Идентификация и аутентификация пользователей
Идентификация и аутентификация пользователей необходимадля высокой степени безопасности не только при их доступе из внешней сети во внутреннюю, но и наоборот. Пароль не должен передаваться в открытом виде через общедоступные коммуникации. Это предотвратит получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Оптимальным способом аутентификации является использование одноразовых паролей. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверительными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.
2. Проверка подлинности получаемых и передаваемых данных
Проверка подлинности передаваемых данных актуальна не только для аутентификации электронных сообщений, но и для мигрирующих программ (Java, ActiveX Controls), no отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты.
3. Разграничение доступа к ресурсам внутренней или внешней сети
Разграничение доступа к ресурсам производится на основе идентификации и аутентификации пользователей при обращении к межсетевому экрану. Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне операционной системы. При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:
1. разрешение доступа только по заданным адресам во внешней сети;
2. фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;
3. накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.
4. Фильтрация и преобразование потока сообщений
Процедура фильтрации выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ-посредников:
1. экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например, FTP, HTTP, Telnet;
2. универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например, агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.
Программный посредник анализирует поступающие к нему пакеты данных и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.
Брандмауэры с посредниками позволяют также организовывать защищенные виртуальные сети (Virtual Private Network — VPN), например, безопасно объединить несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче поInternet возможно шифрование не только данных пользователей, но и служебной информации — конечных сетевых адресов, номеров портов и т. д.