Межсетевые экраны и proxy-серверы
Экраны базируются на двух основных приемах защиты: 1. пакетной фильтрации, 2. серверах-посредниках (proxy-server)
IP-spoofing Packet filtering firewall
Взаимное расположение Firewallа и VPN-шлюза А) VPN-шлюз перед firewallом Недостаток: VPN-шлюз принимает на себя все внешние атаки по незашифрованному трафику
Взаимное расположение Firewallа и VPN-шлюза B) VPN-шлюз позади firewallа Защищенность улучшается Firewall отражает все внешние атаки Firewall должен пропускать зашифрованный трафик
Взаимное расположение Firewallа и VPN-шлюза С) VPN-шлюз совмещен с Firewallом Наиболее привлекательное решение Просто администрировать - единая аутентификация Высокие требования к производительности интегрированного устройства Нельзя применить для standalone VPN- шлюзов
Взаимное расположение Firewallа и VPN-шлюза D) VPN-шлюз «сбоку» Firewallа Два канала с публичной сетью Зашифрованный трафик обрабатывается VPN- шлюзом, а затем - Firewallом Высокая надежность защиты Высокая надежность соединения с публичной сетью (резервирование каналов)
Взаимное расположение Firewallа и VPN-шлюза D) VPN-шлюз имеет параллельное соединение с защищаемой сетью Недостаточная степень защиты - зашифрованный трафик не проходит через firewall Высокая надежность соединения с публичной сетью (резервирование каналов)
Относительная вычислительная мощность, требуемая для выполнения основных операций маршрутизатора, брандмауэра и устройства VPN
Пример применения FireWall-1 MONK
Сервер-посредник (proxy-server) Сервер Socks Клиент Socks Клиент FTP Сервер FTP Internet Протокол Socks Протокол FTP
Сервер-посредник (proxy-server) Сервер Socks Клиент Socks Клиент FTP Сервер FTP Internet Протокол Socks Протокол FTP