Брандмауэр с изолированным хостом более гибкий брандмауэр, чем
тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость
достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида
уместен для сетей, которым нужна большая гибкость, чем та, которую может
предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного
типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза,
размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со
стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза
таким образом может помочь понять, что он является целью атак из Интернета и не
обязательно должен считаться надежным.). Прикладному шлюзу требуется только один
интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP
и другим сервисам, для которых есть прокси, к внутренним машинам сети.
Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они
не достигли прикладного шлюза и внутренние системы.
Он отвергает или пропускает трафик в соответствии со следующими
правилами:
- трафик от систем в Интернете к прикладному шлюзу пропускается
- другой трафик от систем в Интернете блокируется
- маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного
шлюза.
Рисунок 3.3
В отличие от шлюза с двумя интерфейсами, прикладному шлюзу
требуется только один сетевой интерфейс и не требуется отдельная подсеть между
прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более
гибким, но менее безопасным, так как маршрутизатор может позволить пропустить
запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами
могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять
в том смысле, что риск использования этих сервисов считается приемлемым.
Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться
через маршрутизатор к системам сети. Если внутренние системы требуют доступа к
DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В
такой конфигурации брандмауэр может реализовывать комбинацию двух политик,
соотношение которых зависит от того, для какого числа и каких сервисов разрешено
передавать пакеты напрямую к внутренним системам. Дополнительная гибкость
брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых,
имеется две системы, маршрутизатор и прикладной шлюз, которые нужно
конфигурировать. Как уже отмечалось, правила фильтрации пакетов на
маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к
ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору
нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться
не такими сложными, как это бывает при использовании брандмауэра с фильтрацией
пакетов (который может фильтровать трафик для группы систем в сети). Вторым
недостатком является то, что гибкость делает возможным нарушение политики (что
верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для
брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик
при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения
безопасности нужна строгая политика безопасности.
В [Garf92], [Ran93], и [Ches94] имеется более подробная
информация о брандмауэрах с изолированным хостом.
|