Межсетевые экраны как один из основных способов защиты сетей

 

 

Содержание

 

Введение

1. Эволюция систем безопасности  сетей

2. Управление безопасностью  сетей

3. Межсетевые экраны как  один из основных способов  защиты сетей

Заключение

Список использованной литературы

 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

В настоящее время невозможно представить работу даже маленькой компании без использования компьютерных технологий. А следовательно необходимо создание локальных или по другому корпоративных сетей, в которых обычно задействованы практически все компьютеры любой компании. Однако со времени появления сетей появилась проблема и их безопасности. Многие руководители фирм даже и не задумываются о том, как может повлиять на работу организации несанкционированное проникновение в корпоративную сеть. Каждый руководитель должен понимать важность защиты своей сети от несанкционированных посягательств, атак из глобальной сети и т.д. Каждая уважающая себя фирма связывается с другими локальными сетями через глобальную сеть Интернет, так как налаживать отдельные каналы связи между отдельными филиалами довольно дорого, а такое могут позволить себе только крупнейшие корпорации. Следовательно ждать нарушения защиты сети можно ожидать не только со стороны сотрудников своей корпорации, но и со стороны хакеров через Интернет и со стороны конкурирующих фирм, которые могут нанять тех же хакеров и направить их деятельность на порчу конкретного имущества.

Целью данной работы является рассмотрение эволюции систем безопасности, управления систем безопасности и в последней главе как пример приведен анализ наиболее часто используемого средства защиты - межсетевого экрана (далее МСЭ).

Однако, не смотря на то, что изменяется сетевое оборудование структурная система принципов защиты сетей остается практически неизменной, так как не меняется пока направление разработок в сфере компьютерных технологий основными разработчиками.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Эволюция систем  безопасности сетей

 

Актуальность проблемы защиты информации ни у кого не вызывает сомнения; особенно в последнее время, когда не проходит месяца, чтобы в России не устраивались конференции или семинары, посвященные этой теме. Российский рынок начинают осваивать многие зарубежные компании, которые еще недавно сторонились отечественного потребителя. К сожалению, такое изобилие приводит многих потенциальных заказчиков в замешательство. Что выбрать для защиты своей сети? Что актуально сейчас и что будет актуально в ближайшем будущем? Попробуем ответить на данный вопрос.

Надо понимать, что разные компании находятся на разных этапах развития своей информационной системы. Кто-то только приступает к созданию инфраструктуры обеспечения информационной безопасности. Причем начинает с самых насущных проблем - антивирусной защиты и установки межсетевых экранов. А кому-то явно недостаточно данных механизмов, используемых не один год, и актуальной стала проблема единой аутентификации всех пользователей корпоративной сети при помощи технологии PKI. Чтобы ответить на поставленные выше вопросы, необходимо посмотреть на эволюцию процесса защиты информации в компании. Несмотря на то, что правильно начинать процесс защиты своей организации с проектирования, анализа рисков и других нетехнических вопросов, многие предприятия пропускают данный этап и переходят сразу к закупкам и установке первоочередных средств защиты, к которым относятся межсетевые экраны и антивирусные системы. Почему именно они? Просто потому, что СМИ широко разрекламировали эти решения, как панацею, хотя они таковыми не являются. Результат - 60% компаний считают, что межсетевые экраны защищают их от всех атак.

Что касается межсетевых экранов, то в 4-м номере журнала «Системы безопасности, связи и телекоммуникаций» за 2001 год, в статье «Способы обхода межсетевых экранов», уже описывалось, почему это решение является в сегодняшних условиях явно недостаточным. Об этом говорят и многие другие специалисты во всем мире. В частности, по данным испытаний, проведенных в Министерстве Обороны США, выяснилось, что межсетевые экраны обнаруживают только 35% всех атак. Налицо неспособность эффективно отражать угрозы со стороны внешних хакеров; не говоря уже о злоумышленниках внутренних. Почему? Потому что, как говорят специалисты Пентагона, средства для реализации атак качественно совершенствуются 1-2 раза в год и межсетевые экраны просто не поспевают за ними.

