Специальная публикация NIST 800-10

       

Брандмауэр с изолированной подсетью


Брандмауэр с изолированной подсетью - это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив таким образом большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.

На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:

  • пропускать прикладной трафик от прикладного шлюза в Интернет
  • пропускать почтовый трафик от почтового сервера в Интернет
  • пропускать прикладной трафик из Интернета к прикладному шлюзу
  • пропускать почтовый трафик из Интернета к почтовому серверу
  • пропускать трафик из Интернета к информационному серверу
  • все остальные виды трафика блокировать

Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.

Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:

  • прикладной трафик от приклданого шлюза к внутренним системам пропускается
  • почтовый трафик от почтового сервера к внутренним системам пропускается
  • прикладной трафик к прикладному шлюзу от внутренних систем пропускается
  • почтовый трафик от внутренних систем к почтовому серверу пропускается
  • пропускать трафик от внутренних ситсем к информационному серверу
  • все остальные виды трафика блокировать




Рисунок 3.4

Поэтому не существует внутренних систем, напрямую доступных из Интернета и наоборот, как при брандмауэре на основе шлюза с двумя интерфейсами. Большим отличием является то, что маршрутизаторы используются для направления трафика к определенным системам, что делает ненужным прикладной шлюз с двумя интерфейсами. При таком варианте может быть достигнута большая пропускная способность, если маршрутизатор используется как шлюз для защищенной подсети. Как следствие, брандмауэр с изолированной подсетью может оказаться более уместным вариантом для сетей с большим объемом трафика или сетей, которым требуется высокоскоростной трафик.

Эти два маршрутизатора обеспечивают дополнительный слой защиты, так как атакующему надо будет обойти средства защиты в обоих маршрутизаторах, чтобы получить доступ к внутренним системам. Прикладной шлюз, почтовый сервер и информационный сервер могут быть установлены таким образом, что будут единственными системами, видимыми из Интернета; размещение информации в DNS, доступной в Интернете, о других системах не потребуется. На прикладном шлюзе могут быть установлены меры усиленной аутентификации для аутентификации всех входящих соединений. Конечно, это потребует дополнительного конфигурирования, но использование отдельных систем для прикладного шлюза и фильтрации пакетов сделает конфигуирование более простым..

Брандмауэр с изолированной подсетью, как и брандмауэр с изолированным хостом, может быть сделан более гибким при разрешении существования "доверенных" сервисов, которым будет разрешаться передаваться между Интернетом и внутренними системами. Но эта гибкость открывает возможность нарушения политики, ослаблению эффекта брандмауэра. Во многих отношениях, брандмауэр на основе шлюза с двумя интерфейсами более желателен, так как политику нельзя ослабить (в нем нельзя разрешить передачу сервисов, для которых нет прокси-сервера). Тем не менее, если важны пропускная способность т гибкость, более желателен брандмауэр с изолированной подсетью.

В качестве альтернативы передаче сервисов напрямую между Интернетом и внутренними системами можно разместить системы, которым требуются такие сервисы, прямо в изолированной подсети. Например, не разрешается передавать трафик X Windows и NFS между Интернетом и внутренними системами, но если есть системы, которым необходимы такие возможности, они размещены в изолированной подсети. Эти системы могут взаимодействовать с внутренними системами через прикладной шлюз (внутренний маршрутизатор настроен соответствующим образом). Это не полное решение, но вариант для сетей, которым требуется высокая степень безопасности.

У брандмауэра с изолированной подсетью имеется два недостатка. Во-первых, так как можно его сконфигуировать так, что он будет пропускать "доверенные сервисы" в обход прикладного шлюза, то есть возможность нарушения политики. Это также верно и для брандмауэра с изолированным хостом, но брандмауэр с изолированной подсетью имеет место, куда можно поместить внутренние системы, которым требуется прямой доступ к таким сервисам. В брандмауэре с изолированным хостом "доверенные сервисы", которые передаются в обход прикладного шлюза, тоже напрямую взаимодействуют с внутренними системами. Второй недостаток - это то, что на маршрутизаторы возлагаются большие задачи по обеспечению безопасности. Как уже отмечалось, маршрутизаторы с фильтрацией пакетов иногда очень тяжело правильно сконфигуировать, а ошибки могут привести к появлению уязвимых мест.

| |


Содержание раздела