3.2 Брандмауэр на основе машины,
подключенной к двум сетям
Брандмауэр данного типа - более
лучшая альтернатива, чем
брандмауэр на базе маршрутизатора
с фильтрацией пакетов. Он состоит
из хоста, имеющего два сетевых
интерфейса, в котором отключена
функция маршрутизации IP-пакетов с
одного интерфейса на другой ( то
есть хост не может
маршрутизировать пакеты между
двумя сетями). Кроме того, можно
поместить маршрутизатор с
фильтрацией пакетов между сетью и
этим хостом для обеспечения
дополнительной защиты. Это поможет
создать внутреннюю изолированную
подсеть, которая может быть
использована для размещения
специализированных систем, таких
как информационные сервера и
модемные пулы. В отличие от
маршрутизатора с фильтрацией
пакетов брандмауэр данного типа
может полностью блокирвоать
передачу трафика между Интернетом
и защищаемой сетью. Сервисы
обеспечиваются с помощью
прокси-серверов на этом хосте. Это
простой брандмауэр, но очень
безопасный. (Некоторые брандмауэры
на основе хоста с двумя
интерфейсами не используют
прокси-серверы, а требуют, чтобы
пользовтаели имели бюджеты на этом
хосте для доступа в Интернет. Это не
рекомендуется, так как наличие
большого числа бюджетов на
брандмауэре может привести к
ошибкам пользователей, которые в
свою очередь приведут к атакам
злоумышленников.)
Рисунок 3.2
Этот тип брандмауэра реализует
политику второго типа, то есть
запрет доступа ко всем сервисам,
кроме тех, которые явно разрешены,
так как невозможно получить доступ
к тем сервисам, для которых нет
прокси-сервера. Возможность хоста
принимать пакеты с маршрутизацией
источника должна быть отключена,
чтобы нельзя было передать пакеты
машинам в защищенной подсети. С его
помощью может быть достигнута
высокая конфиденциальность, так
как маршрут до машины в защищаемой
сети должен знать только
брандмауэр, а не системы в
Интернете( так как машины в
Интернете не могут посылать пакеты
напрямую защищаемым системам).
Имена и IP-адреса систем внутренней
сети будут неизвестны для
Интернета, так как брандмауэр не
будет передавать информацию DNS. Как
минимум простой брандмауэр этого
типа должен обеспечивать
прокси-сервисы для TELNET, FTP и
центральный почтовый сервер, с
помощью которого брандмауэр будет
принимать всю почту для внутренней
сети, и передавать ее системам. Так
как брандмауэр использует хост, то
на нем может быть установлены
программы для усиленной
аутентификации пользователей .
Также брандмауэр может
протоколировать попытки доступа и
зондирования систем, что поможет
выявить действия злоумышленников.
Брандмауэр на основе хоста,
соединенного с двумя сетями, а
также брандмауэр с изолированной
подсетью, описываемый позже,
обеспечивает возможность отделить
трафик, связанный с информационным
сервером, от трафика других систем
сайта. Информационный сервер может
быть размещен в подсети между
шлюзом и маршрутизатором, как
показано на рисунке 3.2 Учитывая, что
шлюз обеспечивает соответствующие
прокси-сервисы для информационного
сервера ( например, ftp, gopher или http),
маршрутизатор может предотвратить
прямой доступ из Интернета к
серверу и заставить обратиться к
брандмауэру. Если к серверу
разрешен прямой доступ ( что
является менее безопасным
вариантом), то имя сервера и его
IP-адрес могут быть доступны через
DNS. Размещение информационного
сервера таким образом увеличивает
безопасность сети, так как даже при
проникновении злоумышленника на
информационный сервер, он не сможет
получить доступ к системам сети
через шлюз с двумя интерфейсами.
Жесткость шлюза с двумя
интерфейсами может оказаться
неудобной для некоторых сетей. Так
как все сервисы по умолчанию
заблокированы, кроме тех, для
которых имеются прокси-сервера,
доступ к другим сервисам не может
быть организован. Системы, к
которым требуется доступ, должны
быть размещены между шлюзом и
Интернетом. Тем не менее,
маршрутизатор может
использоваться так, как показано на
рисунке 3.2 для создания подсети
между шлюзом и маршрутизатором, и
системы, которые требуют
дополнительных сервисов, должны
быть размещены в этом месте.
Другим важным моментом является
то, что безопасность хоста,
используемого для организации
брандмауэра, должна быть высокой,
так как использование уязвимых
сервисов и технологий может
привести к проникновению. Если
брандмауэр скомпрометирован,
злоумышленник может потенциально
обойти средства защиты и, например,
включить маршрутизацию IP.
Назад | Содержание | Вперед
|