Применение экранированного узла

Межсетевой экран, выполненный в виде экранированного узла, использует защитные возможности и пакетного фильтра, и proxy-сервера. В этой архитектуре, которая показана на рис. 2.3, для подключения к Internet служит пакетный фильтр, а для обеспечения различных сервисов - proxy-серверы.

Обратите внимание, что у proxy-сервера на этом рисунке имеется всего один сетевой интерфейс. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy-сервера. Поскольку proxy-сервер и его клиенты находятся в одной подсети, клиентская рабочая станция может посылать пакеты непосредственно пакетному фильтру, но они будут отброшены. Пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передает - только отправляемые proxy-сервером.

Рис. 2.3. Экранированный узел содержит и пакетный фильтр, и proxy-сервер

Работа подобного межсетевого экрана зависит от правильности настройки пакетного фильтра. Если бы для proxy-сервера применялся двухканальный компьютер, пакеты не могли бы напрямую пересылаться между локальной сетью и Internet, но в данном случае это не так. Например, вам может понадобиться какая-либо служба, для которой нет proxy-сервера. В этом случае можно настроить пакетный фильтр так, чтобы он разрешал маршрутизацию пакетов определенного типа от клиентов локальной сети в Internet, а пакеты всех других сервисов направлял через proxy-сервер. Решение о том, разрешать ли клиентам непосредственно взаимодействовать с маршрутизатором, минуя пакетный фильтр, должно приниматься на основе вашей политики безопасности.