МЭ с адаптивной проверкой пакетов (или МЭ с запоминанием состояния пакетов)

МЭ с адаптивной проверкой пакетов пропускают и блокируют пакеты в соответствии с почти таким же набором правил, как и у пакетного фильтра. Они осуществляют контроль не только на базе IP-адресов и портов, но также и по значениям SYN (флаг синхронизации, создает сеанс TCP), ASK (флаг распознавания, подтверждает успешное принятие предыдущего пакета), порядковых номеров и других данных, содержащимся в заголовке TCP. Такие МЭ отслеживают состояние каждого сеанса и могут динамически открывать и закрывать порты в соответствии с требованиями различных сеансов. Они также способны анализировать данные определенных типов пакетов. Пример – протокол FTP, применительно к которому производится анализ команд для определения правильности направления их передачи.

Основным недостатком МЭ с запоминанием состояния пакетов является то, что он допускает прямые соединения между ненадежными и надежными хостами.

Чтобы обезопасить ЛВС от вторжений при выходе из строя одного из компонентов, необходимо создать многоступенчатую систему МЭ. Целесообразно использовать шлюз приложений, снабженный дополнительной защитой в виде двух фильтров пакетов: одного на входе в корпоративную сеть со стороны Интернет, другого – на ее выходе в Интернет.

Симметричное построение обеспечивает также определенную защиту от НСД в собственной сети. При этом Интернет-сервер необходимо подключать к одной или нескольким сетевым платам таким образом, чтобы он был защищен шлюзом приложений и одновременно с этим не находился непосредственно в ЛВС. Он имеет право общаться с внутренней сетью через шлюз приложений и внутренние фильтры пакетов.