А что с антивирусными системами? На первый взгляд, это одно из самых востребованных средств защиты. Однако здесь кроется маленькая тайна. По данным Лаборатории Касперского львиную долю всех вредоносных программ, поступающих в корпоративную сеть, составляют не вирусы в их истинном понимании, а черви (в 2002 году - 89,1%), которые заражают компьютеры, а не отдельные файлы. Еще 3,9% составляют троянцы и только потом идут обычные вирусы. Отсюда следует банальный вывод - 90% функционала антивируса вам никогда не понадобится, т.к. его антивирусная база содержит тысячи сигнатур вирусов, которые никогда на вашем компьютере не встретятся. Другое дело - системы обнаружения атак, изначально разрабатываемые для применения в сетях и учитывающие их специфику. У этих систем несколько иная идеология и создавались они именно для корпоративного применения (в отличие от антивирусов, которые сначала оккупировали автономные компьютеры и только потом медленно переползли в сеть). Т.е. IDS изначально имели функции централизованного управления, мониторинга, обновления и т.д., т.е. те функции, которые так важны в современных сетях. Многие антивирусы пока могут только мечтать о таких возможностях.

Кроме того, по мере развития, отдел защиты информации начинает сталкиваться с проблемой злоупотреблений со стороны сотрудников, которые нарушают политику безопасности и начинают ходить туда, куда не надо, скачивать то, что не надо и т.д. Статистика неумолима - 78% компаний сталкиваются со злоупотреблениями сотрудниками при использовании Internet, а 38% атак осуществляется изнутри компании. Никакой межсетевой экран не поможет защититься от внутренней угрозы. Это лишний раз доказывает необходимость применения технологии обнаружения атак, одинаково эффективно применяемой как внутри корпоративной сети, так и на ее границах.

Помимо обнаружения атак актуальным является их предотвращение, т.е. создание условий, препятствующих реализации несанкционированного доступа. Одной из технологий, использующих такой подход, является поиск уязвимостей (анализ защищенности), который заключается в идентификации различных «дыр» на узлах сети и своевременном их устранении до того, как ими смогут воспользоваться злоумышленники. Именно эти две технологии - обнаружение и предотвращение атак признаются вторым этапом эволюции процесса обеспечения информационной безопасности.

Этот же этап характеризуется применением систем контроля содержимого, которые позволяют анализировать весь сетевой трафик, передаваемый в рамках почтового и Web-сообщения. Такие средства, которые представлены в России и западными и отечественными производителями, очень востребованы, особенно в организациях, обрабатывающих конфиденциальную информацию. Ведь по статистике за 2002 год, 91% компаний столкнулись со случаями такой утечки, а ежегодные потери вследствие этого превысили 24 миллиарда долларов. Эти же средства могут использоваться и для других целей:

Защита от снижения производительности труда и бесполезной трата рабочего времени на посещение серверов, ненужных для выполнения непосредственных должностных обязанностей. Очень интересные цифры приводит ФБР и Институт компьютерной безопасности США. Согласно проведенному опросу, 93% организаций сталкиваются с злоупотреблениями в области использования Internet. А по данным eMarketer.com 32.6% пользователей, «блуждающих» по Internet, не имеют никакой конкретной цели и «ходят по Сети просто так».

Контроль загрузки неавторизованного или запрещенного программного обеспечения, с которым сталкиваются 91% компаний (в России эта цифра еще выше).

Как показывает опыт, многие предприятия находятся на первом уровне эволюции и только-только начинают задумываться о переходе на второй этап.

По мере роста компании, увеличивается число ее сотрудников и, как следствие, растет корпоративная сеть - возрастает число корпоративных узлов и ресурсов, точек выхода в Internet, филиалов и т.д. Все это накладывает особый отпечаток на обеспечение информационной безопасности. Головной болью становится задача обеспечение доступа сотен пользователей из разных сегментов сети к сотням ресурсов, возможно разбросанных по всей территории России и стран зарубежья. Только представьте себе ситуацию, когда один пользователь должен ввести пароль для доступа к своему компьютеру, базе данных, внутреннему порталу, Internet и другим ресурсам. А если таких пользователей сотни? И все они могут ошибиться, забыть один из паролей… В итоге критичная масса недовольства пользователей нарастает, на персонал, отвечающий за безопасность, наваливается шквал звонков с просьбой срочно разобраться в ситуации и т.д. Наверное, поэтому третьим этапом эволюции инфраструктуры информационной безопасности является внедрение системы единой аутентификации, которая может быть реализована по-разному, например, на базе инфраструктуры открытых ключей (PKI).

