|
Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей. |
Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 10:
Межсетевые экраны
| Номер | Исходный IP | Конечный IP | Служба | Действие |
|---|---|---|---|---|
| 1 | Любой | Веб-сервер | HTTP | Принятие |
| 2 | Любой | Почтовый сервер | SMTP | Принятие |
| 3 | Почтовый сервер | Любой | SMTP | Принятие |
| 4 | Внутренняя сеть | Любой | HTTP, HTTPS, FTP, telnet, SSH | Принятие |
| 5 | Внутренняя DNS | Любой | DNS | Принятие |
| 6 | Любой | Любой | Любая | Сброс |
Как видно из таблицы 10.2, правила практически аналогичны правилам архитектуры 1. Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также мы видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.
Архитектура 3: двойные межсетевые экраны
Третья архитектура, о которой пойдет речь, использует двойные межсетевые экраны (см. рис. 10.5). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном. В таблице 10.3 приведены правила для межсетевого экрана 1.
Вопрос к эксперту
Вопрос. Используются ли межсетевые экраны только на соединениях с интернетом?
Ответ. Не следует ограничивать область действия межсетевых экранов одними лишь интернет-соединениями. Межсетевой экран представляет собой устройство, которое может использоваться в любой ситуации, требующей контроля доступа. В частности, данные устройства можно использовать во внутренних сетях, которые необходимо защищать от других внутренних систем. Секретные внутренние сети могут содержать компьютеры с особо важной информацией или функциями либо сети, в которых проводятся эксперименты над сетевым оборудованием.
Хорошим примером секретных сетей являются банковские сети. Каждый вечер банки связываются с системой федерального резерва для передачи денежных средств. Ошибки в этих сетях могут стоить банкам больших денег. Системы, управляющие такими соединениями, являются крайне секретными и жизненно важными для банковских структур. Для ограничения доступа к этим системам из других подразделений банка можно установить межсетевой экран.
Как видно из таблицы 10-3, правила в данном случае аналогичны правилам межсетевого экрана в архитектуре 2. Но еще имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 10-4.
| Номер | Исходный IP | Конечный IP | Служба | Действие |
|---|---|---|---|---|
| 1 | Любой | Веб-сервер | HTTP | Принятие |
| 2 | Любой | Почтовый сервер | SMTP | Принятие |
| 3 | Почтовый сервер | Любой | SMTP | Принятие |
| 4 | Внутренняя сеть | Любой | HTTP, HTTPS, FTP, telnet, SSH | Принятие |
| 5 | Внутренняя DNS | Любой | DNS | Принятие |
| 6 | Любой | Любой | Любая | Сброс |
| Номер | Исходный IP | Конечный IP | Служба | Действие |
|---|---|---|---|---|
| 1 | Внутренний почтовый сервер | Почтовый сервер | SMTP | Принятие |
| 2 | Внутренняя сеть | Любой | HTTP, HTTPS, FTP, telnet, SSH | Принятие |
| 3 | Внутренняя DNS | Любой | DNS | Принятие |
| 4 | Любой | Любой | Любая | Сброс |
Примечание
Эти примеры очень просты, однако они отражают функционирование межсетевых экранов, при котором разрешается только строго определенный доступ.
