Безопасность и Internet - статьи

       

Схемы подключения


Для подключения брандмауэров используются различные схемы. Брандмауэр может

использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для

подключения к внешней сети (см рис. 1). Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed

брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).

При этом между внешним роутером и брандмауэром имеется только один путь, по которому

идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является

единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с

точки зрения безопасности и надежности защиты.

Другая схема представлена на рис. 5.

При этом брандмауэром защищается только одна

подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто

располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые

брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с

точки зрения загрузки машины и безопасности самого брандмауэра

Существуют решения (см рис. 6),которые позволяют организовать для серверов,

которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за

доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не

могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.

Для повышения уровня защищенности возможно использовать в одной сети несколько

брандмауэров, стоящих друг за другом.



Содержание раздела