(сеть с умеренным доверием безопасности, куда выносятся внешние информационные
сервисы организации - Web, электронная почта и т.п.) и основной МЭ, защищающий
внутреннюю часть корпоративной сети.
Рис.
12.3.
Двухкомпонентное экранирование с демилитаризованной зоной.
Теоретически межсетевой экран
(особенно внутренний) должен быть многопротокольным, однако на практике
доминирование семейства протоколов TCP/IP столь велико, что поддержка других
протоколов представляется излишеством, вредным для безопасности (чем сложнее
сервис, тем он более уязвим).
Вообще говоря, и внешний, и внутренний
межсетевой экран может стать узким местом, поскольку объем сетевого трафика
имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы
предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных
серверов-посредников. Основной межсетевой экран может проводить грубую
классификацию входящего трафика по видам и передоверять фильтрацию
соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик).
Исходящий трафик сначала обрабатывается сервером-посредником, который может
выполнять и функционально полезные действия, такие как кэширование страниц
внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в
частности.
Ситуации, когда корпоративная сеть
содержит лишь один внешний канал, являются скорее исключением, чем правилом.
Напротив, типична ситуация, при которой корпоративная
сеть состоит из
нескольких территориально разнесенных сегментов, каждый из которых подключен к
Internet. В этом случае каждое подключение должно защищаться своим экраном.
Точнее говоря, можно считать, что корпоративный внешний межсетевой экран
является составным, и требуется решать задачу согласованного
администрирования (управления и аудита) всех компонентов.
Противоположностью составным
корпоративным МЭ (или их компонентами) являются персональные межсетевые
экраны и персональные экранирующие устройства. Первые являются программными
продуктами,
которые устанавливаются на персональные компьютеры и защищают
только их. Вторые реализуются на отдельных устройствах и защищают небольшую
локальную сеть, такую как сеть домашнего офиса.
При развертывании межсетевых
экранов следует соблюдать рассмотренные нами ранее принципы архитектурной
безопасности, в первую очередь позаботившись о простоте и управляемости,
об эшелонированности обороны, а также о невозможности перехода в
небезопасное состояние. Кроме того, следует принимать во внимание не только
внешние, но и внутренние угрозы.
Классификация межсетевых экранов
При рассмотрении любого вопроса,
касающегося сетевых технологий, основой служит семиуровневая эталонная модель
ISO/OSI. Межсетевые экраны также целесообразно классифицировать по уровню
фильтрации - канальному, сетевому, транспортному или прикладному.
Соответственно, можно говорить об экранирующих
Главная / безопасность пк / методы защиты информации 