Архитектура МЭ

После  определения требований по  безопасности защищаемой сети  и разработки политики доступа к сетевым ресурсам возникает задача проекти- рования МЭ. В зависимости от требований к межсетевому обмену организа- ции и степени обеспечиваемой защищенности периметра ее сети в МЭ может входить от одного до нескольких рассмотренных компонентов. Состав и спо- соб их взаимного расположения определяет архитектуру МЭ. Существуют следующие базовые схемы построения МЭ (могут быть модифицированы в другие варианты конфигурации) на основе:

?    фильтрующего маршрутизатора;

?    двудомного узла (узла с двумя сетевыми интерфейсами);

?    экранирующего узла;

?    экранирующей сети.

МЭ на основе фильтрующего маршрутизатора представляет собой аппа-

ратный или программный маршрутизатор на периметре защищаемой сети, в котором  определен  набор  правил,  устанавливающих разрешенные  сетевые

сервисы (рис. 3.5). Каждый сетевой пакет перед принятием решения о его маршрутизации проверяется на принадлежность к разрешенному типу трафи-

ка. Достоинства и недостатки данной схемы МЭ определяются возможностя-

ми функционирующего на маршрутизаторе пакетного фильтра.

Рис. 3.5. МЭ на основе фильтрующего маршрутизатора

МЭ на основе двудомного узла представляет собой компьютер с двумя сетевыми интерфейсами, один из которых подключен к защищаемой внутрен- ней сети, а второй — к внешней (рис. 3.6). Стандартная служба маршрутиза- ции сетевых пакетов в ОС двудомного узла отключается для того, чтобы не- посредственное взаимодействие между узлами внутренней и внешней сети было невозможным. Межсетевое взаимодействие в рамках разрешенных сер- висов обеспечивается прокси-сервером, функционирующим на двудомном уз- ле. Схема по сравнению с предыдущей характеризуется большей степенью безопасности, но предоставляемый пользователям сети набор сервисов огра- ничен и определяется ПО прокси-сервера.

Рис. 3.6. МЭ на основе двудомного узла

МЭ  на  основе экранирующего узла  представляет собой  комбинацию предыдущих схем: в состав его входят фильтрующий маршрутизатор на пе- риметре и прокси-сервер, функционирующий на узле-бастионе с одним ин- терфейсом, во внутренней сети (рис. 3.7). Пакетный фильтр на маршрутизато- ре конфигурируется таким образом, что разрешенный входящий и выходящий сетевой трафик обязательно проходит через узел-бастион. Схема характеризу- ется большей гибкостью по сравнению со схемой МЭ на основе двудомного узла, так как сервис, не поддерживаемый прокси-сервером, может быть раз- решен напрямую через маршрутизатор.

Рис. 3.7. МЭ на основе экранирующего узла

Схема МЭ на основе экранирующей сети представляет собой развитие предыдущей схемы и отличается от нее наличием дополнительного маршру- тизатора (рис. 3.8). Между внешним и внутренним фильтрующими маршрути- заторами создается «менее защищаемая» сеть, называемая периметровой се- тью или демилитаризованной зоной (DMZ), которая «экранирует» защищае- мую сеть от внешнего мира. Как правило, в периметровой сети устанавлива- ются узлы с прокси-сервером и серверами открытых сервисов.

Рис. 3.8. МЭ на основе экранирующей сети

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий