Рынок брандмауэров, развивавшийс с целью компенсировать невозможность обеспечения серьезной защиты в чувствительных сетях путем фильтрации пакетов, раскололся надвое: брандмауэры на основе представителей (proxy) и те, которые рассчитаны на оценку соответствия (stateful inspection).

Все брандмауэры призваны быть "привратниками", выпуская пользователей защищенной сети в большой и опасный незащищенный мир. Однако эту задачу они выполняют по-разному, каждый - со своим уровнем гибкости доступа пользователей к удаленной информации и своим риском взлома защиты хакером.

Если компании совершенно необходимо, чтобы у пользователей был доступ к граничным протоколам Internet, то единственно возможное решение - применить технологию оценки соответствия. С другой стороны, не стихают дебаты на тему, сможет ли какой-либо хитрый хакер найти способ "подавить" эти брандмауэры путем размаркировки пакетов.

Первые брандмауэры были основаны на использовании программных агентов-представителей; большинство предлагаемых сегодня продуктов созданы именно по этой технологии.

Системы на базе представителей должны детально распознавать специфические IP-протоколы, такие, как FTP и HTTP. Любые пакеты, проходящие через брандмауэр, анализируются, для того чтобы убедиться, представляют ли они собой именно то, что значится в их описании. Например, пакеты, описанные как пакеты протокола HTTP, но на самом деле включающие данные Telnet, пропущены не будут.

Представители обеспечивают высокую степень безопасности, но несколько ограничены в своих возможностях взаимодействия с новыми IP-протоколами, наводнившими Internet.

Повление новых служб, таких, как RealAudio, требует от поставщиков брандмауэров встраивать в свои продукты еще один компонент ПО.

Некоторые поставщики гораздо активнее других стремятся сохранить современность своих брандмауэров путем добавления агентов для работы с новыми протоколами. Несколько брандмауэров все еще не совместимы со спецификацией SSL (Secure Socket Layer), применяемой для кодированных транзакций, к примеру в WWW. Некоторые IP-протоколы, включая User Datagram Protocol, просто не обрабатываются брандмауэрами на базе программных агентов, так как состоят из последовательностей пакетов, не образующих продолжительных сессий, которые можно отследить.

Этот недостаток можно исправить, увеличив число представителей и оставив определенные порты открытыми для любых пакетов. Но это делает бессмысленным само существование брандмауэра.

Регистриру весь IP-трафик, проходящий через брандмауэр, ПО, использующее технологию оценки соответствия, избавляется от необходимости детально распознавать различные IP-протоколы, а лишь убеждается в том, что пакеты, приходящие снаружи, были прежде запрошены изнутри.

Такой подход представлет собой в общих чертах обновленное средство фильтрации пакетов, объединенное с "историческим контекстом".

Брандмауэры, отслеживающие состояние, количество которых стало возрастать в последнее время, обеспечивают хороший уровень безопасности и бо'льшую степень гибкости в поддержке новых протоколов, чем представители. Чтобы создать описание нового протокола, достаточно нажать несколько кнопок и задать число портов и типы IP-данных.

КАК РАЗВИВАЛИСЬ БРАНДМАУЭРНЫЕ ТЕХНОЛОГИИ

Фильтраци пакетов

Брандмауэры на базе представителей

Брандмауэры, производщие оценку состояния