Использование технологии единой аутентификации позволяет пользователю проходит процесс своего опознания только один раз. Кроме того, такая технология:

облегчает контроль доступа сотрудников к ресурсам компании, в т.ч. и к конфиденциальной информации;

снижает нагрузку на сотрудников отдела защиты информации;

облегчает процедуру доступа пользователей к десяткам различных узлов, находящихся в корпоративной сети и за ее пределами

Нахождение на данном этапе говорит о зрелости компании и ее понимании роли информационных технологий в своем бизнесе. Однако, дойдя до третьего этапа, компания сталкивается с проблемой, которая только сейчас становится актуальной. Это лавина сообщений от разнородных средств защиты, установленных в самых критичных местах сети. И проблема не только в том, что средства защиты поставляются различными производителями. Например, межсетевой экран от компании Cisco Systems, система обнаружения атак - от Internet Security Systems, система защиты от НСД - от НИП «Информзащита», VPN - от CheckPoint Software, антивирус - от Диалог-Науки и т.д. Приобретая все указанные категории средств даже от одного производителя, вы не застрахованы от того, что они НЕ будут работать вместе. Например, возьмем для примера решения компании Symantec, которая на сегодняшний день предлагает практически весь спектр средств защиты - от антивирусных систем до межсетевых экранов. Однако, у каждого из продукта, выпускаемого под маркой Symantec (а их для корпоративного рынка насчитывается более 20) своя собственная консоль управления. Как вы думаете, сможете ли вы в таком случае эффективно управлять инфраструктурой информационной безопасностью вашей сети? Перед глазами сразу встает картина - администратор (хорошо, если он не один) сидит перед 20-тью мониторами и пытается одновременно следить за ними всеми. Впечатляет, не правда ли?

Для того чтобы избежать этой проблемы, необходима эффективная система управления и мониторинга информационной безопасности корпоративной сети. Т.е. наибольший эффект достигается тогда, когда все используемые защитные средства объединены в единую управляемую систему, которая:

унифицирует управление разнородными средствами в единых терминах политики безопасности

уменьшает временные и финансовые затраты на изучение разных консолей управления

позволяет эффективно обновлять все управляемые средства защиты

группирует все защищаемые ресурсы по различным признакам с целью фокусировки внимания на необходимых в данный моментах узлах

фильтровать события с целью устранения «шумовых» данных и снижения нагрузки на администратора безопасности

позволяет коррелировать данных от разнородных средств защиты с целью снижения числа ложных срабатываний и оповещения о действительно происходящих нарушениях политики безопасности.

Вершиной эволюции, ее завершающим пятым этапом, является переход от технической составляющей процесса информационной безопасности к ее организационной части и осознание руководством компании, что защита данных - важный элемент бизнес-стратегии организации. А раз так, то и подходить к решению этой проблемы надо не по частям, закупая в разное время различные средства защиты, а комплексно. Комплексность подразумевает выполнение работ с самых основ, т.е. начиная с анализа бизнеса компании и влияния на него информационных технологий, изучения потоков движения информации и каналов (способов) ее несанкционированного получения и т.д. Заканчивается этот процесс, называемый анализом рисков, составлением подробного плана действий по созданию инфраструктуры информационной безопасности, включающей в себя не только технические средства защиты информации, описанные выше, но и различные организационные, юридические и иные меры, направленные на повышение уровня защищенности корпоративных ресурсов.

 

 

 

2. Управление безопасностью  сетей

 

В настоящее время в большинстве небольших коммерческих фирм обязанности по администрированию сети и обязанности по обеспечению информационной безопасности возложены на плечи одного человека: как правило, это администратор сети. Связано это с объективными причинами - экономическими. Недостаток этого подхода очевиден, достаточно посмотреть на занятость администратора сети в течение дня - большая часть рабочего времени уходит на обеспечение бесперебойного функционирования того оборудования и программного обеспечения, за которое он отвечает. На отслеживание НСД и проверку прав пользователей не хватает времени, в такой ситуации администратор сети полагается на русский «авось» или выполняет обязанности по обеспечению безопасности в свободное от основных обязанностей время.

