В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Один из подобных сценариев подразумевает цепочку расположенных друг за другом брандмауэров, что позволяет разбить ресурсы с различными требованиями к безопасности по соответствующим им сегментам сети. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.Применение многоуровневых брандмауэров в полной мере обеспечивает способность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра. Некоторые из существующих программ, например Check Point Firewall-1, обеспечивают интуитивно понятный интерфейс управления нескольким брандмауэрами с одного единственного компьютера. Другие, вроде NetFilter, могут потребовать от администратора более значительных усилий для поддержки конфигурации брандмауэра в соответствии с требованиями текущей политики безопасности организации.
Внутренние брандмауэры.
Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ограниченный доступ внешнего трафика к определенным ресурсам. Такая конфигурация не так необычна, как может показаться на первый взгляд. Рассмотрим типичную архитектуру, в которой за маршрутизатором расположен один-единственный брандмауэр. В случае использования функции маршрутизатора по контролю списков доступа взамен обычной фильтрации пакетов, маршрутизатор начинает действовать подобно брандмауэру. Безусловно, данная идея вносит избыточность в схему контроля доступа, но именно такой запас прочности позволяет надеяться, что если одно из устройств не сумеет пресечь злонамеренный трафик, то это удастся сделать другому.
Возможно, такое решение покажется неоправданным, в этом случае имеет смысл изучить приведенную на рис. 10 схему.Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету расположена подсеть, тем меньшим уровнем безопасности она обладает. В приведенном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает доступ к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.
Рис. Внутренние брандмауэры.
Одна из самых главных проблем, связанных с корпоративными многоуровневыми брандмауэрами, заключается в сложности управления ими. Администратор должен не только установить, настроить и поддерживать несколько уровней брандмауэров, но и обеспечить их совместимость друг с другом. Если, например, требуется обеспечить доступ в Интернет с системы, расположенной за двумя брандмауэрами, то необходимо внести соответствующие правила доступа в настройки обоих брандмауэров. Коммерческие программы брандмауэров, например, Check Point Firewall-1 и Cisco PIX, нередко наделены программными решениями, позволяющими управлять несколькими брандмауэрами средствами одной единственной системы. Это облегчает корректную настройку всех внутренних брандмауэров, входящих в состав многоуровневой защиты. Однако если некое устройство нуждается в прямом доступе в Интернет, то целесообразно пересмотреть проект сети с целью минимизации брандмауэров, препятствующих этому.
Брандмауэры, расположенные параллельно.Существует множество ситуаций, вынуждающих расположить брандмауэры параллельно друг другу. В подобных конфигурациях разные брандмауэры, как правило, защищают ресурсы с разными требованиями к уровню безопасности. Если брандмауэры расположены последовательно, как это описывалось в предыдущем разделе, то пакеты, предназначенные спрятанному в недрах сети хосту, неизбежно задерживаются, что вызвано несколькими проверками прав их доступа. В случае же с параллельными брандмауэрами такой вариант в принципе невозможен, поскольку все брандмауэры оказываются равно удаленными от внешнего мира.
Другими словами, каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис. 11. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.
Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь "шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допустимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уровня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта. Впрочем, данное решение лишено той надежности, которую обеспечивают многоуровневые брандмауэры, рассмотренные ранее.
Рис. 11. Брандмауэры, расположенные параллельно.