Брандмауэр данного типа - более лучшая альтернатива, чем
брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста,
имеющего два сетевых интерфейса, в котором отключена функция маршрутизации
IP-пакетов с одного интерфейса на другой ( то есть хост не может
маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить
маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения
дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть,
которая может быть использована для размещения специализированных систем, таких
как информационные сервера и модемные пулы. В отличие от маршрутизатора с
фильтрацией пакетов брандмауэр данного типа может полностью блокирвоать передачу
трафика между Интернетом и защищаемой сетью. Сервисы обеспечиваются с помощью
прокси-серверов на этом хосте. Это простой брандмауэр, но очень безопасный.
(Некоторые брандмауэры на основе хоста с двумя интерфейсами не используют
прокси-серверы, а требуют, чтобы пользовтаели имели бюджеты на этом хосте для
доступа в Интернет. Это не рекомендуется, так как наличие большого числа
бюджетов на брандмауэре может привести к ошибкам пользователей, которые в свою
очередь приведут к атакам злоумышленников.)
Рисунок 3.2
Этот тип брандмауэра реализует политику второго типа, то есть
запрет доступа ко всем сервисам, кроме тех, которые явно разрешены, так как
невозможно получить доступ к тем сервисам, для которых нет прокси-сервера.
Возможность хоста принимать пакеты с маршрутизацией источника должна быть
отключена, чтобы нельзя было передать пакеты машинам в защищенной подсети. С его
помощью может быть достигнута высокая конфиденциальность, так как маршрут до
машины в защищаемой сети должен знать только брандмауэр, а не системы в
Интернете( так как машины в Интернете не могут посылать пакеты напрямую
защищаемым системам). Имена и IP-адреса систем внутренней сети будут неизвестны
для Интернета, так как брандмауэр не будет передавать информацию DNS. Как
минимум простой брандмауэр этого типа должен обеспечивать прокси-сервисы для
TELNET, FTP и центральный почтовый сервер, с помощью которого брандмауэр будет
принимать всю почту для внутренней сети, и передавать ее системам. Так как
брандмауэр использует хост, то на нем может быть установлены программы для
усиленной аутентификации пользователей . Также брандмауэр может протоколировать
попытки доступа и зондирования систем, что поможет выявить действия
злоумышленников.
Брандмауэр на основе хоста, соединенного с двумя сетями, а
также брандмауэр с изолированной подсетью, описываемый позже, обеспечивает
возможность отделить трафик, связанный с информационным сервером, от трафика
других систем сайта. Информационный сервер может быть размещен в подсети между
шлюзом и маршрутизатором, как показано на рисунке 3.2 Учитывая, что шлюз
обеспечивает соответствующие прокси-сервисы для информационного сервера (
например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ
из Интернета к серверу и заставить обратиться к брандмауэру. Если к серверу
разрешен прямой доступ ( что является менее безопасным вариантом), то имя
сервера и его IP-адрес могут быть доступны через DNS. Размещение информационного
сервера таким образом увеличивает безопасность сети, так как даже при
проникновении злоумышленника на информационный сервер, он не сможет получить
доступ к системам сети через шлюз с двумя интерфейсами.
Жесткость шлюза с двумя интерфейсами может оказаться неудобной
для некоторых сетей. Так как все сервисы по умолчанию заблокированы, кроме тех,
для которых имеются прокси-сервера, доступ к другим сервисам не может быть
организован. Системы, к которым требуется доступ, должны быть размещены между
шлюзом и Интернетом. Тем не менее, маршрутизатор может использоваться так, как
показано на рисунке 3.2 для создания подсети между шлюзом и маршрутизатором, и
системы, которые требуют дополнительных сервисов, должны быть размещены в этом
месте.
Другим важным моментом является то, что безопасность хоста,
используемого для организации брандмауэра, должна быть высокой, так как
использование уязвимых сервисов и технологий может привести к проникновению.
Если брандмауэр скомпрометирован, злоумышленник может потенциально обойти
средства защиты и, например, включить маршрутизацию IP.
|