Однако в больших организациях все по-другому. Когда речь заходит о безопасности информации, в дело вступает отдел Управления безопасности и защиты информации (УБиЗИ) - так обычно они называются в банках (в других коммерческих и государственных структурах по-другому, но возлагаемые на них функции те же). Связано это с тем, что крупная организация обязана больше заботиться о безопасности корпоративных ресурсов: больше сведений в сети, которые могут навредить имиджу компании; информация, содержащая сведения ограниченного распространения, может быть очень интересна конкурентам.

Поэтому обязанности разделяются:

за конфигурацию сети отвечает отдел информационных технологий (а также за работоспособность оборудования, СУБД и др.);

за безопасность информации - Управление безопасности и защиты информации.

В УБиЗИ, как правило, выделяется человек (или несколько человек - в зависимости от размера организации), который и будет отвечать за информационную безопасность, его должность обычно называется «администратор информационной безопасности». Естественно, что ему, для выполнения возложенных на него задач, необходимо сотрудничать с сетевым администратором.

Рассмотрим, что необходимо администратору безопасности для выполнения этих задач:

Для контроля защищенных сетевых ресурсов и назначения прав и полномочий пользователей на эти ресурсы - средства ОС (обычно Win-dows NTили XP, реже Unix, NetWare).

Для проверки прав пользователей в базах данных - средства СУБД.

Для проверки фактов и попыток несанкционированных действий пользователей - журналы регистрации ОС, СУБД, межсетевых экранов.

На этом поприще администратор безопасности столкнется с интересами администратора сети, которому, естественно, не понравится, что кто-то будет контролировать, даже частично, то, за что администратор сети отвечает головой.

Поэтому можно смело сделать самый простой и очевидный вывод: администратору безопасности крупной организации крайне необходимо средство, позволяющее выполнять свои служебные обязанности, и не вмешиваться (или как можно меньше вмешиваться) в зону ответственности администратора сети.

Инструмент

Каким должен быть инструмент?

Представим, что система защиты реализована следующим образом - на рабочие станции, сервера сети и сервера баз данных расставлены своеобразные «агенты», которые будут:

«Понимать», что происходит на подотчетном для них месте, и передавать данные о работе «своего участка» на некий единый центр (автоматизированное рабочее место администратора безопасности).

По требованию администратора безопасности приостанавливать или блокировать работу рабочей станции сети или сервера, в случае выполнения пользователем несанкционированных действий.

Данная схема позволит помочь администратору безопасности, не вмешиваясь в работу администратора сети, следить за исполнением политики безопасности организации. При этом система не вмешивается в работу межсетевых экранов, серверов сети, СУБД и других средств, подотчетных администратору сети, за исключением критических ситуаций - попыток совершения несанкционированных действий.

Контроль контролирующего

Еще один целесообразный подход к обеспечению безопасности - разделение управления на роли. Пусть, к примеру, доступ к управлению будут иметь несколько человек:

Администратор безопасности. Имеет доступ ко всем средствам управления безопасностью.

Аудитор системы защиты информации. Имеет доступ к журналам регистрации, фиксирующим, в том числе, и действия администратора безопасности.

Системы защиты информации обычно предусматривают для главного пользователя практически неограниченные полномочия, а в лице аудитора системы защиты мы получим человека, способного контролировать действия самого администратора безопасности.

В такой ситуации, администратор безопасности, возможно, и будет иметь технические возможности выполнять какие-либо действия, запрещенные ему организационно, но он будет знать, что действия его контролируются и не безнаказанны.

Добавим новых участников в процесс управления, основываясь на положениях разработки НИП «Информзащита» технологии управления безопасностью «Беркут». Согласно данной технологии, к управлению безопасностью могут быть привлечены подразделения организации, которые совершенно не имеют никакого отношения к безопасности. Такая возможность появилась благодаря подходу к управлению на уровне сотрудников и возложенных на них служебных обязанностей. Вот некоторые положения «Беркута»:

Каждому сотруднику сопоставим пользователя сети (давно выдвигаемое требование к системам управления безопасностью, и рядом систем с успехом выполняющееся, например, системой Secret Net).

