Общие принципы работы и развертования межсетевых экранов

Введение
На данный момент не существует общепринятой и единой классификации межсетевых экранов. Можно выделить такие классы межсетевых экранов:
- шлюзы сеансового уровня;
- фильтрующие маршрутизаторы;
- шлюзы прикладного уровня.
Эти категории можно рассматривать как основные компоненты межсетевых экранов. Только несколько межсетевых экранов включают одну из этих категорий. Однако эти компоненты отражают ключевые возможности, которые отличают межсетевые экраны друг от друга.
Из задач, выполняемых межсетевыми экранами, основная роль заключается в защите сегментов сети или отдельных узлов от несанкционированного доступа с помощью уязвимостей в протоколах сетевой модели OSI или в программном обеспечении, установленном на сетевых экранах. Межсетевые экраны запрещают или пропускают трафик, сравнивая его характеристики с данным шаблоном.

Принципы работы и развёртывания межсетевых экранов
Есть две версии межсетевых экранов - программная и аппаратно-программная. В свою очередь, аппаратно-программный вариант имеет две версии - в качестве специализированного устройства и в виде отдельного модуля в маршрутизаторе или коммутаторе.
В настоящий момент времени зачастую используется программное решение, которое на первый взгляд кажется более привлекательным. Это связывается с тем, что для его применения достаточно покупки программного обеспечения межсетевого экрана и установки его на любой компьютер, который доступен в организации

.
Но, исходя из практики, в организации не во всех случаях есть бесплатный компьютер, который в силах удовлетворить достаточно высокие требования к системным ресурсам. После того, как компьютер все же найден (чаще всего - куплен), идёт процесс установки, а так же настройки операционной системы, и, непосредственно, программного обеспечения межсетевого экрана.
Можно заметить, что использование обычного персонального компьютера не так просто, как может казаться на первый взгляд. Вот почему специализированные аппаратно-программные комплексы, которые называются устройствами безопасности, основанные зачастую на FreeBSD или Linux, «урезанные» для выполнения только необходимых функций, становятся все более распространенными.
Существует два основных способа создания наборов правил межсетевого экрана: «включение» и «исключение». «Исключительный» межсетевой экран пропускает весь трафик, кроме трафика, соответствующего набору правил. Активирующий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам, и блокирует все остальное.
Инклюзивные межсетевые экраны, как правило, более безопасны, чем эксклюзивные межсетевые экраны, так как они значительно снижают риск пропуска экраном нежелательного трафика.
Может быть дополнительно улучшена безопасность с помощью «сохраненного состояния» экрана