МЕЖСЕТЕВОЙ ЭКРАН – ЭКРАНИРОВАННАЯ ПОДСЕТЬ

МЕЖСЕТЕВОЙ ЭКРАН – ФИЛЬТРУЮЩИЙ МАРШРУТИЗАТОР

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реали­зации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet. Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet , в то время как большая часть досту­па к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows , NIS и NFS. В принципе фильтрующий маршрутизаторможет реализоватьлюбую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена. Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметимнекоторые из них: · сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой; · невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак; · в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он; · каждый хост-компьютер, связанный с сетью Internet , нуждается в своих средствах усиленной аутентификации.
Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet . Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам: · разрешается трафик от объектов internet к прикладному шлюзу; · разрешается трафик от прикладного шлюза к internet ; · разрешается трафик электронной почты от internet к серверу электронной почты; · разрешается трафик электронной почты от сервера электронной почты к internet ; · разрешается трафик FTP , Gopher и т.д. от internet к информационному серверу; · запрещается остальной трафик. Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet , идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них. Внутренний маршрутизатор защищает внутреннюю сеть как от Internet , так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами: · разрешается трафик от прикладного шлюза к системам сети; · разрешается прикладной трафик от систем сети к прикладному шлюзу; · разрешает трафик электронной почты от сервера электронной почты к системам сети; · разрешается трафик электронной почты от систем сети к серверу электронной почты; · разрешается трафик FTP , Gopher и т.д. от систем сети к информационному серверу; · запрещает остальной трафик; Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet , и наоборот. Кроме того, четкое разделение функций меж­ду маршрутизаторами и прикладным шлюзом позволяет достиг­нуть более высокой пропускной способности. Прикладной шлюз может включать программы усиленной аутентификации. Межсетевой экран с экранированной подсетью имеет и недостатки: · пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности. поскольку из-за ошибок при их конфигурировании могут возник­нуть провалы в безопасности всей сети; · существует принципиальная возможность доступа в обход прикладного шлюза.