Межсетевые экраны экспертного уровня

Включают в себя все вышерассмотренные типы МЭ за исключением управляемых коммутаторов.

 

Схемы подключения МЭ

1. Dual Homed

Межсетевой экран в таком варианте подключения осуществляет физическое и логическое разделение двух сетей, принимая решение о возможности установления соединения между ними.

1.1. Демилитаризованная зона (ДМЗ)

В некоторых случаях межсетевым экраном допускается использование нескольких сетевых адаптеров с установленными различными политиками безопасности. Для этого используется ДМЗ.

 

 

Как правило, в ДМЗ размещают службы, которые должны быть доступны и клиентам внешней сети, и клиентам защищаемой сети. Поскольку доступ к сервисам ДМЗ должен осуществляться из открытой сети, то в ДМЗ определяются менее жёсткие требования к сетевой безопасности, но достаточные для организации защиты от угроз. Если в сети используются группы пользователей с чётким разграничением доступных сервисов или различными уровнями конфиденциальности обрабатываемой информации, то межсетевой экран может контролировать сетевые потоки не только во внешние сети, но и между внутренними сегментами сети. Выделение ДМЗ, а также поддержка нескольких сетевых интерфейсов позволяет вести централизованное управление защитой сетевых ресурсов с различными принятыми политиками безопасности.

Пример: Пусть имеется корпоративный web-сервер осуществляющий публикацию данных компании в корпоративной сети. Эти данные извлекаются web-сервером из внутреннего сервера баз данных. Доступ к серверу баз данных разрешён только во внутренней сети. Для обеспечения работы интерфейса web-системы управления базой данных необходимо разрешить доступ от web-сервера к серверу баз данных. Тогда при получении доступа к web-серверы мы запросто можем получить доступ к серверу баз данных.

Выделение web-сервера в ДМЗ не только решает задачи защиты от внешних угроз, но и минимизирует возможность проникновения в локальную сеть.

 

1.2. Разрешение маршрутизации между сетевыми интерфейсами

 

В большинстве случаев маршрутизация разрешена между сетевыми интерфейсами на уровне операционной системы, при этом механизмы динамической и статической фильтрации управляются трафиком. В процессе загрузки/перезагрузки операционной системы существует короткий момент времени, в который сетевой стек с загруженным сервисом маршрутизации включен, а межсетевой экран с его правилами фильтрации ещё не загрузился.

 

1.3. Запрещение маршрутизации между сетевыми интерфейсами

 

При использовании межсетевым экраном только прикладных посредников необходимость в маршрутизации пакетов отсутствует. В этом случае прикладные посредники устанавливают посредничество между клиентом и сервером без поддержки маршрутизации со стороны ОС. При этом маршрутизацию между сетевыми интерфейсами можно запретить.

 

1.4. Межсетевой экран в локальной вычислительной сети

Межсетевой экранможно использовать для сегментирования локальной вычислительной сети с целью повышения её уровня информационной безопасности и защиты отдельных сетевых сегментов. Сегментирование в локальной сети используется тогда:

- когда в локальной сети присутствуют функциональные группы, обрабатывающие информацию с различным уровнем доступа,

- когда необходимо осуществлять управляемый доступ к прикладным и служебным сервисах,

- когда необходимо контролировать обмен информационными потоками между различными функциональными группами.

 

2. Экранирующий экран

В отличие от межсетевого экранас несколькими интерфейсами, разделяющего две и более сетей, экранирующий экран (бастион хост) подключен только к внутренней сети и имеет один сетевой интерфейс. В такой схеме большое внимание уделяется настройке таблиц маршрутизации таким образом, чтобы весь входящий трафик отправлялся на интерфейс межсетевого экрана, а во внутренней сети в качестве шлюза был указан IP-адрес межсетевого экрана.

 

 

1. Экранирующая подсеть

Конфигурация экранирующая подсеть добавляет дополнительный уровень безопасности в конфигурацию экранирующего экрана путём внесения сетевого сегмента для улучшения изоляции экранирующей сети.

 

Технологии МЭ

1. Сетевая трансляция адресов(NАT).

При использовании NАT межсетевой экран выступает посредником между двумя IP-узлами, организую 2 канала передачи данных. При этом межсетевой экран использующий NАT взаимодействует с внешним IP-узлом от имени внутреннего, но использую свой IP-адрес.

Типы IP-адресации локальных сетей:

1. 10.0.0.0 – 10.255.255.255
2. 172.16.0.0 – 172.31.255.255
3. 192.168.0.0 – 192.168.255.255

NAT обеспечивает простую и надёжную защиту путём установления так называемой «однонаправленной маршрутизации», когда сетевые пакеты передаются через межсетевой экран только из внутренней сети. Сетевая трансляция адресов осуществляется в трёх режимах:

- Динамический

- Статический

- Комбинированный.

Различают также трансляцию адреса источника и трансляцию адреса назначения. NAT применяется в следующих случаях:

1. Политика безопасности требует скрытия внутреннего адресного пространства сети

2. Смена адресов хостов в сети невозможна

3. Необходимо подключить сеть с большим количеством хостов, но с ограниченным количеством статических IP-адресов

 

Динамическая трансляция

При динамическом режиме, называемом трансляцией портов, межсетевой экран имеет один внешний адрес. Все обращения в общедоступную сеть со стороны клиента внутренней сети осуществляются с использованием этого адреса. Межсетевой экран при обращении клиента выделяет ему уникальный порт транспортного протокола для внешнего IP-адреса. Количество портов: 65000

Пример: В локальной сети используется не маршрутизируемая сеть с адресным пространством 10.0.0.0. Клиент локальной сети желает установить соединением с web-сервером 207.46.130.149.

 

ОС формирует обычные IP-пакеты и отправляет их в сеть. При прохождении пакетов через межсетевой экран, последний меняет адрес источника на адрес внешнего интерфейса, а транспортный порт источника – на первый свободный из пула неиспользуемых портов и заново вычисляет контрольную сумму. Для web-сервера клиентом выступает хост, имеющий IP-адрес 200.0.0.1, то есть МЭ. Сервер отвечает клиенту обычным образом.

 

Динамическая трансляция с динамической выборкой IP-адресов

В динамическом режиме с динамической выборкой внешние IP-адреса выделяются динамически из пула внешних адресов. Как и при динамической трансляции, для каждого соединения используется транспортный порт. Отличие заключается в том, что при исчерпании всего пула портов выделяется следующий внешний IP-адрес.

 

Статическая трансляция адресов

При статической трансляции внешнему интерфейсу МЭ назначается столько зарегистрированных IP-адресов, сколько хостов имеется во внутренней сети.

Пример:

1. Клиент общедоступного сегмента сети обращается к web-серверу по адресу 200.0.0.21. 2. МЭ находит в своей таблице маршрутизации соответствующее правило и заменяет адрес назначения на 10.0.0.21.

3. Сервер возвращает ответный пакет с адресом источника 10.0.0.21.

4. При выходе из локальной сети МЭ заменяет свой адрес на 200.0.0.21.

 

Статическая трансляция с динамической выборкой IP-адресов

Данный вид трансляции не использует транспортные порты, а каждому клиенту динамически назначается IP-адрес из пула внешних адресов.