Многоуровневые брандмауэры
213
0
3 минуты
Темы:
В некоторых случаях для надежной защиты сети необходимы
многоуровневые брандмауэры. Такой подход служит для обеспечения
зашиты различного уровня для ресурсов с различными требованиями к
ней. Один из подобных сценариев подразумевает цепочку расположенных
друг за другом брандмауэров, что позволяет разбить ресурсы с
различными требованиями к безопасности по соответствующим им
сегментам сети. Однако многоуровневые брандмауэры могут
располагаться и на равном удалении от Интернета, параллельно друг
другу.Применение многоуровневых брандмауэров в полной мере
обеспечивает способность контроля над доступом к ресурсам. Но
стоимость установки и поддержки такой сетевой инфраструктуры
многократно возрастает с добавлением каждого нового брандмауэра.
Некоторые из существующих программ, например Check Point
Firewall-1, обеспечивают интуитивно понятный интерфейс управления
нескольким брандмауэрами с одного единственного компьютера. Другие,
вроде NetFilter, могут потребовать от администратора более
значительных усилий для поддержки конфигурации брандмауэра в
соответствии с требованиями текущей политики безопасности
организации.Внутренние брандмауэры.Схема многоуровневого
брандмауэра может подразумевать наличие нескольких внутри сетевых
брандмауэров, расположенных друг за другом и обеспечивающих
ограниченный доступ внешнего трафика к определенным ресурсам. Такая
конфигурация не так необычна, как может показаться на первый
взгляд. Рассмотрим типичную архитектуру, в которой за
маршрутизатором расположен один-единственный брандмауэр. В случае
использования функции маршрутизатора по контролю списков доступа
взамен обычной фильтрации пакетов, маршрутизатор начинает
действовать подобно брандмауэру. Безусловно, данная идея вносит
избыточность в схему контроля доступа, но именно такой запас
прочности позволяет надеяться, что если одно из устройств не сумеет
пресечь злонамеренный трафик, то это удастся сделать
другому.Возможно, такое решение покажется неоправданным, в этом
случае имеет смысл изучить приведенную на рис. 10 схему.Данная
схема позволяет извлечь преимущества из сегментированной согласно
различным уровням безопасности сети. Чем ближе по отношению к
Интернету расположена подсеть, тем меньшим уровнем безопасности она
обладает. В приведенном на рисунке примере web-сервер расположен
под прикрытием первого брандмауэра, в то время как более
чувствительные серверы с базами данных отделены от него вторым
брандмауэром. Соответственно, первый брандмауэр сконфигурирован в
расчете на доступ извне только на web-сервер, а второй брандмауэр
разрешает доступ к серверам с базами данных только со стороны
защищенного, внутреннего web-сервера.Рис.
Внутренние брандмауэры. Одна из самых главных проблем, связанных с
корпоративными многоуровневыми брандмауэрами, заключается в
сложности управления ими. Администратор должен не только
установить, настроить и поддерживать несколько уровней
брандмауэров, но и обеспечить их совместимость друг с другом. Если,
например, требуется обеспечить доступ в Интернет с системы,
расположенной за двумя брандмауэрами, то необходимо внести
соответствующие правила доступа в настройки обоих брандмауэров.
Коммерческие программы брандмауэров, например, Check Point
Firewall-1 и Cisco PIX, нередко наделены программными решениями,
позволяющими управлять несколькими брандмауэрами средствами одной
единственной системы. Это облегчает корректную настройку всех
внутренних брандмауэров, входящих в состав многоуровневой защиты.
Однако если некое устройство нуждается в прямом доступе в Интернет,
то целесообразно пересмотреть проект сети с целью минимизации
брандмауэров, препятствующих этому.Брандмауэры, расположенные
параллельно.Существует множество ситуаций, вынуждающих расположить
брандмауэры параллельно друг другу. В подобных конфигурациях разные
брандмауэры, как правило, защищают ресурсы с разными требованиями к
уровню безопасности. Если брандмауэры расположены последовательно,
как это описывалось в предыдущем разделе, то пакеты,
предназначенные спрятанному в недрах сети хосту, неизбежно
задерживаются, что вызвано несколькими проверками прав их доступа.
В случае же с параллельными брандмауэрами такой вариант в принципе
невозможен, поскольку все брандмауэры оказываются равно удаленными
от внешнего мира.Другими словами, каждый брандмауэр в параллельной
конфигурации защищает лишь непосредственно прикрываемые им
устройства. Один из подобных сценариев отображен на рис. 11. В
данном примере используются два брандмауэра, каждый из которых
защищает различные системные ресурсы.Предполагается, что для защиты
доступных из Интернета устройств типа Web, SMTP и DNS-сервера,
требуются надежные защитные способности уровня прокси-сервера,
названного здесь "шлюзом прикладного уровня" (application gateway).
Другими словами, относительно низкое быстродействие
прокси-брандмауэра вполне допустимо для подобных целей. В то же
время, корпоративная часть сети, состоящая из рабочих станций и
серверов с данными, нуждается в брандмауэре экспертного уровня
(stateful firewall). В конечном счете, только параллельное
расположение двух принципиально отличных брандмауэров позволяет
достичь желаемого эффекта. Впрочем, данное решение лишено той
надежности, которую обеспечивают многоуровневые брандмауэры,
рассмотренные ранее.
Рис. 11. Брандмауэры, расположенные параллельно.
Понравилась работу? Лайкни ее и оставь свой комментарий!
Для автора это очень важно, это стимулирует его на новое творчество!