Брандмауэр с изолированной подсетью
3.4 Брандмауэр с изолированной подсетью
Брандмауэр с изолированной подсетью - это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив таким образом большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.
На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:
Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.
Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:
