Firewall—экранированная подсеть.

 

Firewall, состоящий из экранированной подсети представляет собой разновидность firewall с экранированным хостом [2]. Его можно использовать для размещения каждого компонента firewall в отдельной системе, что позволит увеличить пропускную способность и гибкость, за счет некоторого усложнения архитектуры. Каждая система, входящая в этот firewall, нужна только для выполнения конкретной задачи.

На рисунке 5.6 показаны два маршрутизатора, используемые для создания внутренней, экранированной подсети. Эта подсеть (иногда называемая в литературе "DMZ") содержит прикладной шлюз, однако она может также включать в себя информационные серверы и другие системы, требующие тщательно контролируемого доступа. Маршрутизатор, соединяющий сеть с Internet, должен пересылать трафик согласно следующим правилам:

трафик от прикладного шлюза к Internet разрешен,

трафик электронной почты от сервера электронной почты к Internet разрешен,

трафик от объектов Internet к прикладному шлюзу разрешен,

трафик электронной почты от Internet к серверу электронной почты разрешен,

трафик ftp, gopher и т д. от Internet к информационному серверу разрешен,

весь остальной трафик запрещен.

		Internet

 

 

Обозначения:

трафик доверенных приложений

остальной трафик

Рисунок 5.6. Firewall с экранированной подсетью.

 

Внешний маршрутизатор запрещает доступ из Internet к системам экранированной подсети и блокирует весь графики к Internet, идущий от систем, которые не должны являться инициаторами соединений (информационный сервер и др. системы). Маршрутизатор можно использовать и для блокирования любых других уязвимых протоколов,которые не должны передаваться к хостам экранированной подсети или от них.

Внутренний маршрутизатор осуществляет трафик к системам экранированной подсети и от них согласно следующим правилам:

 

трафик от прикладного шлюза к системам сети разрешен,

трафик электронной почты от сервера электронной почты к системам сети разрешен,

прикладной трафик от систем сети к прикладному шлюзу разрешен,

трафик электронной почты от систем сети к серверу электронной почты разрешен,

трафик ftp, gopher и т.д. от систем сети к информационному серверу разрешен,

весь остальной трафик запрещен.

Таким образом, ни одна система сети не достижима непосредственно из Internet и наоборот, как и для firewall с простым шлюзом. Главным отличием является то, что маршрутизаторы используются для направления трафика к конкретным системам, что исключает необходимость того, чтобы прикладной шлюз выполнял роль маршрутизатора. Это позволяет достигнуть большей пропускной способности. Следовательно, firewall с экранированной подсетью наиболее подходит для сетей с большими объемами трафика или с очень высокими скоростями обмена.

Наличие двух маршрутизаторов является избыточным, поскольку для того, чтобы проникнуть непосредственно в системы сети, нарушитель должен преодолеть оба маршрутизатора. Прикладной шлюз, сервер электронной почты и информационный сервер должны быть настроены так, чтобы только они были доступны из Internet. В базе данных DNS, достижимой для внешних систем, не должны использоваться имена остальных систем. Прикладной шлюз может содержать программы усиленной аутентификации. Очевидно, он требует сложного конфигурирования, однако использование для прикладных шлюзов и фильтров отдельных систем упрощает конфигурирование и управление.

Firewall с экранированной подсетью, как и firewall с экранированным шлюзом, можно сделать более гибким, допуская трафик между Internet и системами сети для некоторых проверенных служб. Однако такая гибкость может привести к тому, что будет необходимо сделать некоторые исключения из политики безопасности, что ослабит эффективность firewall. Во многих случаях больше подходит firewall с простым шлюзом, поскольку он не допускает ослабления политики безопасности (так как через него не могут проходить службы, не обладающие соответствующими полномочиями). Однако там, где пропускная способность и гибкость имеют большое значение, более предпочтителен firewall с экранированной подсетью.

Вместо того, чтобы пересылать службы непосредственно между Internet и системами сети, можно разместить системы, требующие этих служб, прямо в экранированной подсети. Например, сеть, не допускающая трафика Х Windows или NFS между Internet и системами сети, но все же требующая определенные службы, может разместить системы, требующие доступ, в экранированной подсети. Эти системы могут по-прежнему сохранять доступ к остальным системам сети, через прикладной шлюз и по необходимости реконфигурируя внутренний маршрутизатор. Такое решение могут использовать сети, требующие высокого уровня безопасности.

Firewall с экранированной подсетью обладает двумя недостатками.

Во-первых, существует принципиальная возможность доступа в обход прикладного(ых) шлюза(ов). Это верно и для случая firewall с экранированным шлюзом, однако firewall с экранированной подсетью допускает размещение в ней систем, требующих прямого доступа к службам Internet.

Вторым недостатком является то, что маршрутизаторы требуют большого внимания для обеспечения необходимого уровня безопасности. Как уже отмечалось, фильтрующие маршрутизаторы сложно конфигурировать, и из-за ошибок могут возникнуть лазейки в безопасности всей сети.