Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.
Рис. иллюстрирует один из наиболее распространенных способов использования связки маршрутизатор-брандмауэр. Хосты корпоративной подсети используют только внутренним персоналом организации. Общедоступные сервера экранированной подсети доступны также из Интернет. В данном сценарии ни один из внутренних серверов корпоративной подсети не доступен из внешнего мира. Например, вместо того, чтобы для нужд внутреннего почтового сервера открыть в брандмауэре TCP-порт 25, SMTP-трафик перенаправляется через ретранслятор почты расположенный внутри экранированной подсети.
Основы фильтрации.
Маршрутизатор отвечает лишь за свои непосредственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширенные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать "бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.
Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэром
Отметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизатора, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, следствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.
Управление доступом.
В описанном выше сценарии зашиты брандмауэр несет на себе основную ответственность за контроль доступа. Именно здесь уместнее всего задать в качестве политики по умолчанию полную блокировку всего входящего трафика за исключением нескольких необходимых для нормальной работы протоколов. Брандмауэр в таком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с данной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реализация подобного брандмауэра превратится в неразрешимую задачу.
Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой демилитаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможности фильтрации маршрутизатора, а для защиты корпоративной подсети применяется настроенный определенным образом брандмауэр.
Маршрутизатор в зоне контроля поставщика Интернет-услуг.В некоторых случаях Интернет-провайдер вполне способен предоставить клиенту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации принадлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отношении это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.
Другими словами, главным ограничением подобной конфигурации является отсутствие полной информации о том, какой именно трафик блокируется маршрутизатором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обратиться к провайдеру с просьбой либо ослабить контроль трафика со стороны их маршрутизатора, либо предоставить log-файлы, возникающие в результате такого контроля.
Маршрутизатор без брандмауэра.
Корректно настроенный маршрутизатор вполне способен блокировать нежелательный трафик. Особенно в случае, когда для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента локальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайтами, для их соединения между собой наверняка применяется именно маршрутизатор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.
Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной многоуровневой защиты, предназначенной оградить сеть от многочисленных потенциальных угроз извне.