Оглавление NIST 800-10   Политика безопасности при работе в Интернет   Банки данных Интернет  

3.3 Брандмауэр с изолированным хостом

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.

Он отвергает или пропускает трафик в соответствии со следующими правилами:

Рисунок 3.3

В отличие от шлюза с двумя интерфейсами, прикладному шлюзу требуется только один сетевой интерфейс и не требуется отдельная подсеть между прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более гибким, но менее безопасным, так как маршрутизатор может позволить пропустить запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять в том смысле, что риск использования этих сервисов считается приемлемым. Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться через маршрутизатор к системам сети. Если внутренние системы требуют доступа к DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В такой конфигурации брандмауэр может реализовывать комбинацию двух политик, соотношение которых зависит от того, для какого числа и каких сервисов разрешено передавать пакеты напрямую к внутренним системам. Дополнительная гибкость брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых, имеется две системы, маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Как уже отмечалось, правила фильтрации пакетов на маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться не такими сложными, как это бывает при использовании брандмауэра с фильтрацией пакетов (который может фильтровать трафик для группы систем в сети). Вторым недостатком является то, что гибкость делает возможным нарушение политики (что верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения безопасности нужна строгая политика безопасности.

В [Garf92], [Ran93], и [Ches94] имеется более подробная информация о брандмауэрах с изолированным хостом.

Назад | Содержание | Вперед

Оглавление NIST 800-10   Политика безопасности при работе в Интернет   Банки данных Интернет  

Знаете ли Вы, что абстракция - это процесс изменения уровня детализации программы. Когда мы абстрагируемся от проблемы, мы предполагаем игнорирование ряда подробностей с тем, чтобы свести задачу к более простой.

НОВОСТИ ФОРУМА

Форум Рыцари теории эфира


Рыцари теории эфира
 10.11.2021 - 12:37: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров.
10.11.2021 - 12:36: СОВЕСТЬ - Conscience -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров.
10.11.2021 - 12:36: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от д.м.н. Александра Алексеевича Редько - Карим_Хайдаров.
10.11.2021 - 12:35: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров.
10.11.2021 - 12:34: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вадима Глогера, США - Карим_Хайдаров.
10.11.2021 - 09:18: НОВЫЕ ТЕХНОЛОГИИ - New Technologies -> Волновая генетика Петра Гаряева, 5G-контроль и управление - Карим_Хайдаров.
10.11.2021 - 09:18: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров.
10.11.2021 - 09:16: ЭКОЛОГИЯ - Ecology -> ПРОБЛЕМЫ МЕДИЦИНЫ - Карим_Хайдаров.
10.11.2021 - 09:15: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Екатерины Коваленко - Карим_Хайдаров.
10.11.2021 - 09:13: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вильгельма Варкентина - Карим_Хайдаров.
Bourabai Research - Технологии XXI века Bourabai Research Institution