Якщо організація має свій в розпорядженні початкові тексти прикладного МЕ і в змозі ці тексти модифікувати, перед нею відкриваються надзвичайно широкі можливості по настройці екрану з урахуванням власних потреб. Річ у тому, що при розробці систем клієнт/сервер в багатоланковій архітектурі з’являються специфічні прикладні протоколи, потребуючі в захисті не менше стандартних. Підхід, заснований на використовуванні екрануючих агентів, дозволяє побудувати такий захист, не знижуючи безпеки і ефективності інших додатків і не ускладнюючи структуру зв’язків в міжмережевому екрані.
Комплексні міжмережеві екрани, що охоплюють рівні від мережного до прикладного, сполучають в собі кращі властивості "однорівневих" МЕ різних видів. Захисні функції виконуються комплексними МЕ прозорим для додатків чином, не вимагаючи внесення яких-небудь змін ні в існуюче програмне забезпечення, ні в дії, що стали для користувачів звичними.
Комплексність МЕ може досягатися різними способами: "від" низу до верху, від мережного рівня через накопичення контексту до прикладного рівня, або зверху "вниз", за допомогою доповнення прикладного МЕ механізмами транспортного і мережного рівнів.
Крім виразних можливостей і допустимої кількості правил, якість міжмережевого екрану визначається ще двома дуже важливими характеристиками - простотою використовування і власною захищеністю. В плані простоти використовування першорядне значення мають наочний інтерфейс при визначенні правил фільтрації і можливість централізованого адміністрування складових конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонених політикою безпеки.
Власна захищеність міжмережевого екрану забезпечується тими ж засобами, що і захищеність універсальних систем. Мається на увазі фізичний захист, ідентифікація і аутентифікація, розмежування доступу, контроль цілісності, протоколювання і аудит. При виконанні централізованого адміністрування слід також поклопотатися про захист інформації від пасивного і активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність. Украй важливе оперативне накладення латок, що ліквідовують виявлені вразливі місця МЕ.
Хотілося б підкреслити, що природа екранування як сервісу безпеки дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про мережу, що захищається, тим самим утрудняючи дії потенційних зловмисників. Могутнім методом заховання інформації є трансляція "внутрішніх" мережних адрес, яка попутно вирішує проблему розширення адресного простору, виділеного організації.
Відзначимо також наступні додаткові можливості міжмережевих екранів:
контроль інформаційного наповнення (антивірусний контроль "на льоту", верифікація Java-апплетов, виявлення ключових слів в електронних повідомленнях і т.п.);
виконання функцій ПО проміжного шару.
Особливо важливим представляється останній з перерахованих аспектів. ПО проміжного шару, як і традиційні міжмережеві екрани прикладного рівня, приховує інформацію про послуги, що надаються. За рахунок цього воно може виконувати такі функції, як маршрутизація запитів і балансування навантаження. Представляється цілком природним, щоб ці можливості були реалізовані в рамках міжмережевого екрану. Це істотно спрощує дії по забезпеченню високої доступності сервісів, що експортуються, і дозволяє здійснювати перемикання на резервні потужності прозорим для зовнішніх користувачів чином. В результаті до послуг, традиційно тим, що надається міжмережевими екранами, додається підтримка високої доступності мережних сервісів.
Приклад сучасного міжмережевого екрану представлений в статті "Z-2 - універсальний міжмережевий екран вищого рівня захисту" (Jet Info, 2002, 5).
Сервіс аналізу захищеності призначений для виявлення вразливих місць з метою їх оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає знайти (і усунути) пропуски в захисті раніше, ніж їх зможе використовувати зловмисник. В першу чергу, маються на увазі не архітектурні (їх ліквідовувати складно), а "оперативні" проломи, що з’явилися в результаті помилок адміністрування або через неувагу до оновлення версій програмного забезпечення.
Системи аналізу захищеності (звані також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на накопиченні і використовуванні знань. В даному випадку маються на увазі знання про пропуски в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.
Відповідно, ядром таких систем є база вразливих місць, яка визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.
У принципі, можуть виявлятися проломи самої різної природи: наявність шкідливого ПО (зокрема, вірусів), слабкі паролі користувачів, невдало конфігуровані операційні системи, небезпечні мережні сервіси, невстановлені латки, уразливості в додатках і т.д. Проте найефективнішими є мережні сканери (очевидно, через домінування сімейства протоколів TCP/IP), а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не вважаючи її окремим сервісом безпеки.
Сканери можуть виявляти вразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації дій атакуючого. Деякі знайдені вразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інші повідомляється адміністратора.
Системи аналізу захищеності забезпечені традиційним "технологічним цукром": автообнаружением компонентів аналізованої ІС і графічним інтерфейсом (допомагаючим, зокрема, ефективно працювати з протоколом сканування).
З можливостями вільно поширюваного сканера Nessus можна ознайомитися, прочитавши статтю "Сканер захищеності Nessus: унікальна пропозиція на російському ринку" (Jet Info, 2000, 10).
Контроль, забезпечуваний системами аналізу захищеності, носить реактивний, запізнюється характер, він не захищає від нових атак, проте слід пям’ятати, що оборона повинна бути ешелонованою, і як один з рубежів контроль захищеності цілком адекватний. Відзначимо також, що пригнічуюче більшість атак носить рутинний характер; вони можливі тільки тому, що відомі проломи в захисті
Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.
Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. – М.: КУДИЦ-ОБРАЗ, 2001.
Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.
Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.
Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.
Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.
Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»
Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.
Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.
Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»