Раздел: Документация
0 ... 29 30 31 32 33 34 35 ... 125 rj.L\ LJ AФильтрация ПАКЕТОВ И наконец, защита вашей сети будет надежной только при условии ее постоянного обновления. Каждый день обнаруживаются новые ошибки в программах и операционных системах. Если вы проигнорируете рекомендации по обеспечению безопасности, то не будете застрахованы от новых проблем. Первая линия обороны Первыми брандмауэрами были экранирующие маршрутизаторы. Обычно маршрутизатор можно представить в виде сетевого устройства, задача которого состоит в передаче пакета в направлении адресата, в результате чего пакет, в конце концов, будет доставлен по назначению. Включение в маршрутизатор списков контроля доступа позволяет ему отбирать пакеты, которым разрешено проходить через подключенные сетевые интерфейсы. Этот простой метод передачи или отбрасывания пакетов на основе определенных сетевым администратором правил образует основу пакетного фильтра. Экранирующий маршрутизатор выполняет фильтрацию, пропуская только пакеты, удовлетворяющие заданным критериям. В предыдущих главах вы уже узнали кое-что о пакетных фильтрах. Самое важное - не забывать о том, что пакетный фильтр не должен быть единственным методом создания межсетевого экрана. Он используется в первую очередь, но его следует поддерживать одним или несколькими proxy-серверами, а в некоторых архитектурах и другим маршрутизатором. Где применять пакетные фильтры Возможны три различных сценария фильтрации пакетов маршрутизатором (см. рис. 5.1). В каждом из них экранирующий маршрутизатор размещается как можно ближе к Internet-соединению. Он находится на границе сети и выполняет функции gatekeeper (стража ворот).
Internet
Proxy-сервер Локальная ] сеть Proxy-сервер Экранирующий маршрутизатор Экранирующий маршрутизатор Proxy-сервер Рис. 5.1. Экранирующий маршрутизатор, работающий в качестве пакетного фильтра, должен быть лишь одним из нескольких компонентов межсетевого экрана В первом случае маршрутизатор проверяет пакеты, прежде чем передать их двух-канальному компьютеру. Маршрутизатор при этом работает в качестве пакетного фильтра. Двухканальный компьютер настроен на функционирование в качестве укрепленного компьютера. Ненужные службы и учетные записи пользователей были с него удалены, а операционная система изменена так, чтобы запретить автоматическую передачу любых пакетов из одного интерфейса в другой. В результате ни один IP-пакет не попадает из локальной сети в Internet напрямую. За взаимодействие между клиентами в локальной сети и серверами Internet отвечает программное обеспечение на двухканальном узле (proxy-серверы). Более подробную информацию о настройке укрепленного компьютера см. в главе 6. Второй случай демонстрирует, что proxy-серверу не обязательно нужен двухка-нальный компьютер. Достаточно и одного интерфейса. Но при этом важно настроить маршрутизатор так, чтобы был разрешен только обмен пакетами между proxy-сервером и Internet и запрещен любой прямой трафик между локальной сетью и Internet. Такая конфигурация обычно называется экранированным узлом (screened host). Она считается менее безопасной, чем схема, в которой для proxy-сервера используется двухканальный узел. Это связано с необходимостью правильной настройки клиентов локальной сети, чтобы они посылали пакеты на proxy-сервер и не пытались непосредственно взаимодействовать с серверами Internet. Управлять настройками безопасности на одном двухканальном компьютере проще, чем на всех клиентах сети. Можно, конечно, применить автоматическую настройку конфигурации клиентов, однако злонамеренный сотрудник всегда сумеет перенастроить свою рабочую станцию и обойти proxy-сервер. То же самое способен сделать и внедренный нарушителем «троянский конь». Направление всего трафика через двухканальный компьютер позволяет управлять доступом к Internet в одной точке. Третья конфигурация (с двумя маршрутизаторами) создает между Internet и внутренней локальной сетью так называемую экранированную подсеть (screened subnet). Компьютеры внутри экранированной сети защищены подключенным к Internet маршрутизатором. Для дополнительной защиты клиентов во внутренней локальной сети служит еще один маршрутизатор. При использовании экранированной подсети в ней может находиться один или несколько компьютеров. Поскольку трафик проверяется еще одним маршрутизатором, в экранированной подсети допускается размещать компьютеры, не столь надежно защищенные, как укрепленный компьютер. Например, кроме proxy-серверов, подсеть может содержать модемные, Web- и другие серверы. Более подробную информацию о двухканальных узлах, а также об экранированном узле и экранированной подсети вы можете найти в главе 4. Важно понимать, что настройка брандмауэра в конечном итоге зависит от его назначения. Если вы работаете по первой схеме, экранирующий маршрутизатор будет отфильтровывать значительную часть нежелательного трафика, но за взаимодействие клиентов в локальной сети с внешними серверами отвечает двухканальный узел. При таких условиях вам, возможно, не придется задавать в маршрутизаторе множество сложных правил. Во втором случае маршрутизатор должен предотвращать передачу в сеть любых пакетов, не адресованных proxy-серверу. В третьем - ближайший к Internet маршрутизатор производит менее строгую проверку, но маршрутизатор, самый близкий к внутренней локальной сети, должен обеспечивать очень надежную защиту, разрешая взаимодействие в локальной сети только между proxy-серверами (или другими узлами) и клиентами. В подобной ситуации вероятно потребуются 0 ... 29 30 31 32 33 34 35 ... 125
|