ВУЗ:
124
шрутизаторов, и даже небольшие ошибки могут образовать серьезные дыры в
защите.
Если брандмауэр может поддерживать два Ethernet-интерфейса - так назы-
ваемый dual-homed брандмауэр, то чаще всего подключение осуществляется
через внешний маршрутизатор (Рис. 8.5в.). При этом между внешним маршру-
тизатором и брандмауэром имеется только один путь, по которому идет весь
трафик. Обычно маршрутизатор
настраивается таким образом, что брандмауэр
является для него единственной видимой снаружи машиной. Эта схема является
наиболее предпочтительной с точки зрения безопасности и надежности защиты.
На Рис. 8.5г. представлена другая схема подключения брандмауэра, кото-
рый защищает только одну подсеть из нескольких выходящих из маршрутиза-
тора. В незащищаемой области часто располагают серверы,
видимые снаружи:
WWW, FTP и т.п. Некоторые брандмауэры предлагают разместить эти серверы
на них самих - это решение, далеко не лучшее с точки зрения загрузки машины
и безопасности самого брандмауэра.
Существуют решения (Рис. 8.5д.), которые позволяют организовать из ви-
димых снаружи серверов третью сеть, что позволяет обеспечить контроль за
доступом при сохранении
необходимого уровня защиты машин в основной се-
ти. При этом достаточно много внимания уделяется тому, чтобы пользователи
внутренней сети не могли случайно или умышленно открыть дыру в локальную
сеть через эти видимые снаружи серверы.
Для повышения уровня защищенности возможно также использовать в од-
ной сети несколько брандмауэров, стоящих друг за другом
.
Еще одним важным компонентом брандмауэра является система сбора ста-
тистики и предупреждения об атаке. Информация обо всех событиях - отказах,
входящих, выходящих соединениях, числе переданных байт, использовавшихся
сервисах, времени соединения и т.д. - накапливается в файлах статистики. Мно-
гие брандмауэры позволяют гибко определять подлежащие протоколированию
события, описывать порядок действия при атаках
или попытках несанкциони-
рованного доступа: сообщение на консоль, почтовое послание администратору
системы и т.д. В состав многих брандмауэров входят генераторы отчетов, слу-
жащие для обработки статистику по использованию ресурсов конкретными
пользователями, по использованию сервисов, отказам, источникам, с которых
проводились попытки несанкционированного доступа и т.д.
Одним из самых важных компонентов
брандмауэров является аутентифи-
кация. Прежде чем пользователю будет предоставлено право получить тот или
иной сервис, необходимо убедиться, что он действительно тот, за кого себя вы-
дает (предполагается, что этот сервис для данного пользователя разрешен: про-
цесс определения, какие сервисы разрешены, называется авторизацией; автори-
зация обычно рассматривается в контексте аутентификации - как
только поль-
зователь аутентифицирован, для него определяются разрешенные ему сервисы).
При получении запроса на использование сервиса от имени какого-либо поль-
зователя, брандмауэр проверяет, какой способ аутентификации определен для
Страницы
- « первая
- ‹ предыдущая
- …
- 122
- 123
- 124
- 125
- 126
- …
- следующая ›
- последняя »
