Брандмауэр (firewall, сетевой экран) является неотъемлемой составляющей системы безопасности сети. Термин «firewall» подразумевает защиту от опасности: как противопожарная перегородка в автомобиле защищает пассажиров от двигателя, так сетевой экран защищает сеть от внешнего мира.
Компьютер-брандмауэр позволяет жестко управлять взаимодействием систем вашей сети и внешнего мира.
Идея брандмауэра довольно проста. Это некая заслонка, фильтрующая весь трафик, которым обмениваются защищенная и внешняя сети. На практике, это обычно заслонка между сетью предприятия и Интернетом. Создание централизованного фильтра упрощает задачу наблюдения за трафиком и позволяет сконцентрировать усилия по обеспечению безопасности в одной точке.
Существуют различные варианты реализации брандмауэров. Более того, различных типов брандмауэров существует так много, что термин практически потерял свою значимость. Если кто-то говорит, что защищен брандмауэром, нельзя с уверенностью сказать, что именно этот человек имеет в виду. Рассмотрение различных типов архитектур брандмауэров требует целой книги - например «Создание защиты в Интернете» (Building Internet Firewalls) от O'Reilly & Associates. Здесь мы рассмотрим архитектуру экранированной подсети (вероятно, наиболее распространенную архитектуру брандмауэров) и архитектуру многосетевого узла - по сути дела, представляющую экран в себе.
Наиболее распространенная архитектура брандмауэра включает по меньшей мере четыре аппаратных элемента: внешний маршрутизатор, защищенный сервер (известный как узел-бастион), сетевой периметр и внутренний маршрутизатор. Каждый аппаратный элемент обеспечивает определенный аспект функционирования общей схемы защиты. Архитектура представлена на рис. 12.4.
Внешний маршрутизатор - единственный канал между сетью предприятия и внешним миром. Он осуществляет минимальное управление доступом. Маршрутизатор проверяет, что адреса пакетов, приходящих из внешнего мира, не принадлежат внутренней сети.
- Назад
- Вперёд >>
