logo
ИнфСборник по ЗИ и ИБ

Firewallна основе шлюза.

Информационный сервер

ЭВМ

Фильтрующий маршрутизатор

Прикладной

шлюз

ЭВМ

Такая схема организации защиты лучше, чем Firewallна основе фильтрующего маршрутизатора. Firewallна основе шлюза состоит из хост-системы с двумя сетевыми интерфейсами, при передаче информации между которыми осуществляется фильтрация. Кроме того, для обеспечения дополнительной защиты между защищаемой сетью иinternet,можно поместить фильтрующий маршрутизатор. Это создает между шлюзом и маршрутизатором внутреннюю экранированную подсеть, которую можно использовать для размещения систем, доступных извне, например, информационных серверов.

В отличие от фильтрующего маршрутизатора шлюз полностью блокирует трафик IPмежду сетью Internetи защищаемой сетью. Услуги и доступ предоставляются только полномочными серверами, расположенными на шлюзе. Это простая организация Firewall,но очень эффективная. Некоторые шлюзы не используют полномочных служб, зато требуют, чтобы пользователи осуществляли доступ к Internetтолько посредством регистрации на шлюзе. Этот тип шлюза менее предпочтителен, поскольку подключение к нему большого количества пользователей может привести к ошибкам, что может облегчить атаку для злоумышленника.

Этот тип Firewallреализует политику безопасности, при которой запрещено все, что не разрешено явно, поскольку делает недоступными все службы, кроме тех, для которых определены соответствующие полномочия. Шлюз игнорирует пакеты с маршрутизацией источника, поэтому передать в защищенную подсеть такие пакеты невозможно. Этим достигается высокий уровень безопасности, поскольку маршруты к защищенной подсети должны становятся известны только Firewallи скрыты от внешних систем, поскольку Firewallне будет передавать наружу информациюDNS.

Для простой настройки шлюза необходимо установить полномочные службы для TELNETи FTP,и централизованную электронную почту, с помощью которой Firewall будет получать всю почту, отправляемую в защищаемую сеть, а затем пересылать ее хостам сети. Этот Firewallможет требовать от пользователей применения средств усиленной аутентификации, регистрировать доступ, а также попытки зондирования и атак системы нарушителем.

Firewall,использующий шлюз, как и Firewallс экранированной подсетью, который будет рассмотрен далее, предоставляет возможность отделить трафик, связанный с информационным сервером, от остального трафика между сетью и Internet.Информационный сервер можно разместить в подсети между шлюзом и маршрутизатором, как показано на рисунке.Предполагая, что шлюз предоставляет информационному серверу подходящие полномочные службы (например, ftp, gopherили http), маршрутизатор может предотвратить прямой доступ кFirewallи обеспечить, чтобы этот доступ осуществлялся только через Firewall.Если разрешен прямой доступ к информационному серверу (что менее безопасно), то его имя и IPадрес становятся известны посредством DNS. Размещение информационного сервера до шлюза увеличивает безопасность основной сети, поскольку даже проникнув в информационный сервер, нарушитель не сможет получить доступ к системам сети.

Недостаточная гибкость шлюза может оказаться неприемлемой для некоторых сетей. Поскольку блокируются все службы, кроме определенных, доступ к другим службам осуществить невозможно; системы, требующие доступа, нужно располагать до шлюза со стороны Internet.Однако, как видно из рисунка,маршрутизатор можно использовать для образования подсети между шлюзом и маршрутизатором, и здесь же можно поместить системы, требующие дополнительных служб.

Необходимо отметить,что безопасность хост-систем, используемых в качестве шлюза, должна поддерживаться на очень высоком уровне, поскольку любая брешь в его защите может привести к серьезным последствиям. Если шлюз скомпрометирован, нарушитель будет иметь возможность проникнуть в защищаемую сеть.