Должности сотрудника сопоставим права на те или иные ресурсы. Аналог - группа пользователей в Windows NT. В реализации такого механизма нет ничего сложного.

И, наконец, требование невмешательства в действия администратора сети. Пусть администратор сети добавляет и удаляет пользователей, но ничего не делает с их правами, а на администратора безопасности возложим обязанности по управлению полномочиями пользователей на использование того или иного защищаемого ресурса.

Приведем самый простой и очевидный пример, связанный с отделом кадров: любой отдел кадров ведет, как правило, свою базу данных, в которой учитываются сведения о сотрудниках, занимаемые ими должности, свободные клетки в штатной структуре и другие сведения, интересные в первую очередь, самому отделу кадров. Если такую базу данных связать с системой управления безопасностью организации, то получится интересный эффект, при котором повысится оперативность управления, прозрачность процесса, что, собственно, и преследуется. Рассмотрим подробнее как это происходит.

Выделим некоторые операции, происходящие в БД отдела кадров, которые будут интересны: увольнение сотрудника, отметка об уходе сотрудника в отпуск, назначение на другую должность.

Увольнение сотрудника

Итак, при увольнении сотрудника служащий отдела кадров делает пометку об его увольнении, база данных системы защиты, в которой каждому сотруднику сопоставлены пользователи информационной системы, их права и электронные идентификаторы, автоматически удаляет пользователя, делает недействительными его права на использование тех или иных информационных ресурсов и электронные идентификаторы. Налицо оперативность и прозрачность операции.

Уход в отпуск

Аналогичный эффект достигается при уходе сотрудника в отпуск: ставится отметка - и все электронные идентификаторы и права пользователя временно блокируются, и никто не сможет войти в систему под его именем.

Назначение на другую должность

При назначении сотрудника на другую должность, служащий отдела кадров изменяет в базе данных один параметр - должность сотрудника. Система управления безопасностью каждой должности сотрудника сопоставляет права и полномочия пользователя в информационной системе, и, при изменении должности, автоматически меняет его права на использование тех или иных корпоративных ресурсов. При изменении уровня допуска к конфиденциальной информации (для систем с полномочным управлением доступа), в базе данных отдела кадров сотруднику автоматически становятся доступны ресурсы с соответствующей меткой конфиденциальности.

Еще один вариант

Отдел кадров - это только первоначальный этап. Если внимательно присмотреться, то в рамках своих служебных обязанностей каждый сотрудник выполняет какую-то определенную задачу. Например: в коммерческом отделе ряд сотрудников имеют должность «менеджер по продажам», но каждый конкретный менеджер может специализироваться на определенном направлении продаж (на конкретном продукте или клиенте), или на какой-либо другой задаче, связанной со сбытом.

Определим данную задачу сотрудника в рамках своей должности термином «задача», и возложим распределение этих задач на руководителя отдела. Это не значит, что руководителю отдела придется тратить дополнительное время (обычно очень дорогое) на какие-то лишние телодвижения. Предоставим ему маленькую программку - электронную записную книжку, в которой указывается - какой сотрудник какую работу делает и когда он ее должен сдать. Таким образом, перекладываем с администратора безопасности еще ряд рутинных функций.

Затронутая в данной работе технология «Беркут» выдвигает подход, в котором роль администратора безопасности заключается в контроле соблюдения политики безопасности сотрудниками организации, в проверке прав и полномочий пользователей, и в оперативном реагировании на факты и попытки НСД, для чего, собственно, и назначается администратор безопасности.

Отбрасываются необходимость собирать и обобщать данные о состоянии различных подсистем, конфигурировать права и полномочия пользователей информационной системы, так как делать это будет система управления, что избавляет администратора безопасности от потребности вмешиваться в работу администраторов сети.

Далеко не все преимущества данного подхода рассмотрены в статье. В настоящее время большинство ОС и СУБД имеют собственные, достаточно продвинутые, средства защиты. Поэтому разработчики систем защиты информации должны ориентироваться на что-то новое, а не на дублирование встроенных средств защиты ОС.

Глупо было бы отвергать достояние истории - разделение труда, которое ведет к специализации, повышению качества выполняемой работы и росту производительности.

 

 

3. Межсетевые экраны как один из основных способов защиты сетей 

Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Межсетевые экраны как один из основных способов защиты сетей