double arrow

Многоуровневые брандмауэры.

В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Один из подобных сценариев подразу­мевает цепочку расположенных друг за другом брандмауэров, что позволяет разбить ресурсы с различными требованиями к безопасности по соответствующим им сег­ментам сети. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.

Применение многоуровневых брандмауэров в полной мере обеспечивает способ­ность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра. Некоторые из существующих программ, например Check Point Firewall-1, обеспечивают интуитивно понятный интерфейс управления не­скольким брандмауэрами с одного единственного компьютера. Другие, вроде NetFilter, могут потребовать от администратора более значительных усилий для под­держки конфигурации брандмауэра в соответствии с требованиями текущей поли­тики безопасности организации.

Внутренние брандмауэры.

Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ог­раниченный доступ внешнего трафика к определенным ресурсам. Такая конфигура­ция не так необычна, как может показаться на первый взгляд. Рассмотрим типич­ную архитектуру, в которой за маршрутизатором расположен один-единственный брандмауэр. В случае использования функции маршрутизатора по контролю спис­ков доступа взамен обычной фильтрации пакетов, маршрутизатор начинает дей­ствовать подобно брандмауэру. Безусловно, данная идея вносит избыточность в схе­му контроля доступа, но именно такой запас прочности позволяет надеяться, что если одно из устройств не сумеет пресечь злонамеренный трафик, то это удастся сделать другому.

Возможно, такое решение пока­жется неоправданным, в этом случае имеет смысл изучить при­веденную на рис. 10 схему.

Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету рас­положена подсеть, тем меньшим уровнем безопасности она обладает. В приведен­ном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает дос­туп к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.

Рис. 10. Внутренние брандмауэры.

Одна из самых главных проблем, связанных с корпоративными многоуровневы­ми брандмауэрами, заключается в сложности управления ими. Администратор дол­жен не только установить, настроить и поддерживать несколько уровней брандмауэ­ров, но и обеспечить их совместимость друг с другом. Если, например, требуется обеспечить доступ в Интернет с системы, расположенной за двумя брандмауэрами, то необходимо внести соответствующие правила доступа в настройки обоих бранд­мауэров. Коммерческие программы брандмауэров, например, Check Point Firewall-1 и Cisco PIX, нередко наделены программными решениями, позволяющими управ­лять несколькими брандмауэрами средствами одной единственной системы. Это облегчает корректную настройку всех внутренних брандмауэров, входящих в состав многоуровневой защиты. Однако если некое устройство нуждается в прямом досту­пе в Интернет, то целесообразно пересмотреть проект сети с целью минимизации брандмауэров, препятствующих этому.

Брандмауэры, расположенные параллельно.

Существует множество ситуаций, вынуждающих расположить брандмауэры па­раллельно друг другу. В подобных конфигурациях разные брандмауэры, как прави­ло, защищают ресурсы с разными требованиями к уровню безопасности. Если бран­дмауэры расположены последовательно, как это описывалось в предыдущем разде­ле, то пакеты, предназначенные спрятанному в недрах сети хосту, неизбежно задерживаются, что вызвано несколькими проверками прав их доступа. В случае же с параллельными брандмауэрами такой вариант в принципе невозможен, по­скольку все брандмауэры оказываются равно удаленными от внешнего мира.

Другими словами, каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис. 11. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.

Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь "шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допус­тимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уров­ня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта. Впрочем, данное решение лишено той надежности, которую обеспечивают много­уровневые брандмауэры, рассмотренные ранее.

Рис. 11. Брандмауэры, расположенные параллельно.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: