пакетів.
· У них практично відсутні засоби протоколювання доступу до мережі
Прикладні шлюзи
Прикладний шлюз використовує програми (звані проксі-серверами), що запускаються на брандмауері. Ці проксі-сервера приймають запити ззовні, аналізують їх і передають безпечні запити внутрішнім хостам, які надають відповідні сервіси. Прикладні шлюзи можуть забезпечувати такі функції, як аутентифікація користувачів і протоколювання їх дій.
Оскільки прикладний шлюз вважається самим безпечним типом брандмауера, ця конфігурація має ряд перевага з погляду сайту з середнім рівнем риски:
· Брандмауер може бути конфігурований як єдиний хост, видимий із зовнішньої мережі, що вимагатиме проходити всі з'єднання із зовнішньою мережею через нього.
· Використання проксі-серверів для різних сервісів запобігає прямому доступу до цих сервісів, захищаючи організацію від небезпечних або погано конфігурованих внутрішніх хостів
· За допомогою прикладних шлюзів може бути реалізована посилена аутентифікація.
· Проксі-сервера можуть забезпечувати детальне протоколювання на прикладному рівні
Брандмауери прикладного рівня повинні конфігуруватися так, щоб весь трафік, що виходить, здавався витікаючим від брандмауера (тобто щоб тільки брандмауер був видний зовнішнім мережам). Таким чином буде заборонений прямий доступ до внутрішніх мереж. Всі вхідні запити різних мережевих сервісів, таких як Telnet, FTP, HTTP, RLOGIN, і так далі, незалежно від того, який внутрішній хост запрошується, повинні проходити через відповідний проксі-сервер еа брандмауері.
Прикладні шлюзи вимагають проксі-сервера для кожного сервісу, такого як FTP, HTTP і так далі, підтримуваного брандмауером. Коли необхідний сервіс не підтримується проксі, у організації є три варіанти дій:
· Відмовитися від використання цього сервісу, поки виробник брандмауера не розробить для нього безпечний проксі-сервер - це переважний підхід, оскільки багато нових сервісів мають велике число вразливих місць.
· Розробити свій проксі - це достатньо складне завдання і повинна вирішуватися тільки технічними організаціями, що мають відповідних фахівців .
· Пропустити сервіс через брандмауер - використання того, що зазвичай називається "заглушками", більшість брандмауерів з прикладними шлюзами дозволяють пропускати більшість сервісів через брандмауер з мінімальною фільтрацією пакетів. Це може обмежити число вразливих місць, але привести до компрометації систем за брандмауерів.
Низький ризик
Коли для вхідних Інтернетівських сервісів немає проксі-сервера, але
потрібно пропускати його через брандмауер, адміністратор брандмауера повинен використовувати конфігурацію або "латочку", яка дозволить використовувати необхідний сервіс. Коли проксі-сервер розробляється виробником, то "латочка"
Гібридні або складні шлюзи
Гібридні шлюзи об'єднують в собі два описаних вище за тип брандмауера і реалізують їх послідовно, а не паралельно. Якщо вони сполучені послідовно, то загальна безпека збільшується, з іншого боку, якщо їх використовувати паралельно, то загальна безпека системи буде рівна найменш безпечному з використовуваних методів. У середовищах з середнім і високим ризиком, гібридні шлюзи можуть виявитися ідеальною реалізацією брандмауера.
6.5. Архітектура брандмауера
Брандмауери можуть бути конфігуровані у вигляді однієї з декількох архітектури що забезпечує різні рівні безпеки при різних витратах на установку і підтримку працездатності. Організації повинні проаналізувати свій профіль риски і вибрати відповідну архітектуру. Наступні розділи описує типова архітектура брандмауера і приводять приклади політик безпеки для них.
Рисунок 5.2- Типічна архітектура брандмауера
Хост підключений до двох сегментів мережі
Це такий хост, який має більш за один інтерфейс з мережею, причому кожен інтерфейс з мережею підключений фізично до окремого сегменту мережі. Найпоширенішим прикладом є хост, підключений до двох сегментів.
Брандмауер на основі хоста, підключеного до двох сегментів мережі, - це брандмауер з двома мережевими платами, кожна з яких підключена до окремої мережі. Наприклад, одна мережева плата сполучена із зовнішньою або небезпечною мережею, а інша - з внутрішньою або безпечною мережею. У цій конфігурації ключовим принципом забезпечення безпеки є заборона прямій маршрутизації трафіку з недовіреної мережі в довірену - брандмауер завжди повинен бути при цьому проміжною ланкою.
Маршрутизація повинна бути відключена на брандмауері такого типу, щоб IP-пакеты з однієї мережі не могли пройти в іншу мережу.
Примітка перекладача. Така конфігурація, напевно, є одній з найдешевших і поширеніших при комутованому підключенні ЛВС організації до Інтернету. Береться машина, на яку встановлюється FREEBSD, і на ній забороняється маршрутизація, крім того відповідним чином конфігурується вбудований в ядро пакетний фільтр (ipfw).
Екранований хост
При архітектурі типу екранований хост використовується хост (званий хостом-бастіоном), з яким може встановити з'єднання будь-який зовнішній хост, але заборонений доступ до всіх іншим внутрішнім, менш безпечним хостам. Маршрутизатор, що для цього фільтрує, конфігурується так, що всі з'єднання з внутрішньою мережею із зовнішніх мереж прямують до хосту-бастіону.
Якщо шлюз з пакетною фільтрацією встановлений, то хост-бастіон повинен бути конфігурований так, щоб всі з'єднання із зовнішніх мереж проходили через нього, щоб запобігти прямому з'єднанню між мережею організації і Інтернетом.
Екранована підмережа
Архітектура екранованої мережі по суті співпадає з архітектурою екранованого хоста, але додає ще одну лінію захисту, за допомогою створення мережі, в якій знаходиться хост-бастіон, відокремленою від внутрішньої мережі.
Рисунок 5.20 -Екранована мережа
Екранована підмережа повинна упроваджуватися за допомогою додавання мережі-периметра для того, щоб відокремити внутрішню мережу від зовнішньої.
Це гарантує, що навіть при успіху атаки на хост-бастіон, що атакує не зможе пройти далі за мережу-периметра через те, що між внутрішньою мережею і мережею-периметром знаходиться ще один екрануючий маршрутизатор.
6.6. Інтранет
Хоча брандмауери зазвичай поміщаються між мережею і зовнішньою небезпечною мережею, у великих організаціях або компаніях брандмауери часто використовуються для створення різних підмереж в мережі, часто званою интранетом. Брандмауери в интранете розміщуються для ізоляції окремої підмережі від решти корпоративної мережі. Причиною цього може бути те, що доступ до цієї мережі потрібний тільки для деяких співробітників, і цей доступ повинен контролюватися брандмауерами і
