Безопасность сетей

    0f1a9e67   

Разработка конфигурации межсетевого экрана - часть 2


Архитектура 2: один межсетевой экран

Вторая стандартная архитектура показана на рис. 10.4. В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети (об использовании таких отдельных сетей более подробно рассказываться в лекции 16). В таблице 10.2 приведены правила межсетевого экрана.

Один межсетевой экран

Рис. 10.4.  Один межсетевой экран

Таблица 10.2. Правила межсетевого экрана для архитектуры с одним межсетевым экраном

НомерИсходный IPКонечный IPСлужбаДействие
1ЛюбойВеб-серверHTTPПринятие
2ЛюбойПочтовый серверSMTP Принятие
3Почтовый серверЛюбойSMTP Принятие
4Внутренняя сетьЛюбойHTTP, HTTPS, FTP, telnet, SSH Принятие
5Внутренняя DNSЛюбойDNSПринятие
6ЛюбойЛюбойЛюбаяСброс

Как видно из таблицы 10.2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.

Архитектура 3: двойные межсетевые экраны

Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 10.5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 10.3 приведены правила для межсетевого экрана 1.

Вопрос к эксперту

Вопрос. Используются ли межсетевые экраны только на соединениях с интернетом?

Ответ. Не следует ограничивать область действия межсетевых экранов одними лишь интернет-соединениями. Межсетевой экран представляет собой устройство, которое может использоваться в любой ситуации, требующей контроля доступа. В частности, данные устройства можно использовать во внутренних сетях, которые необходимо защищать от других внутренних систем.




Содержание  Назад  Вперед