Различные типы окружений firewall’а

Виртуальные частные сети

Другое возможное использование firewall’ов и окружений firewall’ов состоит в создании VPN. VPN создается поверх существующей сетевой среды и протоколов с использованием дополнительных протоколов, обеспечивающих шифрование и целостность трафика.

VPN применяется для обеспечения безопасных сетевых соединений с использованием сетей, которые не являются доверяемыми. Например, технология VPN все чаще создается для предоставления удаленного доступа пользователя к сетям организации через Интернет. Данное применение пользуется возрастающей популярностью, так как это существенно снижает издержки, связанные с возможностью удаленного доступа, по сравнению с использованием выделенных каналов связи. При использовании технологии VPN организация имеет соединение с Интернетом, которое она может также использовать для удаленного доступа пользователей к сетям и ресурсам организации, расположенных удаленно. Тогда единственное соединение с Интернетом может использоваться для предоставления многих сервисов. Как следствие, данный механизм считается наиболее оптимальным по цене.

Рис. 2.4. Пример совмещения firewall’а и VPN

Технология VPN часто используется для создания безопасных соединений между организациями.

С точки зрения используемого протокола, существует несколько возможных выборов для создания VPN. Наиболее часто используется семейство протоколов IPSec. Другие протоколы VPN: PPTP (Point-to-Point Tunneling Protocol), являющийся стандартом Microsoft, и L2TP (Layer 2 Tunneling Protocol).

Расположение VPN-серверов

В большинстве случаев наиболее приемлемым является совмещение конечной точки VPN и firewall’а. Как правило, firewall использует IPSec для соединения с удаленными системами и передает незашифрованный трафик firewall’а к внутренней сети. При размещении конечной точки VPN позади firewall’а будет требоваться, чтобы VPN-трафик передавался вовне через firewall в зашифрованном виде; при этом firewall не будет иметь возможность анализировать входящий или исходящий трафик, выполнять управление доступом, создавать логи, сканировать на вирусы и т.п. На рис. 2.4 показана VPN, которая заканчивается firewall’ом, обеспечивая логическое расширение внутренней защищенной сети.

Однако такая топология имеет и свои негативные стороны. Одним из таких недостатков является высокая стоимость. Также, так как VPN- трафик должен быть зашифрован, то это существенно уменьшает производительность шлюза. Выполнение шифрования в аппаратуре существенно увеличивает производительность. Для окружений DMZ дополнительная функциональность, связанная с VPN, может потребовать дополнительных ресурсов, как процессорных, так и памяти.

Интранет

Интранет является сетью, которая выполняет те же самые сервисы, приложения и протоколы, которые присутствуют в Интернете, но без наличия внешнего соединения с Интернетом. Например, сеть предприятия, поддерживающая семейство протоколов TCP/IP, можно рассматривать как Интранет.

Большинство организаций в настоящее время имеет некоторый тип Интранета. Во внутренней сети ( интранет ) могут быть созданы еще меньшие Интранеты, используя внутренние firewall’ы. Например, можно защитить свою собственную персональную сеть внутренним firewall’ом, и получившаяся защищенная сеть может рассматриваться как персональная интранет.

Так как Интранет использует те же самые протоколы и прикладные сервисы, что и Интернет, многие проблемы безопасности, унаследованные из Интернета, также присутствуют в Интранете.

Экстранет

Термин " Экстранет " применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN. Экстранет может быть определена как business-to-business Интранет. Эта сеть позволяет обеспечить ограниченный, управляемый доступ удаленных пользователей посредством той же формы аутентификации и шифрования, которые имеются в VPN.

Экстранет имеет те же самые характеристики, что и интранет, за исключением того, что экстранет использует VPN для создания защищенных соединений через публичный Интернет. Целью интранет является предоставление доступа к потенциально чувствительной информации удаленным пользователям или организациям, но при этом запрещая доступ всем остальным внешним пользователям и системам. Экстранет использует протоколы TCP/IP и те же самые стандартные приложения и сервисы, которые используются в Интернете. На рис. 2.5 показан пример топологии сети экстранета.

Рис. 2.5. VPN и экстранет, соединяющие две сети интранета