Большой архив статей, книг, документации по программированию, вебдизайну, компьютерной графике, сетям, операционным системам и многому другому
 
<Добавить в Избранное>    <Сделать стартовой>    <Реклама на сайте>    <Контакты>
  Главная Документация Программы Обои   Экспорт RSS E-Books
 
 

   Безопасность -> Интернет -> Содержание сети в безопасности при работе с Интернетом


3.3 Брандмауэр с изолированным хостом

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.

Он отвергает или пропускает трафик в соответствии со следующими правилами:

  • трафик от систем в Интернете к прикладному шлюзу пропускается
  • другой трафик от систем в Интернете блокируется
  • маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.

Рисунок 3.3

В отличие от шлюза с двумя интерфейсами, прикладному шлюзу требуется только один сетевой интерфейс и не требуется отдельная подсеть между прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более гибким, но менее безопасным, так как маршрутизатор может позволить пропустить запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять в том смысле, что риск использования этих сервисов считается приемлемым. Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться через маршрутизатор к системам сети. Если внутренние системы требуют доступа к DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В такой конфигурации брандмауэр может реализовывать комбинацию двух политик, соотношение которых зависит от того, для какого числа и каких сервисов разрешено передавать пакеты напрямую к внутренним системам. Дополнительная гибкость брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых, имеется две системы, маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Как уже отмечалось, правила фильтрации пакетов на маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться не такими сложными, как это бывает при использовании брандмауэра с фильтрацией пакетов (который может фильтровать трафик для группы систем в сети). Вторым недостатком является то, что гибкость делает возможным нарушение политики (что верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения безопасности нужна строгая политика безопасности.

В [Garf92], [Ran93], и [Ches94] имеется более подробная информация о брандмауэрах с изолированным хостом.

Содержание| Вперед



 

 
Интересное в сети
 
10 новых программ
CodeLobster PHP Edition 3.7.2
WinToFlash 0.7.0008
Free Video to Flash Converter 4.7.24
Total Commander v7.55
aTunes 2.0.1
Process Explorer v12.04
Backup42 v3.0
Predator 2.0.1
FastStone Image Viewer 4.1
Process Lasso 3.70.4
FastStone Image Viewer 4.0
Xion Audio Player 1.0.125
Notepad GNU v.2.2.8.7.7
K-Lite Codec Pack 5.3.0 Full


Наши сервисы
Рассылка новостей. Подпишитесь на рассылку сейчас и вы всегда будете в курсе последних событий в мире информационных технологий.
Новостные информеры. Поставьте наши информеры к себе и у вас на сайте появится дополнительный постоянно обновляемый раздел.
Добавление статей. Если вы являетесь автором статьи или обзора на тему ИТ присылайте материал нам, мы с удовольствием опубликуем его у себя на сайте.
Реклама на сайте. Размещая рекламу у нас, вы получите новых посетителей, которые могут стать вашими клиентами.
 
Это интересно
 

Copyright © CompDoc.Ru
При цитировании и перепечатке ссылка на www.compdoc.ru обязательна. Карта сайта.