Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

кроме снижения производительности, в последние годы резко изменилась легальная среДа ведения бизнеса. Законы и организации отдельных стран изменили поле деятельности, потребовав соблюдения определенного уровня безопасности и защиты приватных данных клиентов. Организации могут быть привлечены к судебной ответственности или оштрафованы на крупные суммы, если не были приняты надлежащие меры защиты клиентских данных. Такая атмосфера благоприятствует распространению линейки продуктов Forefront Edge.

Сегодня всем давно понятно, что ценные корпоративные наработки наподобие сайтов SharePoint нельзя выставлять для прямого доступа всем пользователям интернета. Первоначально интернет был основан на предположении, что можно доверять всем соединенным между собой сетям. Он не был спроектирован для обеспечения надежной защиты между сетями, потому понадобилось разработать концепции безопасности для защиты доступа между элементами интернета. Были созданы специальные устройства, называемые брандмауэрами, для блокировки доступа к внутренним сетевым ресурсам отдельных компаний.

Вначале многие организации не были подключены к интернету напрямую. Но даже и при создании такого подключения брандмауэры не использовались, т.к. считалось, что защита нужна только для правительственных и особо секретных организаций.

Со взрывоподобным размножением вирусов, атак и червей организации вскоре начали понимать, что все-таки необходимо какое-то решение брандмауэра, чтобы блокировать доступ к конкретным “опасным” TCP- и UDP-портам, которые используются в интернет-протоколе TCP/IP. Такие брандмауэры должны просматривать каждый входящий пакет и пропускать или отбрасывать его, в зависимости от номера TCP- или UDP-порта, указанного в полученном информационном пакете.

В некоторых из этих брандмауэров используются специализированные микрочипы со встроенной технологией фильтрации пакетов. Эти брандмауэры, многие из которых используются и устанавливаются и по сей день, обеспечивают организации быстрым и простым способом фильтрации интернет-трафика, хотя в силу своей статичности и не допускают гибких настроек.

Разработка программных брандмауэров совпала по времени с возникновением необходимости упрощения интерфейсов управления и возможности быстрого и легкого внесения изменений в программное обеспечение брандмауэров. К этой категории относится и самый популярный в организациях на сегодняшний день брандмауэр — Checkpoint, а также другие популярные решения наподобие SonicWall и Cisco PIX. Линейка Forefront Edge была спроектирована и разработана как программный брандмауэр и обеспечивает такую технологию фильтрации пакетов, какая стала практически необходимой в современном интернете.

Относительно недавно бреши в возможностях технологии простой фильтрации пакетов привели к появлению более сложного подхода к фильтрации вредоносного или фальшивого контента. Линейка Forefront Edge отвечает этим требованиям, т.к. содержит возможности выполнения фильтрации интернет-трафика на уровне приложений.

Практически все организации, подключенные к интернету, применяют какую-то технологию фильтрации пакетов для защиты внутренних сетевых ресурсов от атак. Такие технологии фильтрации пакетов позволяют блокировать конкретные виды сетевого трафика — наподобие проникновения через уязвимости протокола RPC — просто блокируя TCP- иUDP-порты, которые используются в протоколе RPC. Другие же порты, наподобие TCP 80 или 443, остаются открытыми для поддержки определенных функций, необходимых для доступа к SharePoint с помощью HTTP и HTTPS. Как уже было сказано, брандмауэр, фильтрующий пакеты, может только просматривать заголовки пакетов, определяя, какой порт будет задействован, но не читая содержимого пакетов. Это похоже на пограничника, которых разрешает въезд в страну гражданам с паспортами определенных видов, но не имеет права проверять багаж на наличие контрабанды или запрещенных к провозу предметов.

Проблема в том, что вирусы, коды проникновения и атаки приспособились к новым условиям и начали применять вредоносные фрагменты содержимого пакетов, адресованных в разрешенные порты. Они могут “внедрить” свою вредоносную информацию через известный “хороший” порт, который открыт в брандмауэрах с фильтрацией пакетов. К примеру, многие современные коды проникновения, вирусы и прочее вредоносное ПО, наподобие поддельных приложений совместного доступа к файлам, проникают в системы через порт TCP 80 или 443. Если использовать аналогию с пограничником, то мошенники поняли, что можно вкладывать контрабанду в багаж пассажиров из списка разрешенных к въезду стран, поскольку пограничники этот багаж не досматривают. Подобные виды кодов проникновения и атак встречаются довольно часто, и список известных атак уровня приложений все разрастется.