Хорошо настроенный брандмауэр не просто блокирует неавторизованные запросы со стороны внешних компьютеров, но и пытается идентифицировать авторов запроса вместе с немедленным уведомлением администратора системы о попытках таких запросов.

Брандмауэры позволяют маскировать IP-адреса хостов внутри локальной сети с помощью операции, называемой трансляцией сетевых адресов (сокращенно NAT - Network Address Translation). Маскированные IP-адреса становятся невидимыми для внешних пользователей, которые, например, для отправки почтовых сообщений внутреннему пользователю направляют его на почтовый шлюз, который переправляет его адресату.

Брандмауэры позволяют управлять сетевым трафиком, проходящим внутри локальной сети. С помощью брандмауэров можно разделить локальную сеть на домены безопасности - группы компьютеров с одним уровнем защищенности. На компьютерах наиболее защищенного домена следует хранить конфиденциальную информацию, например, учетные записи пользователей, документы финансовой отчетности, сведения о текущей производственной деятельности и т.п.

Это тем более важно, если персонал организации потенциально может быть вовлечен в кражу конфиденциальных сведений. Известно, что до 80% всех компьютерных преступлений совершается персоналом самой организации. Разделение доступа пользователей к сетевым ресурсам разной степени секретности уже само по себе резко повышает уровень безопасности сети. Если к тому же настроить брандмауэр так, чтобы доступ к выделенному сетевому сегменту был максимально ограниченным, то можно в значительной степени обезопасить хранимую в сегменте информацию от раскрытия конфиденциальности.