Межсетевые экраны могут быть размещены во множестве различных мест в сети для реализации различных потребностей. Они могут защищать внутреннюю сеть от воздействий из внешней сети, являясь узким местом для всего трафика. Межсетевой экран может использоваться для сегментирования сети, реализации управления доступом между двумя и более подсетями. Межсетевой экран может также использоваться для создания DMZ между внутренней сетью и внешней сетью.
Межсетевой экран следует устанавливать на узлах-бастионах, на которых заблокированы все сервисы, кроме необходимых для выполнения ими своих функций.
Узел-бастион (bastion host) – это просто другое название укрепленных (hardened) систем. Узел-бастион обычно открыт для внешних атак, поскольку он устанавливается на передовой линии сетевой безопасности, именно он является системой, которая видна из Интернета. Соответственно, это узел-бастион должен быть максимально защищен – на нем не должны быть запущены ненужные сервисы, неиспользуемые подсистемы должны быть заблокированы, для уязвимостей должны быть установлены соответствующие патчи, ненужные учетные записи должны быть заблокированы, а все ненужные для выполнения его функций порты должны быть закрыты. Узел-бастион не связан с программным обеспечением межсетевого экрана и его работой.
Межсетевой экран с двойной привязкой. Двойная привязка (dual-homed) означает, что устройство имеет два интерфейса: один смотрит во внешнюю сеть, а другой – во внутреннюю. Если программное обеспечение межсетевого экрана установлено на устройство с двойной привязкой (обычно так и бывает), в его операционной системе должна быть отключена пересылка и маршрутизация сетевых пакетов, исходя из соображений безопасности.
Экранированный узел. Экранированный узел (screened host) – это межсетевой экран, который взаимодействует напрямую с маршрутизатором периметра и внутренней сетью. На Рисунке 5-37 покан такой тип архитектуры.
Полученный из Интернет трафик сначала проходит фильтрацию пакетов на внешнем маршрутизаторе. Прошедший через маршрутизатор трафик отправляется на экранированный узел – межсетевой экран, который применяет дополнительные правила к трафику и уничтожает запрещенные пакеты. Затем трафик передается на узел получателя во внутренней сети. Экранированный узел (межсетевой экран) – это устройство, которое принимает трафик напрямую от маршрутизатора. Никакой внешний трафик не может пройти напрямую от маршрутизатора во внутреннюю сеть, минуя межсетевой экран.
Экранированная подсеть. Архитектура экранированной подсети (screened-subnet) добавляет еще один уровень безопасности в архитектуру экранированного узла. Внешний межсетевой экран экранирует данные, входящие в сеть DMZ. Однако вместо перенаправления трафика непосредственно во внутреннюю сеть, трафик передается на внутренний межсетевой экран, который также выполняет фильтрацию трафика. Использование двух этих физических межсетевых экранов создает DMZ.
Вариант с экранированной подсетью обеспечивает лучшую защиту, чем отдельный межсетевой экран или межсетевой экран на экранированном узле, поскольку в этом варианте три устройства работают совместно, и все они должны быть скомпрометированы атакующим перед тем, как он получит доступ в сеть. Такая архитектура также создает DMZ между двумя маршрутизаторами, которая работает как небольшая изолированная сеть между доверенной внутренней сетью и не доверенной внешней сетью.
