На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:
- пропускать прикладной трафик от прикладного шлюза в Интернет
- пропускать почтовый трафик от почтового сервера в Интернет
- пропускать прикладной трафик из Интернета к прикладному шлюзу
- пропускать почтовый трафик из Интернета к почтовому серверу
- пропускать трафик из Интернета к информационному серверу
- все остальные виды трафика блокировать
Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.
Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:
- прикладной трафик от приклданого шлюза к внутренним системам пропускается
- почтовый трафик от почтового сервера к внутренним системам пропускается
- прикладной трафик к прикладному шлюзу от внутренних систем пропускается
- почтовый трафик от внутренних систем к почтовому серверу пропускается
- пропускать трафик от внутренних ситсем к информационному серверу
- все остальные виды трафика блокировать
Рисунок 3.4
Поэтому не существует внутренних систем, напрямую доступных из Интернета и наоборот, как при брандмауэре на основе шлюза с двумя интерфейсами. Большим отличием является то, что маршрутизаторы используются для направления трафика к определенным системам, что делает ненужным прикладной шлюз с двумя интерфейсами. При таком варианте может быть достигнута большая пропускная способность, если маршрутизатор используется как шлюз для защищенной подсети. Как следствие, брандмауэр с изолированной подсетью может оказаться более уместным вариантом для сетей с большим объемом трафика или сетей, которым требуется высокоскоростной трафик.
Эти два маршрутизатора обеспечивают дополнительный слой защиты, так как атакующему надо будет обойти средства защиты в обоих маршрутизаторах, чтобы получить доступ к внутренним системам. Прикладной шлюз, почтовый сервер и информационный сервер могут быть установлены таким образом, что будут единственными системами, видимыми из Интернета; размещение информации в DNS, доступной в Интернете, о других системах не потребуется. На прикладном шлюзе могут быть установлены меры усиленной аутентификации для аутентификации всех входящих соединений. Конечно, это потребует дополнительного конфигурирования, но использование отдельных систем для прикладного шлюза и фильтрации пакетов сделает конфигуирование более простым..
Брандмауэр с изолированной подсетью, как и брандмауэр с изолированным хостом, может быть сделан более гибким при разрешении существования "доверенных" сервисов, которым будет разрешаться передаваться между Интернетом и внутренними системами. Но эта гибкость открывает возможность нарушения политики, ослаблению эффекта брандмауэра. Во многих отношениях, брандмауэр на основе шлюза с двумя интерфейсами более желателен, так как политику нельзя ослабить (в нем нельзя разрешить передачу сервисов, для которых нет прокси-сервера). Тем не менее, если важны пропускная способность т гибкость, более желателен брандмауэр с изолированной подсетью.
В качестве альтернативы передаче сервисов напрямую между Интернетом и внутренними системами можно разместить системы, которым требуются такие сервисы, прямо в изолированной подсети. Например, не разрешается передавать трафик X Windows и NFS между Интернетом и внутренними системами, но если есть системы, которым необходимы такие возможности, они размещены в изолированной подсети. Эти системы могут взаимодействовать с внутренними системами через прикладной шлюз (внутренний маршрутизатор настроен соответствующим образом). Это не полное решение, но вариант для сетей, которым требуется высокая степень безопасности.
У брандмауэра с изолированной подсетью имеется два недостатка. Во-первых, так как можно его сконфигуировать так, что он будет пропускать "доверенные сервисы" в обход прикладного шлюза, то есть возможность нарушения политики. Это также верно и для брандмауэра с изолированным хостом, но брандмауэр с изолированной подсетью имеет место, куда можно поместить внутренние системы, которым требуется прямой доступ к таким сервисам. В брандмауэре с изолированным хостом "доверенные сервисы", которые передаются в обход прикладного шлюза, тоже напрямую взаимодействуют с внутренними системами. Второй недостаток - это то, что на маршрутизаторы возлагаются большие задачи по обеспечению безопасности. Как уже отмечалось, маршрутизаторы с фильтрацией пакетов иногда очень тяжело правильно сконфигуировать, а ошибки могут привести к появлению уязвимых мест.