Опубликован: 21.09.2006 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 2:

Различные типы окружений firewall’а

< Лекция 1 || Лекция 2: 12345 || Лекция 3 >
Аннотация: Рассматриваются различные типы окружений, в которых может функционировать firewall. Приведены основные принципы построения окружения firewall’а. Дается определение DMZ-сети. Исследуются различные топологии DMZ-сетей с использованием firewall’ов разного типа. Разбирается взаимное расположение конечных точек VPN и firewall’ов. Вводятся понятия "Интранет", "Экстранет". Задаются принципы создания политики firewall’а.

Окружение firewall’а является термином, который применяется для описания множества систем и компонент, используемых для поддержки функционирования firewall’а в конкретной сети. Простое окружение firewall’а может состоять только из пакетного фильтра. В более сложном и безопасном окружении оно состоит из нескольких firewall’ов и прокси со специальной топологией. Рассмотрим возможные сетевые топологии, используемые в качестве окружений firewall’а.

Принципы построения окружения firewall’а

Существует четыре принципа, которым необходимо следовать:

  1. Простота (Keep It Simple)

    Данный принцип говорит о первом и основном, о чем надо помнить при разработке топологии сети, в которой функционирует firewall. Важно принимать наиболее простые решения — более безопасным является то, чем легче управлять. Трудно понимаемые функциональности часто приводят к ошибкам в конфигурации.

  2. Использование устройств по назначению

    Использование сетевых устройств для того, для чего они первоначально предназначались, в данном контексте означает, что не следует делать firewall’ы из оборудования, которое не предназначено для использования в качестве firewall’а. Например, роутеры предназначены для роутинга; возможности фильтрации пакетов не являются их исходной целью, и это всегда надо учитывать при разработке окружения firewall’а. Зависимость исключительно от возможности роутера обеспечивать функциональность firewall’а опасна: он может быть легко переконфигурирован. Другим примером являются сетевые коммутаторы (switch): когда они используются для обеспечения функциональности firewall’а вне окружения firewall’а, они чувствительны к атакам, которые могут нарушить функционирование коммуникатора. Во многих случаях гибридные firewall’ы и устройства firewall’ов являются лучшим выбором, потому что они оптимизированы в первую очередь для функционирования в качестве firewall’ов.

  3. Создание обороны вглубь

    Оборона вглубь означает создание нескольких уровней защиты в противоположность наличию единственного уровня. Не следует всю защиту обеспечивать исключительно firewall’ом. Там, где может использоваться несколько firewall’ов, они должны использоваться. Там, где роутеры могут быть сконфигурированы для предоставления некоторого управления доступом или фильтрации, это следует сделать. Если ОС сервера может предоставить некоторые возможности firewall’а, это следует применить.

  4. Внимание к внутренним угрозам

    Наконец, если уделять внимание только внешним угрозам, то это приводит к тому, что сеть становится открытой для атак изнутри. Хотя это и маловероятно, но следует рассматривать возможность того, что нарушитель может как-то обойти firewall и получить свободу действий для атак внутренних или внешних систем. Следовательно, важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних firewall’ов или DMZ-зон.

В качестве итога заметим, что выражение "всю защиту можно взломать" особенно применимо к построению окружений firewall’а. При развертывании firewall’ов следует помнить о перечисленных выше правилах для определения окружений, но в каждом случае могут иметь место свои собственные требования, возможно, требующие уникальных решений.

DMZ-сети

Конфигурация с одной DMZ-сетью

В большинстве случаев окружение firewall’а образует так называемую DMZ-сеть или сеть демилитаризованной зоны. DMZ-сеть является сетью, расположенной между двумя firewall’ами.

DMZ-сети предназначены для расположения систем и ресурсов, которым необходим доступ либо только извне, либо только изнутри, либо и извне, и изнутри, но которые не должны быть размещены во внутренних защищенных сетях. Причина в том, что никогда нельзя гарантировать, что эти системы и ресурсы не могут быть взломаны. Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам.

Пример окружения firewall’а с одной DMZ

Рис. 2.1. Пример окружения firewall’а с одной DMZ

DMZ-сети обычно строятся с использованием сетевых коммутаторов и располагаются между двумя firewall’ами или между firewall’ом и пограничным роутером. Хорошей практикой является размещение серверов удаленного доступа и конечных точек VPN в DMZ-сетях. Размещение этих систем в DMZ-сетях уменьшает вероятность того, что удаленные атакующие будут иметь возможность использовать эти серверы в качестве точки входа в локальные сети. Кроме того, размещение этих серверов в DMZ-сетях позволяет firewall’ам служить дополнительными средствами для контроля прав доступа пользователей, которые получают доступ с использованием этих систем к локальной сети.

