Межсетевой экран на базе двупортового шлюза

Основные схемы организации межсетевых экранов

Работа межсетевого экрана Реализация межсетевых экранов на примере конкретного производства.

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи: · защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети; · скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети, · разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть. Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности: · свободно доступные сегменты (например, рекламный WWW-сервер); · сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов); · закрытые сегменты (например, локальная финансовая сеть организации). Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов: ·

o Межсетевой экран на базе двух портового шлюза

o Межсетевой экран на основе экранирования шлюза

o Межсетевой экран – фильтрующий маршрутизатор

o Межсетевой экран – экранированная подсеть

o Применение межсетевых экранов для организации виртуальных корпоративных

Межсетевой экран на базе двух портового прикладного шлюза включает двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов. В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюзполностью блокирует трафик I Р между сетью internet и защищаемой сетью. Только полномочные сервера - посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям. Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, только маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем. Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной. Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, должна поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появится возможность проникнуть в защищаемую сеть. Этот межсетевой экран может требовать от пользователей применение средств усиленной аутентификации, а также регистрации доступа, попыток зондирования и атак системы нарушителем. Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы межсетевого экрана с прикладным шлюзом.