8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 26 27 28 29 30 31 32 ... 125

следить за рекомендациями производителей по обеспечению безопасности и получать обновления и исправления для всех замеченных недочетов.

Сервер

Сервер

Сервер

Двух канальный] компьютер

Рабочая станция

Рабочая станция

Рабочая станция

Рабочая станция

Internet

Рис. 4.2

Для связи локальной сети

с Internet может быть использован

двухканальный узел

Еще одно отличие между маршрутизатором с фильтрацией пакетов и двухка-нальным узлом заключается в том, что последний обычно функционирует в качестве proxy-сервера, а не пакетного фильтра. Вместо базы данных с правилами передачи пакетов между интерфейсами на двухканальном сервере, как правило, работает один или несколько ргоху-серверов.

Применение экранированного узла

Межсетевой экран, выполненный в виде экранированного узла, использует защитные возможности и пакетного фильтра, и proxy-сервера. В этой архитектуре, которая показана на рис. 4.3, для подключения к Internet служит пакетный фильтр, а для обеспечения различных сервисов - proxy-серверы.

Обратите внимание, что у proxy-сервера на этом рисунке имеется всего один сетевой интерфейс. Пакетный фильтр настроен так, чтобы пропускать только трафик proxy-сервера. Поскольку proxy-сервер и его клиенты находятся в одной подсети, клиентская рабочая станция может посылать пакеты непосредственно пакетному фильтру, но они будут отброшены. Пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передает - только отправляемые proxy-сервером.


с—

Ргоху-с(

Сервер

Рабочая

станция

Сервер

Рабочая

станция

Сервер

Рабочая

станция

ервер

фильтр пакетов

3I

Internet

Рис. 4.3

Рабочая

станция

Экранированный узел содержит и пакетный фильтр, и proxy-сервер

Работа подобного межсетевого экрана зависит от правильности настройки пакетного фильтра. Если бы для proxy-сервера применялся двухканальный компьютер, пакеты не могли бы напрямую пересылаться между локальной сетью и Internet, но в данном случае это не так. Например, вам может понадобиться какая-либо служба, для которой нет proxy-сервера. В этом случае можно настроить пакетный фильтр так, чтобы он разрешал маршрутизацию пакетов определенного типа от клиентов локальной сети в Internet, а пакеты всех других сервисов направлял через proxy-сервер. Решение о том, разрешать ли клиентам непосредственно взаимодействовать с маршрутизатором, минуя пакетный фильтр, должно приниматься на основе вашей политики безопасности.

Создание демилитаризованной зоны

Если немного расширить концепцию экранированного узла, то легко представить себе экранированную подсеть. В ней также присутствует пакетный фильтр для первоначальной защиты соединения между локальной сетью и Internet. Но, как видно из рис. 4.4, в данную конфигурацию был добавлен еще один маршрутизатор.

Эта комбинация маршрутизаторов создает дополнительный сегмент сети между Internet и локальной сетью. Маршрутизатор, подключенный к Internet,


функционирует так же, как и в случае экранированного узла. Он разрешает устанавливать соединения с внешним миром только определенным узлам, на которых установлены proxy-серверы. Клиенты в локальной сети по-прежнему взаимодействуют с proxy-серверами, которые, как и раньше, работают с серверами Internet от имени клиентов. Второй маршрутизатор, связывающий локальную сеть с экранированным сегментом сети, обеспечивает дополнительную защиту, поскольку весь трафик между клиентами в локальной сети и proxy-серверами должен проходить через него. Для нормальной работы внешний маршрутизатор настраивается так, чтобы пропускать только трафик между proxy-сервером и внешней сетью. Внутренний маршрутизатор пропускает лишь трафик между внутренними клиентскими компьютерами и proxy-сервером в экранированной подсети.

Для обозначения экранированной подсети, расположенной между локальной сетью и Internet, иногда употребляется термин demilitarized zone (DMZ, демилитаризованная зона). На рис. 4.4 в демилитаризованной зоне находится всего один proxy-сервер. Обратите внимание, что он имеет один интерфейс. Маршрутизаторы на границах демилитаризованной зоны позволяют непосредственно передавать

Внутренняя подсеть

Сервер

Сервер

Сервер

Фильтр пакетов

Proxy-сервер

Экранированная подсеть

Фильтр пакетов

п

Рабочая станция

Рабочая станция

Рабочая станция

Internet

Рабочая станция

Рис. 4.4

Экранированная подсеть использует для изоляции локальной сети от Internet два пакетных фильтра



0 ... 26 27 28 29 30 31 32 ... 125