Аппаратный межсетевой экран — это физический компонент фильтрации, проверяющий пакеты данных из сети перед тем, как они попадут на компьютеры и другие устройства в сети. Аппаратный межсетевой экран — это отдельное устройство, которое не использует и защищает ресурсы компьютеров, тем самым не влияя на производительность обработки. Межсетевой экран может быть настроен на блокирование нескольких отдельных портов, диапазона портов или даже трафика определенного приложения. Беспроводной межсетевой экран Linksys E2500 тоже является аппаратным межсетевым экраном.
Аппаратный межсетевой экран пропускает в сеть два типа трафика:
- Ответный трафик на трафик, сгенерированный из внутренней сети.
- Трафик к порту, который намеренно оставлен открытым
Существует несколько типов настройки программных межсетевых экранов:
- Фильтр пакетов — пакеты могут пройти через межсетевой экран, только если они соответствует набору правил, настроенных на межсетевом экране. Фильтрация трафика может осуществляться на основе различных атрибутов, таких как IP-адрес отправителя, порт отправителя или IP-адрес или порт назначения. Фильтрация трафика также может быть выполнена на основе служб назначения или протоколов, таких как WWW и FTP.
- Анализ пакетов с поддержкой состояния — это межсетевой экран, отслеживающий состояние сетевых подключений, проходящих через него. Пакеты, не относящиеся к известным подключениям, удаляются.
- Прикладной уровень — все пакеты, исходящие от приложения или предназначенные ему, перехватываются. Весь нежелательный входящий трафик не достигает защищенных устройств.
- Прокси — это межсетевой экран, установленный на прокси-сервере, проверяющий весь трафик и разрешающий или отклоняющий пакеты на основе настроенных правил. Прокси-сервер — это сервер ретрансляции между клиентом и сервером назначения в Интернете.
Программные и аппаратные межсетевые экраны защищают данные и оборудование в сети от несанкционированного доступа. Помимо программного обеспечения безопасности, необходимо использовать межсетевой экран. На рис. 1 приведено сравнение программных и аппаратных межсетевых экранов.
Для настройки параметров аппаратного межсетевого экрана на Linksys E2500, как показано на рис. 2, используйте следующий путь:
Security > Firewall > (Безопасность > Межсетевой экран), выберите Enable (Включить) для защиты межсетевого экрана SPI. Затем выберите другие интернет-фильтры и веб-фильтры, необходимые для защиты сети. Щелкните Save Settings > Continue (Сохранить параметры > Продолжить)
ПРИМЕЧАНИЕ. Даже в защищенной сети для обеспечения дополнительной безопасности необходимо включить встроенный межсетевой экран операционной системы. Некоторые приложения могут правильно работать только при настройке для них межсетевого экрана.
Демилитаризованная зона
DMZ — это подсеть, предоставляющая службы недоверяемой сети. В DMZ часто размещаются почтовые серверы, веб-серверы или серверы FTP, тем самым трафик , используемый сервером, не отправляется из локальной сети. Это защищает внутреннюю сеть от атак с трафика из внешней сети, но никак не защищает серверы в DMZ. Трафик в DMZ и из нее часто защищается межсетевым экраном или прокси.
На Linksys E2500 можно создать DMZ для одного устройства путем пересылки трафика всех портов из Интернета на определенный IP или MAC-адрес. В DMZ может находиться сервер, игровой компьютер или веб-камера, чтобы эти устройства были доступны всем. Однако устройство в DMZ подвержено атакам хакеров через Интернет.