| Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet .
Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:
· разрешается трафик от объектов internet к прикладному шлюзу;
· разрешается трафик от прикладного шлюза к internet ;
· разрешается трафик электронной почты от internet к серверу электронной почты;
· разрешается трафик электронной почты от сервера электронной почты к internet ;
· разрешается трафик FTP , Gopher и т.д. от internet к информационному серверу;
· запрещается остальной трафик.
Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet , идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.
Внутренний маршрутизатор защищает внутреннюю сеть как от Internet , так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:
· разрешается трафик от прикладного шлюза к системам сети;
· разрешается прикладной трафик от систем сети к прикладному шлюзу;
· разрешает трафик электронной почты от сервера электронной почты к системам сети;
· разрешается трафик электронной почты от систем сети к серверу электронной почты;
· разрешается трафик FTP , Gopher и т.д. от систем сети к информационному серверу;
· запрещает остальной трафик;
Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet , и наоборот. Кроме того, четкое разделение функций между маршрутизаторами и прикладным шлюзом позволяет достигнуть более высокой пропускной способности.
Прикладной шлюз может включать программы усиленной аутентификации.
Межсетевой экран с экранированной подсетью имеет и недостатки:
· пара фильтрующих маршрутизаторов нуждается в большом внимании для обеспечения необходимого уровня безопасности. поскольку из-за ошибок при их конфигурировании могут возникнуть провалы в безопасности всей сети;
· существует принципиальная возможность доступа в обход прикладного шлюза.
|