Фильтрация пакетов
Сетевые экраны выполняют различные виды фильтрации пакетов. Маршрутизатор отслеживает пакеты на уровне IP и фильтрует их при проходе между интерфейсами маршрутизатора согласно установленному набору правил. Фильтрация может осуществляться по типу протокола, IP-адресам источника и пункта назначения, а также по исходным и конечным портам. Это позволяет пропускать определенные типы сообщений, например, запросы HTTP, но задерживать другие пакеты. Фильтры пакетов не проверяют данные пакетов, не могут выполнять фильтрацию по содержимому, что означает возможность прохождения потенциально опасного трафика.
Фильтрация пакетов уязвима и к атакам с помощью фрагментированных пакетов. Пакеты не запоминаются после фильтрации, поэтому нельзя определить, была ли попытка соединения вредоносной. Как отдельная линия обороны фильтрация пакетов довольно слаба, поэтому во многих сетевых экранах используются прокси-службы для повышения контроля доступа к системе. Еще одним преимуществом комбинирования двух методов является то, что не требуется устанавливать сложные правила фильтрации, так как фильтру пакетов необходимо пропускать только трафик, направленный на прокси, и блокировать все остальные пакеты. Более простые правила легче применять и, следовательно, проще обеспечить их правильную настройку.
