Определение схемы подключения межсетевого экрана

Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра.

Брандмауэры с одним сетевым интерфейсом (рис. 5.3) не достаточно эф­фективны как с точки зрения безопасности, так и с позиций удобства кон­фигурирования. Они физически не разграничивают внутреннюю и внеш­нюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к кото­рой со стороны потенциально враждебной внешней сети может быть пол­ностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный сер­вер с модемным пулом.

Рис. 5.3.Защита локальной сети брандмауэром с одним сетевым интерфейсом

Среди всего множества возможных схем подключения брандмауэров типо­выми являются следующие: схема единой защиты локальной сети; схема с защищаемой закрытой и не защищаемой открытой подсетями; схема с раздельной защитой закрытой и открытой подсетей.

Схема единой защиты локальной сети является наиболее простым решением (рис. 5.4), при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и бранд­мауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является един­ственной видимой снаружи машиной. Открытые серверы, входящие в локаль­ную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищае­мой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использо­вать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

Рис. 5.4.Схема единой защиты локальной сети.

При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. 5.5). Данный способ обладает более высокой защищенностью закры­той части локальной сети, но обеспечивает пониженную безопасность от­крытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при не­высоких требованиях по безопасности к открытой подсети.

Рис. 5.5. Схема с защищаемой закрытой и не защищаемой открытой подсетями

В случае же, когда к безопасности открытых серверов предъявляются повы­шенные требования, то необходимо использовать схему с раздельной защи­той закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами (рис. 5.6) или на основе двух брандмауэров с двумя сетевыми интерфейсами (рис. 5.7). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой под­сети не позволяет осуществить доступ к закрытой подсети.

Из последних двух схем большую степень безопасности межсетевых взаимо­действий обеспечивает схема с двумя брандмауэрами, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая откры­тая подсеть здесь выступает в качестве экранирующей подсети. Обычно эк­ранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен ин­формационными пакетами между внешней сетью и закрытой подсетью невозможен.

Рис. 5.6.Схема с раздельной защитой закрытой и открытой подсетей на основе одного брандмауэра с тремя сетевыми интерфейсами.