ВУЗ:
Составители:
Рубрика:
попасть в корпоративную сеть, должен пройти через этот защитный барьер. Точно так же внутренний
узел через двунаправленный хост взаимодействует с узлами Internet.
Непосредственная связь, проходящая через двунаправленный хост защиты, блокируется. Это озна-
чает, что функция прямой трансляции IР-трафика для данного устройства исключена и IР-пакеты из од-
ной сети не могут непосредственно направляться в другую. Двунаправленный хост не используется в
качестве маршрутизатора. Существует запрет на прямую передачу IР-пакетов до тех пор, пока не гаран-
тировано логическое разъединение двух сетей: частной и глобальной. Следовательно, даже при систем-
ных сбоях межсетевой экран остаётся в рабочем состоянии. Данные могут пройти брандмауэр только
через прокси-сервер и никогда через системный уровень. Применение межсетевого экрана с двунаправ-
ленным хостом показано на рис. 2.4.
Это устройство можно использовать для полной блокировки доступа в частную сеть, пока исполняются
прокси-сервисы, например Telnet, FТР, НТТР.
Рис. 2.4. Архитектура МСЭ с двунаправленным хостом
Как показано на рис. 2.4, сервер, работающий с данными службами, находится между фильтрующим
пакеты маршрутизатором, который может быть установлен, и двунаправленным хостом. Такая конфи-
гурация препятствует проникновению злоумышленников в систему с двунаправленным хостом.
Брандмауэр с экранированным хостом
. В отличие от МСЭ с двунаправленным хостом, который
подключается к обеим сетям одновременно,
экранированный хост
соединён только с частной сетью.
Это устройство имеет собственное название –
хост
-
бастион
. Между узлом и сетью Internet размещают
отдельный экранирующий маршрутизатор. Таким образом, МСЭ с экранированным хостом представля-
ет собой комбинацию фильтрующего пакеты маршрутизатора и шлюза приложений.
Экранирующий маршрутизатор выполняет функцию фильтрации пакетов и конфигурируется таким
образом, чтобы хост-бастион являлся единственным компьютером корпоративной сети, доступ к кото-
рому возможен из Internet. Самый высокий уровень безопасности достигается при такой конфигурации
экранирующего маршрутизатора, когда это устройство полностью блокирует информационный поток к
заданным портам хоста-бастиона. МСЭ с экранируемым хостом показан на рис. 2.5.
Гибкая система конфигурирования маршрутизатора позволяет открывать или блокировать соедине-
ния внутренних узлов и Internet.
Основная функция хоста-бастиона состоит в разделении информационных потоков, представляю-
щих опасность, прежде чем они смогут достичь бастиона и других внутренних узлов. Поскольку хост-
бастион по сравнению с остальными элементами частной сети наиболее подвержен атакам, он обычно
является самым защищённым элементом сети. Как правило, в сети устанавливают два и более хоста-
бастиона.
Страницы
- « первая
- ‹ предыдущая
- …
- 37
- 38
- 39
- 40
- 41
- …
- следующая ›
- последняя »
