Межсетевые экраны и proxy-серверы

Экраны базируются на двух основных приемах защиты: 1. пакетной фильтрации, 2. серверах-посредниках (proxy-server)

IP-spoofing Packet filtering firewall

Взаимное расположение Firewallа и VPN-шлюза А) VPN-шлюз перед firewallом Недостаток: VPN-шлюз принимает на себя все внешние атаки по незашифрованному трафику

Взаимное расположение Firewallа и VPN-шлюза B) VPN-шлюз позади firewallа Защищенность улучшается Firewall отражает все внешние атаки Firewall должен пропускать зашифрованный трафик

Взаимное расположение Firewallа и VPN-шлюза С) VPN-шлюз совмещен с Firewallом Наиболее привлекательное решение Просто администрировать - единая аутентификация Высокие требования к производительности интегрированного устройства Нельзя применить для standalone VPN- шлюзов

Взаимное расположение Firewallа и VPN-шлюза D) VPN-шлюз «сбоку» Firewallа Два канала с публичной сетью Зашифрованный трафик обрабатывается VPN- шлюзом, а затем - Firewallом Высокая надежность защиты Высокая надежность соединения с публичной сетью (резервирование каналов)

Взаимное расположение Firewallа и VPN-шлюза D) VPN-шлюз имеет параллельное соединение с защищаемой сетью Недостаточная степень защиты - зашифрованный трафик не проходит через firewall Высокая надежность соединения с публичной сетью (резервирование каналов)

Относительная вычислительная мощность, требуемая для выполнения основных операций маршрутизатора, брандмауэра и устройства VPN

Пример применения FireWall-1 MONK

Сервер-посредник (proxy-server) Сервер Socks Клиент Socks Клиент FTP Сервер FTP Internet Протокол Socks Протокол FTP

Сервер-посредник (proxy-server) Сервер Socks Клиент Socks Клиент FTP Сервер FTP Internet Протокол Socks Протокол FTP