Разработка конфигурации межсетевого экрана

Теперь давайте рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации. В этом упражнении подразумевается, что в организации присутствуют указанные ниже системы, и что эти системы принимают входящие соединения из интернета:

веб-сервер, работающий только через порт 80;

• почтовый сервер, работающий только через порт 25. Он принимает всю входящую и отправляет всю исходящую почту. Внутренний почтовый сервер периодически связывается с данной системой для получения входящей почты и отправки исходящих сообщений.

Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.

Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:

  • • HTTP;
  • • HTTPS;
  • • FTP;
  • • Telnet;
  • • SSH.

На базе этой политики можно построить правила политики для различных архитектур.

Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

На рис. 10.3 показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. В таблице 10.1 приведены правила межсетевого экрана.

Системы за пределами межсетевого экрана, доступные из интернета

Рис. 10.3. Системы за пределами межсетевого экрана, доступные из интернета

На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным HTTP поступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. Как видно из приведенных правил, независимо от того, какой тип межсетевого экрана используется, веб-сервер и почтовый сервер не защищены межсетевым экраном. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.

Таблица 10.1. Правила межсетевого экрана для расположенных за пределами межсетевого экрана систем, доступных из интернета

Номер

Исходный IP

Конечный

IP

Служба

Действие

1

Внутренний почтовый сервер

Почтовый

сервер

SMTP

Принятие

2

Внутренняя сеть

Почтовый

сервер

Любой HTTP, HTTPS, FTP, telnet, SSH

Принятие

3

Внутренняя DNS

Любой

DNS

Принятие

4

Любой

Любой

Любая

Сброс

Архитектура 2: один межсетевой экран

Вторая стандартная архитектура показана на рис. 10.4. В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети (об использовании таких отдельных сетей более подробно рассказываться в лекции 16). В таблице 10.2 приведены правила межсетевого экрана.

Один межсетевой экран

Рис. 10.4. Один межсетевой экран

Таблица 10.2. Правила межсетевого экрана для архитектуры с одним

межсетевым экраном

Номер

Исходный IP

Конечный IP

Служба

Действие

1

Любой

Веб-сервер

HTTP

Принятие

2

Любой

Почтовый

сервер

SMTP

Принятие

3

Почтовый

сервер

Любой

SMTP

Принятие

Внутренняя

HTTP, HTTPS, FTP,

сеть

telnet, SSH

5

Внутренняя

DNS

Любой

DNS

Принятие

6

Любой

Любой

Любая

Сброс

Как видно из таблицы 10.2. правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.

Архитектура 3: двойные межсетевые экраны

Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 10.5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 10.3 приведены правила для межсетевого экрана 1.

Вопрос к эксперту

Вопрос. Используются ли межсетевые экраны только на соединениях с интернетом?

Ответ. Не следует ограничивать область действия межсетевых экранов одними лишь интернет-соединениями. Межсетевой экран представляет собой устройство, которое может использоваться в любой ситуации, требующей контроля доступа. В частности, данные устройства можно использовать во внутренних сетях, которые необходимо защищать от других внутренних систем. Секретные внутренние сети могут содержать компьютеры с особо важной информацией или функциями либо сети, в которых проводятся эксперименты над сетевым оборудованием.

Хорошим примером секретных сетей являются банковские сети. Каждый вечер банки связываются с системой федерального резерва для передачи денежных средств. Ошибки в этих сетях могут стоить банкам больших денег. Системы, управляющие такими соединениями, являются больших денег. Системы, управляющие такими соединениями, являются крайне секретными и жизненно важными для банковских структур. Для ограничения доступа к этим системам из других подразделений банка можно установить межсетевой экран.

Архитектура 3

Рис. 10.5. Архитектура 3: двойные межсетевые экраны

Как видно из таблицы 10-3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл.10-4.

Таблица 10.3. Правила межсетевого экрана 1 в архитектуре с двумя

межсетевыми экранами

Номер

Исходный IP

Конечный IP

Служба

Действие

1

Любой

Веб-сервер

HTTP

Принятие

2

Любой

Почтовый

сервер

SMTP

Принятие

3

Почтовый

сервер

Любой

SMTP

Принятие

4

сеть

Любой

telnet, SSH

Принятие

5

Внутренняя

DNS

Любой

DNS

Принятие

6

Любой

Любой

Любая

Сброс

Таблица 10.4. Правила межсетевого экрана 2 в архитектуре с двойным

межсетевым экраном

Номер

Исходный IP

Конечный

IP

Служба

Действие

1

Внутренний почтовый сервер

Почтовый

сервер

SMTP

Принятие

2

Внутренняя сеть

Любой

HTTP, HTTPS, FTP, telnet, SSH

Принятие

3

Внутренняя DNS

Любой

DNS

Принятие

4

Любой

Любой

Любая

Сброс

Примечание

Эти примеры очень просты, однако они отражают функционирование межсетевых экранов, при котором разрешается только строго определенный доступ.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >