|
Методика Firewall как основное программно-аппаратное
средство осуществления сетевой политики безопасности в
выделенном сегменте IP-сети.
В общем
случае методика Firewall реализует следующие основные три
функции:
1. Многоуровневая фильтрация сетевого трафика.
Фильтрация
обычно осуществляется на трех уровнях OSI:
сетевом (IP); транспортном (TCP, UDP); прикладном (FTP,
TELNET, HTTP, SMTP и т. д.).
Фильтрация
сетевого трафика является основной функцией систем Firewall и
позволяет администратору безопасности сети централизованно
осуществлять необходимую сетевую политику безопасности в
выделенном сегменте IP-сети, то есть, настроив соответствующим
образом Firewall, можно разрешить или запретить пользователям
как доступ из внешней сети к соответствующим службам хостов или
к хостам, находящихся в защищаемом сегменте, так и доступ
пользователей из внутренней сети к соответствующим ресурсам
внешней сети. Можно провести аналогию с администратором
локальной ОС, который для осуществления политики безопасности в
системе назначает необходимым образом соответствующие отношения
между субъектами (пользователями) и объектами системы (файлами,
например), что позволяет разграничить доступ субъектов системы к
ее объектам в соответствии с заданными администратором правами
доступа. Те же рассуждения применимы к Firewall-фильтрации: в
качестве субъектов взаимодействия будут выступать IP-адреса
хостов пользователей, а в качестве объектов, доступ к которым
необходимо разграничить, - IP-адреса хостов, используемые
транспортные протоколы и службы предоставления удаленного
доступа.
2. Proxy-схема с дополнительной идентификацией и аутентификацией
пользователей на Firewall-хосте.
Proxy-схема
позволяет, во-первых, при доступе к защищенному Firewall
сегменту сети осуществить на нем дополнительную идентификацию и
аутентификацию удаленного пользователя и, во-вторых, является
основой для создания приватных сетей с виртуальными IP-адресами.
Смысл proxy-схемы состоит в создании соединения с конечным
адресатом через промежуточный proxy-сервер (proxy от англ.
полномочный) на хосте Firewall. На этом proxy-сервере и может
осуществляться дополнительная идентификация абонента.
3. Создание приватных сетей (Private Virtual Network - PVN) с
"виртуальными" IP-адресами (NAT - Network Address Translation).
В
том случае, если администратор безопасности сети считает
целесообразным скрыть истинную топологию своей внутренней
IP-сети, то ему можно порекомендовать использовать системы
Firewall для создания приватной сети (PVN-сеть). Хостам в
PVN-сети назначаются любые "виртуальные" IP-адреса. Для
адресации во внешнюю сеть (через Firewall) необходимо либо
использование на хосте Firewall описанных выше proxy-серверов,
либо применение специальных систем роутинга (маршрутизации),
только через которые и возможна внешняя адресация. Это
происходит из-за того, что используемый во внутренней PVN-сети
виртуальный IP-адрес, очевидно, не пригоден для внешней
адресации (внешняя адресация - это адресация к абонентам,
находящимся за пределами PVN-сети). Поэтому proxy-сервер или
средство роутинга должно осуществлять связь с абонентами из
внешней сети со своего настоящего IP-адреса. Кстати, эта схема
удобна в том случае, если вам для создания IP-сети выделили
недостаточное количество IP-адресов (в стандарте IPv4 это
случается сплошь и рядом, поэтому для создания полноценной
IP-сети с использованием proxy-схемы достаточно только одного
выделенного IP-адреса для proxy-сервера).
(продолжение)
хостинг в украине
|
