Многоуровневые брандмауэры
Posted By Автор не известен On In Ж | No CommentsВ некоторых случаях для надежной защиты сети необходимы
многоуровневые брандмауэры. Такой подход служит для обеспечения
зашиты различного уровня для ресурсов с различными требованиями к
ней. Один из подобных сценариев подразумевает цепочку расположенных
друг за другом брандмауэров, что позволяет разбить ресурсы с
различными требованиями к безопасности по соответствующим им
сегментам сети. Однако многоуровневые брандмауэры могут
располагаться и на равном удалении от Интернета, параллельно друг
другу.Применение многоуровневых брандмауэров в полной мере
обеспечивает способность контроля над доступом к ресурсам. Но
стоимость установки и поддержки такой сетевой инфраструктуры
многократно возрастает с добавлением каждого нового брандмауэра.
Некоторые из существующих программ, например Check Point
Firewall-1, обеспечивают интуитивно понятный интерфейс управления
нескольким брандмауэрами с одного единственного компьютера. Другие,
вроде NetFilter, могут потребовать от администратора более
значительных усилий для поддержки конфигурации брандмауэра в
соответствии с требованиями текущей политики безопасности
организации.Внутренние брандмауэры.Схема многоуровневого
брандмауэра может подразумевать наличие нескольких внутри сетевых
брандмауэров, расположенных друг за другом и обеспечивающих
ограниченный доступ внешнего трафика к определенным ресурсам. Такая
конфигурация не так необычна, как может показаться на первый
взгляд. Рассмотрим типичную архитектуру, в которой за
маршрутизатором расположен один-единственный брандмауэр. В случае
использования функции маршрутизатора по контролю списков доступа
взамен обычной фильтрации пакетов, маршрутизатор начинает
действовать подобно брандмауэру. Безусловно, данная идея вносит
избыточность в схему контроля доступа, но именно такой запас
прочности позволяет надеяться, что если одно из устройств не сумеет
пресечь злонамеренный трафик, то это удастся сделать
другому.Возможно, такое решение покажется неоправданным, в этом
случае имеет смысл изучить приведенную на рис. 10 схему.Данная
схема позволяет извлечь преимущества из сегментированной согласно
различным уровням безопасности сети. Чем ближе по отношению к
Интернету расположена подсеть, тем меньшим уровнем безопасности она
обладает. В приведенном на рисунке примере web-сервер расположен
под прикрытием первого брандмауэра, в то время как более
чувствительные серверы с базами данных отделены от него вторым
брандмауэром. Соответственно, первый брандмауэр сконфигурирован в
расчете на доступ извне только на web-сервер, а второй брандмауэр
разрешает доступ к серверам с базами данных только со стороны
защищенного, внутреннего web-сервера.Рис.
Внутренние брандмауэры. Одна из самых главных проблем, связанных с
корпоративными многоуровневыми брандмауэрами, заключается в
сложности управления ими. Администратор должен не только
установить, настроить и поддерживать несколько уровней
брандмауэров, но и обеспечить их совместимость друг с другом. Если,
например, требуется обеспечить доступ в Интернет с системы,
расположенной за двумя брандмауэрами, то необходимо внести
соответствующие правила доступа в настройки обоих брандмауэров.
Коммерческие программы брандмауэров, например, Check Point
Firewall-1 и Cisco PIX, нередко наделены программными решениями,
позволяющими управлять несколькими брандмауэрами средствами одной
единственной системы. Это облегчает корректную настройку всех
внутренних брандмауэров, входящих в состав многоуровневой защиты.
Однако если некое устройство нуждается в прямом доступе в Интернет,
то целесообразно пересмотреть проект сети с целью минимизации
брандмауэров, препятствующих этому.Брандмауэры, расположенные
параллельно.Существует множество ситуаций, вынуждающих расположить
брандмауэры параллельно друг другу. В подобных конфигурациях разные
брандмауэры, как правило, защищают ресурсы с разными требованиями к
уровню безопасности. Если брандмауэры расположены последовательно,
как это описывалось в предыдущем разделе, то пакеты,
предназначенные спрятанному в недрах сети хосту, неизбежно
задерживаются, что вызвано несколькими проверками прав их доступа.
В случае же с параллельными брандмауэрами такой вариант в принципе
невозможен, поскольку все брандмауэры оказываются равно удаленными
от внешнего мира.Другими словами, каждый брандмауэр в параллельной
конфигурации защищает лишь непосредственно прикрываемые им
устройства. Один из подобных сценариев отображен на рис. 11. В
данном примере используются два брандмауэра, каждый из которых
защищает различные системные ресурсы.Предполагается, что для защиты
доступных из Интернета устройств типа Web, SMTP и DNS-сервера,
требуются надежные защитные способности уровня прокси-сервера,
названного здесь "шлюзом прикладного уровня" (application gateway).
Другими словами, относительно низкое быстродействие
прокси-брандмауэра вполне допустимо для подобных целей. В то же
время, корпоративная часть сети, состоящая из рабочих станций и
серверов с данными, нуждается в брандмауэре экспертного уровня
(stateful firewall). В конечном счете, только параллельное
расположение двух принципиально отличных брандмауэров позволяет
достичь желаемого эффекта. Впрочем, данное решение лишено той
надежности, которую обеспечивают многоуровневые брандмауэры,
рассмотренные ранее.
Рис. 11. Брандмауэры, расположенные параллельно.