Межсетевое экранирование

Конфигурация с двумя DMZ-сетями


При наличии большого числа серверов с разными требованиями доступа можно иметь firewall пограничного роутера и два внутренних firewall’а и разместить все внешне доступные серверы во внешней DMZ между роутером и первым firewall’ом. Пограничный роутер будет фильтровать пакеты и обеспечивать защиту серверов, первый firewall будет обеспечивать управление доступом и защиту серверов внутренней DMZ в случае, если они атакованы. Организация размещает внутренне доступные серверы во внутренней DMZ, расположенной между основным и внутренним firewall’ами; firewall’ы будут обеспечивать защиту и управление доступом для внутренних серверов, защищенных как от внешних, так и от внутренних атак.


Рис. 2.3.  Пример окружения firewall’а с двумя DMZ-сетями

Окружение firewall’а для данной сети показано на рис. 2.3.

  • Внешняя DMZ-сеть соединена с Интернетом через пакетный фильтр, служащий пограничным роутером, – выше были указаны причины, по которым использование пакетного фильтра является предпочтительным.
  • Основной firewall является VPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПО VPN-клиента для соединения с firewall’ом.
  • Входящий SMTP-трафик должен пропускаться основным firewall’ом.
  • Исходящий НТТР-трафик должен проходить через внутренний firewall, который передает данный НТТР-трафик прикладному НТТР-прокси, размещенному во внутренней DMZ.

Основной и внутренний firewall’ы должны поддерживать технологию stateful inspection и могут также включать возможности прикладного прокси. Основной firewall должен выполнять следующие действия:

  • разрешать внешним пользователям соединяться с VPN-сервером, где они должны аутентифицироваться;
  • пропускать внутренние SMTP-соединения и данные к прокси-серверу, где данные могут быть отфильтрованы и переданы системам назначения;
  • выполнять роутинг исходящего НТТР-трафика от НТТР-прокси и исходящего SMTP-трафика от SMTP-сервера;
  • после этого запретить весь другой исходящий НТТР- и SMTP-трафик;
  • после этого разрешить весь другой исходящий трафик.

Внутренний firewall должен принимать входящий трафик только от основного firewall’а, прикладного НТТР-прокси и SMTP-сервера. Кроме того, он должен принимать SMTP- и НТТР-трафик только от прокси, но не от основного firewall’а. Наконец, он должен разрешать все исходящие соединения от внутренних систем.

Чтобы сделать данный пример применимым к окружениям с более высокими требованиями к безопасности, можно добавить следующие сервисы:

  • могут быть добавлены внутренний и внешний DNS-серверы, чтобы спрятать внутренние системы;
  • может использоваться NAT для дальнейшего сокрытия внутренних систем;
  • исходящий трафик от внутренних систем может фильтроваться, что может включать фильтрование трафика к определенным сайтам или сервисам в соответствии с политикой управления;
  • может быть использовано несколько firewall’ов для увеличения производительности.



Содержание раздела