Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

3.2 Брандмауэр на основе машины, подключенной к двум сетям

Брандмауэр данного типа - более лучшая альтернатива, чем брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой ( то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть, которая может быть использована для размещения специализированных систем, таких как информационные сервера и модемные пулы. В отличие от маршрутизатора с фильтрацией пакетов брандмауэр данного типа может полностью блокирвоать передачу трафика между Интернетом и защищаемой сетью. Сервисы обеспечиваются с помощью прокси-серверов на этом хосте. Это простой брандмауэр, но очень безопасный. (Некоторые брандмауэры на основе хоста с двумя интерфейсами не используют прокси-серверы, а требуют, чтобы пользовтаели имели бюджеты на этом хосте для доступа в Интернет. Это не рекомендуется, так как наличие большого числа бюджетов на брандмауэре может привести к ошибкам пользователей, которые в свою очередь приведут к атакам злоумышленников.)

Рисунок 3.2

Этот тип брандмауэра реализует политику второго типа, то есть запрет доступа ко всем сервисам, кроме тех, которые явно разрешены, так как невозможно получить доступ к тем сервисам, для которых нет прокси-сервера. Возможность хоста принимать пакеты с маршрутизацией источника должна быть отключена, чтобы нельзя было передать пакеты машинам в защищенной подсети. С его помощью может быть достигнута высокая конфиденциальность, так как маршрут до машины в защищаемой сети должен знать только брандмауэр, а не системы в Интернете( так как машины в Интернете не могут посылать пакеты напрямую защищаемым системам). Имена и IP-адреса систем внутренней сети будут неизвестны для Интернета, так как брандмауэр не будет передавать информацию DNS. Как минимум простой брандмауэр этого типа должен обеспечивать прокси-сервисы для TELNET, FTP и центральный почтовый сервер, с помощью которого брандмауэр будет принимать всю почту для внутренней сети, и передавать ее системам. Так как брандмауэр использует хост, то на нем может быть установлены программы для усиленной аутентификации пользователей . Также брандмауэр может протоколировать попытки доступа и зондирования систем, что поможет выявить действия злоумышленников.

Брандмауэр на основе хоста, соединенного с двумя сетями, а также брандмауэр с изолированной подсетью, описываемый позже, обеспечивает возможность отделить трафик, связанный с информационным сервером, от трафика других систем сайта. Информационный сервер может быть размещен в подсети между шлюзом и маршрутизатором, как показано на рисунке 3.2 Учитывая, что шлюз обеспечивает соответствующие прокси-сервисы для информационного сервера ( например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ из Интернета к серверу и заставить обратиться к брандмауэру. Если к серверу разрешен прямой доступ ( что является менее безопасным вариантом), то имя сервера и его IP-адрес могут быть доступны через DNS. Размещение информационного сервера таким образом увеличивает безопасность сети, так как даже при проникновении злоумышленника на информационный сервер, он не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.

Жесткость шлюза с двумя интерфейсами может оказаться неудобной для некоторых сетей. Так как все сервисы по умолчанию заблокированы, кроме тех, для которых имеются прокси-сервера, доступ к другим сервисам не может быть организован. Системы, к которым требуется доступ, должны быть размещены между шлюзом и Интернетом. Тем не менее, маршрутизатор может использоваться так, как показано на рисунке 3.2 для создания подсети между шлюзом и маршрутизатором, и системы, которые требуют дополнительных сервисов, должны быть размещены в этом месте.

Другим важным моментом является то, что безопасность хоста, используемого для организации брандмауэра, должна быть высокой, так как использование уязвимых сервисов и технологий может привести к проникновению. Если брандмауэр скомпрометирован, злоумышленник может потенциально обойти средства защиты и, например, включить маршрутизацию IP.

Назад | Содержание | Вперед

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...