3.3 Брандмауэр с изолированным
хостом
Брандмауэр с изолированным
хостом более гибкий брандмауэр, чем
тот, который построен на основе
шлюза с двумя интерфейсами, хотя
гибкость достигается ценой
некоторого уменьшения
безопасности. Брандмауэр такого
вида уместен для сетей, которым
нужна большая гибкость, чем та,
которую может предоставить
брандмауэр на основе шлюза с двумя
интерфейсами. Брандмауэр данного
типа состоит из маршрутизатора с
фильтрацией пакетов и прикладного
шлюза, размещенного в защищенной
подсети. (Прикладной шлюз может
также размещаться со стороны
Интернета без особого ущерба
безопасности. Размещение
прикладного шлюза таким образом
может помочь понять, что он
является целью атак из Интернета и
не обязательно должен считаться
надежным.). Прикладному шлюзу
требуется только один интерфейс с
сетью. Прокси-сервисы шлюза должны
пропускать запросы к TELNET, FTP и
другим сервисам, для которых есть
прокси, к внутренним машинам сети.
Маршрутизатор фильтрует или
блокирует потенциально опасные
протоколы, чтобы они не достигли
прикладного шлюза и внутренние
системы.
Он отвергает или пропускает
трафик в соответствии со
следующими правилами:
- трафик от систем в Интернете к
прикладному шлюзу
пропускается
- другой трафик от систем в
Интернете блокируется
- маршрутизатор блокирует любой
трафик изнутри, если он не идет
от прикладного шлюза.
Рисунок 3.3
В отличие от шлюза с двумя
интерфейсами, прикладному шлюзу
требуется только один сетевой
интерфейс и не требуется отдельная
подсеть между прикладным шлюзом и
маршрутизатором. Это позволяет
брандмауэру быть более гибким, но
менее безопасным, так как
маршрутизатор может позволить
пропустить запросы к надежным
сервисам в обход прикладного шлюза.
Этими надежными сервисами могут
быть те сервисы, для которых нет
прокси-сервера, и которым можно
доверять в том смысле, что риск
использования этих сервисов
считается приемлемым. Например,
сервисы с низким уровнем риска,
такие как NTP, могут пропускаться
через маршрутизатор к системам
сети. Если внутренние системы
требуют доступа к DNS-серверам в
Интернете, то DNS может быть разрешен
для внутренних систем. В такой
конфигурации брандмауэр может
реализовывать комбинацию двух
политик, соотношение которых
зависит от того, для какого числа и
каких сервисов разрешено
передавать пакеты напрямую к
внутренним системам.
Дополнительная гибкость
брандмауэра с изолированным хостом
вызывается двумя обстоятельствами.
Во-первых, имеется две системы,
маршрутизатор и прикладной шлюз,
которые нужно конфигурировать. Как
уже отмечалось, правила фильтрации
пакетов на маршрутизаторе могут
быть сложными, трудными для
тестирования, и уязвимыми к
ошибкам, ведущим к появлению
уязвимых мест. Тем не менее, так как
маршрутизатору нужно ограничивать
трафик только для прикладного
шлюза, правила могут оказаться не
такими сложными, как это бывает при
использовании брандмауэра с
фильтрацией пакетов (который может
фильтровать трафик для группы
систем в сети). Вторым недостатком
является то, что гибкость делает
возможным нарушение политики (что
верно и для брандмауэра с
фильтрацией пакетов). Это является
менее серьезным для брандмауэра с
двумя интерфейсами, так как
технически невозможно передать
трафик при отсутствии
соответствующего прокси-сервиса. И
опять, для обеспечения
безопасности нужна строгая
политика безопасности.
В [Garf92], [Ran93], и [Ches94] имеется более
подробная информация о
брандмауэрах с изолированным
хостом.
Назад | Содержание | Вперед
|