Некоторые основные принципы работы сетевого экрана (брандмауэра, межсетевого экрана, файервола) в современных системах безопасности:

• Фильтрация трафика по заранее установленным правилам. 1 Каждое правило указывает брандмауэру действия, которые тот должен совершить для пакета из каждого IP-адреса и порта. 1 Есть три возможных действия: разрешить, отклонить или отбросить пакет: 14
• Разрешить (accept) — пакет пропускается в сеть. 14
• Отклонить (reject) — пакет не пропускается, пользователю отправляется сообщение об ошибке. 14
• Отбросить (drop) — пакет блокируется без дополнительных сообщений. 14
• Анализ действий пользователя. 1 После проведения анализа брандмауэр определяет типичность или нетипичность действий пользователя. 1 В последнем случае трафик может быть заблокирован экраном самостоятельно. 1
• Контроль параметров трафика. 3 Чаще всего проверяются IP-адреса, порты, протоколы и доменные имена. 3
• Регистрация трафика и подключений в журналах аудита. 2 Это позволяет сопоставить полученные данные со списком разрешённых и запрещённых действий. 2
• Защита от подмены трафика. 14 Брандмауэр предотвращает попытки злоумышленников подменить поток данных, например, отправив сфальсифицированную информацию от имени другого участника сети. 14
• Защита от атак распределённого доступа (DDoS). 14 Современные решения способны распознавать попытки подобных атак, находить закономерности в их осуществлении и перенастраивать экраны для фильтрации и запрета запросов, поступающих от ботов. 1