МЕЖСЕТЕВОЙ ЭКРАН – ЭКРАНИРОВАННАЯ ПОДСЕТЬ
МЕЖСЕТЕВОЙ ЭКРАН – ФИЛЬТРУЮЩИЙ МАРШРУТИЗАТОР
Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet. Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet , в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows , NIS и NFS. В принципе фильтрующий маршрутизаторможет реализоватьлюбую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена.
Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатки, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметимнекоторые из них:
· сложность правил фильтрации, в некоторых случаях совокупность этих правил может стать неуправляемой;
· невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;
· в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;
· каждый хост-компьютер, связанный с сетью Internet , нуждается в своих средствах усиленной аутентификации.
|
Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet .
Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:
· разрешается трафик от объектов internet к прикладному шлюзу;
· разрешается трафик от прикладного шлюза к internet ;
· разрешается трафик электронной почты от internet к серверу электронной почты;
· разрешается трафик электронной почты от сервера электронной почты к internet ;
· разрешается трафик FTP , Gopher и т.д. от internet к информационному серверу;
· запрещается остальной трафик.
Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet , идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.
Внутренний маршрутизатор защищает внутреннюю сеть как от Internet , так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:
· разрешается трафик от прикладного шлюза к системам сети;
· разрешается прикладной трафик от систем сети к прикладному шлюзу;
· разрешает трафик электронной почты от сервера электронной почты к системам сети;
· разрешается трафик электронной почты от систем сети к серверу электронной почты;
· разрешается трафик FTP , Gopher и т.д. от систем сети к информационному серверу;
· запрещает остальной трафик;
Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet , и наоборот. Кроме того, четкое разделение функций между маршрутизаторами и прикладным шлюзом позволяет достигнуть более высокой пропускной способности.
Прикладной шлюз может включать программы усиленной аутентификации.
Межсетевой экран с экранированной подсетью имеет и недостатки:
· пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности. поскольку из-за ошибок при их конфигурировании могут возникнуть провалы в безопасности всей сети;
· существует принципиальная возможность доступа в обход прикладного шлюза.
|