Техническое замечание
Для того, что бы надежно обеспечивать безопасность, firewall должен отслеживать и управлять всеми соединениями, проходящими через него. Для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать или зашифровать данную попытку соединения, сделать запись об этом в журнале), firewall должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой модели и из других приложений.
Не достаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из состоявшихся ранее соединений и других приложений, является основным фактором при принятии окончательного решения для текущей попытки установления соединения. В зависимости от типа проверяемого пакета, для принятия конечного решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.
Таким образом, для обеспечения наивысшего уровня безопасности, firewall должен уметь считывать, анализировать и использовать следующую информацию:
Stateful Inspection –архитектура firewall нового поколения, реализованная в Check Point FireWall-1, - удовлетворяет всем требованиям к безопасности, приведенным выше. Возможностей традиционных технологий firewall недостаточно для выполнения всех этих требований. Для более подробного анализа смотрите Таблицу 1 или “Сравнение технологий Firewall” на следующей странице.
Таблица 1. Сравнение возможностей трех основных архитектур Firewall.
Функция | Пакетные фильтры | Шлюзы уровня приложения | Stateful inspection |
| Информация из пакета | Частично | Частично | Да |
| Предыстория соединения | Нет | Частично | Да |
| Состояние приложения | Нет | Да | Да |
| Модифицирование информации | Частично | Да | Да |
© ООО "Корпорация "ЮНИ", 1998
[an error occurred while processing this directive]