Service Leg конфигурация

Одной из конфигураций DMZ-сети является так называемая "Service Leg" конфигурация firewall’а. В этой конфигурации firewall создается с тремя сетевыми интерфейсами. Один сетевой интерфейс соединяется с Интернетом, другой сетевой интерфейс соединяется с внутренней сетью, и третий сетевой интерфейс формирует DMZ-сеть. Такая конфигурация может привести к возрастанию риска для firewall’а при деградации сервиса в течение DoS-атаки, которая будет нацелена на сервисы, расположенные в DMZ-сети. В стандартной конфигурации DMZ-сети DoS-атака для присоединенного к DMZ-ресурса, такого как web-сервер, будет соответствующим образом воздействовать только на этот целевой ресурс. В Service Leg конфигурации DMZ-сети firewall берет на себя основной удар от DoS-атаки, потому что он должен проверять весь сетевой трафик перед тем, как трафик достигнет присоединенного к DMZ-ресурса. Это может влиять на весь трафик организации, если на ее web-сервер выполнена DoS-атака.

Конфигурация Service Leg DMZ

Рис. 2.2. Конфигурация Service Leg DMZ
Конфигурация с двумя DMZ-сетями

При наличии большого числа серверов с разными требованиями доступа можно иметь firewall пограничного роутера и два внутренних firewall’а и разместить все внешне доступные серверы во внешней DMZ между роутером и первым firewall’ом. Пограничный роутер будет фильтровать пакеты и обеспечивать защиту серверов, первый firewall будет обеспечивать управление доступом и защиту серверов внутренней DMZ в случае, если они атакованы. Организация размещает внутренне доступные серверы во внутренней DMZ, расположенной между основным и внутренним firewall’ами; firewall’ы будут обеспечивать защиту и управление доступом для внутренних серверов, защищенных как от внешних, так и от внутренних атак.

Пример окружения firewall’а с двумя DMZ-сетями

Рис. 2.3. Пример окружения firewall’а с двумя DMZ-сетями

Окружение firewall’а для данной сети показано на рис. 2.3.

  • Внешняя DMZ-сеть соединена с Интернетом через пакетный фильтр, служащий пограничным роутером, – выше были указаны причины, по которым использование пакетного фильтра является предпочтительным.
  • Основной firewall является VPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПО VPN-клиента для соединения с firewall’ом.
  • Входящий SMTP-трафик должен пропускаться основным firewall’ом.
  • Исходящий НТТР-трафик должен проходить через внутренний firewall, который передает данный НТТР-трафик прикладному НТТР-прокси, размещенному во внутренней DMZ.

Основной и внутренний firewall’ы должны поддерживать технологию stateful inspection и могут также включать возможности прикладного прокси. Основной firewall должен выполнять следующие действия:

  • разрешать внешним пользователям соединяться с VPN-сервером, где они должны аутентифицироваться;
  • пропускать внутренние SMTP-соединения и данные к прокси-серверу, где данные могут быть отфильтрованы и переданы системам назначения;
  • выполнять роутинг исходящего НТТР-трафика от НТТР-прокси и исходящего SMTP-трафика от SMTP-сервера;
  • после этого запретить весь другой исходящий НТТР- и SMTP-трафик;
  • после этого разрешить весь другой исходящий трафик.

Внутренний firewall должен принимать входящий трафик только от основного firewall’а, прикладного НТТР-прокси и SMTP-сервера. Кроме того, он должен принимать SMTP- и НТТР-трафик только от прокси, но не от основного firewall’а. Наконец, он должен разрешать все исходящие соединения от внутренних систем.

Чтобы сделать данный пример применимым к окружениям с более высокими требованиями к безопасности, можно добавить следующие сервисы:

  • могут быть добавлены внутренний и внешний DNS-серверы, чтобы спрятать внутренние системы;
  • может использоваться NAT для дальнейшего сокрытия внутренних систем;
  • исходящий трафик от внутренних систем может фильтроваться, что может включать фильтрование трафика к определенным сайтам или сервисам в соответствии с политикой управления;
  • может быть использовано несколько firewall’ов для увеличения производительности.
< Лекция 1 || Лекция 2: 12345 || Лекция 3 >
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Игорь Касаткин
Игорь Касаткин
Россия, Москва
Зарина Каримова
Зарина Каримова
Казахстан, Алматы, Гимназия им. Ахмета Байтурсынова №139, 2008