Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

3.3 Брандмауэр с изолированным хостом

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.

Он отвергает или пропускает трафик в соответствии со следующими правилами:

  • трафик от систем в Интернете к прикладному шлюзу пропускается
  • другой трафик от систем в Интернете блокируется
  • маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.

Рисунок 3.3

В отличие от шлюза с двумя интерфейсами, прикладному шлюзу требуется только один сетевой интерфейс и не требуется отдельная подсеть между прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более гибким, но менее безопасным, так как маршрутизатор может позволить пропустить запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять в том смысле, что риск использования этих сервисов считается приемлемым. Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться через маршрутизатор к системам сети. Если внутренние системы требуют доступа к DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В такой конфигурации брандмауэр может реализовывать комбинацию двух политик, соотношение которых зависит от того, для какого числа и каких сервисов разрешено передавать пакеты напрямую к внутренним системам. Дополнительная гибкость брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых, имеется две системы, маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Как уже отмечалось, правила фильтрации пакетов на маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться не такими сложными, как это бывает при использовании брандмауэра с фильтрацией пакетов (который может фильтровать трафик для группы систем в сети). Вторым недостатком является то, что гибкость делает возможным нарушение политики (что верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения безопасности нужна строгая политика безопасности.

В [Garf92], [Ran93], и [Ches94] имеется более подробная информация о брандмауэрах с изолированным хостом.

Назад | Содержание | Вперед

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...