Локальная сеть

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатка, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесто­чении требований к безопасности защищаемой сети. Отметим не­которые из них:

·сложность правил фильтрации, в некоторых случаях совокуп­ность этих правил может стать неуправляемой;

·невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

·каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

Межсетевой экран на базе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлю­за включает двудомный хост-компьютер с двумя сетевыми интер­фейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения допол­нительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рисунок). В ре­зультате между прикладным шлюзом и маршрутизатором образу­ется внутренняя экранированная подсеть. Эту подсеть можно ис­пользовать для размещения доступных извне информационных серверов .

маршрутизатор

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IР между сетью internet и защищаемой сетью. Только полномочные сервера - посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, только маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.

Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, долж­на поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появит­ся возможность проникнуть в защищаемую сеть.

Этот межсетевой экран может требовать от пользователей применение средств усиленной аутентификации, а также регистрации доступа, попыток зондирования и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой не­достаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост – компьютере и имеет только один сетевой интерфейс(рисунок).

Фильтрующий

маршрутизатор

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Пакетная фильтрация в фильт­рующем маршрутизаторе может быть реализована одним из сле­дующих способов:

·позволять внутренним хост – компьютерам открывать соединения с хост – компьютерами в сети Internet для определения сервисов

·запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных сервисов, разрешая некоторым сервисам соединение непосредственно через пакетную фильтрацию, в то время как другим только непря­мое соединение через полномочные серверы-посредники. Все за­висит от конкретной политики безопасности, принятой во внутрен­ней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномочные серверы-посредники, обеспечивал для систем защищаемой сети такие сервисы, как TELNET, FTP, SMTP.

Межсетевой экран выполненный по данной схеме, получается более глубоким, но менее безопасным по сравнению с межсетевым экраном с прикладным шлюзом на базе двудомного хост – компьютера . Это обусловлено тем, что в схеме межсетевого экрана с экранированным шлюзом существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системе локальной сети .

Основной недостаток схемы межсетевого экрана с экрани­рованным шлюзом заключается в том, что если атакующий нару­шитель сумеет проникнуть в хост-компьютер, то перед ним окажут­ся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если мар­шрутизатор окажется скомпрометированным, внутренняя сеть ста­нет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популяр­ной становится схема межсетевого экрана с экранированной подсетью.

Межсетевой экран – экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на осно­ве экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рисунок). Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой под­сетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.