Применение двухканального узла

Маршрутизатор, соединяющий локальную сеть с Internet, должен содержать не менее двух сетевых интерфейсов. Один из них подключается к локальной сети, а другой - к внешнему миру, и каждый обладает собственным IP-адресом. На основе заданных вами правил маршрутизатор принимает решения о том, какие пакеты передавать из одного интерфейса в другой.

Двухканальный узел (dual-homed host) работает аналогичным образом. К компьютеру подключается два сетевых интерфейса, и так же, как и в маршрутизаторе, один - к локальной сети, а второй - к Internet (см. рис. 2.2). Но, в отличие от маршрутизатора, многие операционные системы распознают оба установленных адаптера и автоматически передают пакеты из одного интерфейса в другой, если этого достаточно для доставки пакета адресату. Другими словами, двухканальный узел работает как маршрутизатор. Данная функция, обычно называемая IP forwarding (пересылкой IP-пакетов), должна быть отключена, если вы собираетесь применять компьютер в качестве компонента межсетевого экрана.

После размещения двухканального узла между локальной сетью и Internet клиентские компьютеры в локальной сети больше не будут доступны из Internet напрямую. Сетевые пакеты, приходящие от клиентов в локальной сети по одному интерфейсу, окажутся под контролем proxy-сервера, работающего на двухканальном компьютере. Программное обеспечение proxy-сервера определяет, разрешен ли запрос, а затем выполняет его, отправляя пакеты по внешнему интерфейсу. Не исключено, что в случае повышенных требований к безопасности одного двухканального компьютера будет недостаточно для защиты Internet-подключения. Операционные системы компьютеров очень сложны, поэтому практически невозможно гарантировать полное отсутствие в них уязвимых мест. Например, Windows 2000 состоит из миллионов строк кода. Время от времени кто-нибудь обнаруживает новые ошибки, которые могут эксплуатироваться с целью нарушить защиту. Необходимо постоянно следить за рекомендациями производителей по обеспечению безопасности и получать обновления и исправления для всех
замеченных недочетов.

Рис. 2.2. Для связи локальной сети с Internet может быть использован двухканальный узел

Еще одно отличие между маршрутизатором с фильтрацией пакетов и двухканальным узлом заключается в том, что последний обычно функционирует в качестве proxy-сервера, а не пакетного фильтра. Вместо базы данных с правилами передачи пакетов между интерфейсами на двухканальном сервере, как правило, работает один или несколько proxy-серверов.