Алекс Казаковски - Защитни стени
Филтрите обработват пакетите много бързо, но е малко вероятно те да бъдат идеални инструменти за защита, тъй като те разглеждат само някои от полетата в заглавката на пакета. Друг тип защитна стена, въведена от CheckPoint Software, е контекстната проверка на сесиите между клиенти и сървъри. Не само филтриране, този тип защитна стена прихваща пакети на мрежовия слой и взема решения въз основа на информация от високо ниво, като анализира данните в пакетите. Данните са категоризирани като „добри“ (данни, които правилата за сигурност позволяват да се предават), „лоши“ (данни, които правилата за защита забраняват да се предават) и „неизвестни“ (данни, за които не са дефинирани правила). Конкретно потвърдената защитна стена ги обработва, както следва: предават се добри данни; лошите данни се премахват, а неизвестните се филтрират, което означава, че защитната стена действа като пакетен филтър срещу нея. Друга сила на технологията за контекстно сканиране е нейната добра производителност.
Сред контекстно-чувствителните защитни стени два от най-популярните продукти са: Firewall-1 от CheckPoint Software и PIX от Cisco. И двамата прилагат една и съща основна технология, но се различават главно в незначителни детайли: операционна система, поддръжка, използваемост (потребителски интерфейс). Освен това Firewall-1 е изцяло софтуерно решение, докато PIX е хардуерно-софтуерен комплекс. PIX разчита на операционната система на Cisco Internetwork (IOS), която работи на рутери на Cisco. Според Cisco цялата обработка се извършва във флаш памет, премахвайки необходимостта от запис на диск.
Свързващ слой сървър
Сървърът на слоя за връзка е преводач на TCP връзката. Потребителят се свързва с определен порт на защитната стена, който се свързва с дестинация от другата страна. По време на сесия този преводач копира байтове в двете посоки, действайки като жица. Като правило дестинацията се задава предварително, докато може да има много източници - връзка един към много. Различни конфигурации могат да бъдат създадени с помощта на различни портове. Този тип сървър ви позволява да създадете преводач за всяка дефинирана от потребителя услуга въз основа на TCP, да контролирате достъпа до тази услуга и да събирате статистически данни за нейното използване. По-специално, обхватът на сървъра на слоя за връзка може да бъде организацията на така наречените виртуални частни мрежи (VPN - Virtual Private Network). Обикновено локалните мрежи (например организацията майка и нейните клонове) са свързани помежду си с помощта на глобална мрежова услуга, като наета линия или друго специално оборудване, за да осигурят надеждна връзка между две точки. Чрез разполагане на виртуална частна мрежа (VPN), компаниите могат да създадат връзка между защитни стени без допълнителни разходи за наети линии.