Специальная публикация NIST 800-10


Брандмауэр с изолированной подсетью


Брандмауэр с изолированной подсетью - это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив таким образом большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.

На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:

  • пропускать прикладной трафик от прикладного шлюза в Интернет
  • пропускать почтовый трафик от почтового сервера в Интернет
  • пропускать прикладной трафик из Интернета к прикладному шлюзу
  • пропускать почтовый трафик из Интернета к почтовому серверу
  • пропускать трафик из Интернета к информационному серверу
  • все остальные виды трафика блокировать

Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.

Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:

  • прикладной трафик от приклданого шлюза к внутренним системам пропускается
  • почтовый трафик от почтового сервера к внутренним системам пропускается
  • прикладной трафик к прикладному шлюзу от внутренних систем пропускается
  • почтовый трафик от внутренних систем к почтовому серверу пропускается
  • пропускать трафик от внутренних ситсем к информационному серверу
  • все остальные виды трафика блокировать




- Начало -  - Назад -  - Вперед -



Книжный магазин