Если номер нашей сети 172.16, внешний маршрутизатор удаляет все пришедшие через внешний интерфейс пакеты, адрес которых начинается с 172.16. Пакеты с такими адресами ис точников должны приходить на маршрутизатор только через внутренний интерфейс. Специалисты по безопасности называют такой тип управления доступом фильтрацией пакетов.
Большую часть работы по управлению доступом выполняет внутренний маршрутизатор. Он фильтрует пакеты не только на основе адреса, но также на основе протокола и номеров портов, что позволяет контролировать службы, доступные как внутри сети, так и вне ее. Какие службы блокирует данный маршрутизатор, решает администратор системы. Если вы планируете использовать брандмауэр, доступ к службам должен быть регламентирован в руководящем документе по безопасности. Практически любая служба может оказаться угрозой безопасности системы. Подобные угрозы следует оценивать в свете общих требований к безопасности. Службы, предназначенные только для внутренних пользователей (NIS, NFS, X-Windows и др.), блокируются практически всегда. Службы, разрешающие запись на внутренние системы (Telnet, FTP, SMTP и т. д.), обычно блокируются. Службы, предоставляющие сведения о внутренних системах (DNS, fingerd и т. д.), обычно блокируются. Доступных служб практически не остается! И здесь в игру вступают узел-бастион и сетевой периметр.
Узел-бастион - это защищенный сервер. Он является точкой соприкосновения сети предприятия и внешнего мира - в том, что касается служб с ограниченным доступом. Некоторые из служб, заблокированных внутренним шлюзом, могут оказаться тем, ради чего создавалась сеть. Такие жизненно необходимые службы работают безопасным образом на узле-бастионе. Одни службы узел-бастион предоставляет самостоятельно (в частности, DNS, почтовые службы SMTP, а также анонимный FTP-доступ), другие представлены посредническими службами (proxy services). Когда узел-бастион выступает в роли прокси-сервера, внутренние клиенты подключаются ко внешнему миру через узел-бастион, а внешние системы отвечают внутренним клиентам через этот же узел.
