Брандмауэр и маршрутизатор

Основы фильтрации.

Маршрутизатор отвечает лишь за свои непос­редственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширен­ные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать "бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.

Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэром.

Отметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизато­ра, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, след­ствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.

Управление доступом.

В описанном выше сценарии зашиты брандмауэр несет на себе основную ответ­ственность за контроль доступа. Именно здесь уместнее всего задать в качестве по­литики по умолчанию полную блокировку всего входящего трафика за исключени­ем нескольких необходимых для нормальной работы протоколов. Брандмауэр в та­ком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с дан­ной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реа­лизация подобного брандмауэра превратится в неразрешимую задачу.

Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой деми­литаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможно­сти фильтрации маршрутизатора, а для защиты корпоративной подсети применяет­ся настроенный определенным образом брандмауэр.

Маршрутизатор в зоне контроля поставщика Интернет-услуг.

В некоторых случаях Интернет-провайдер вполне способен предоставить клиен­ту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации при­надлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отноше­нии это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.

Другими словами, главным ограничением подобной конфигурации является от­сутствие полной информации о том, какой именно трафик блокируется маршрути­затором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обра­титься к провайдеру с просьбой либо ослабить контроль трафика со стороны их мар­шрутизатора, либо предоставить log-файлы, возникающие в результате такого конт­роля.

Маршрутизатор без брандмауэра.

Корректно настроенный маршрути­затор вполне способен блокировать нежелательный трафик. Особенно в случае, ког­да для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.

Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента ло­кальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайта­ми, для их соединения между собой наверняка применяется именно маршрутиза­тор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.

Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной много­уровневой защиты, предназначенной оградить сеть от многочисленных потенци­альных угроз извне.