При наличии большого числа серверов с разными требованиями доступа можно иметь firewall пограничного роутера и два внутренних firewall’а и разместить все внешне доступные серверы во внешней DMZ между роутером и первым firewall’ом. Пограничный роутер будет фильтровать пакеты и обеспечивать защиту серверов, первый firewall будет обеспечивать управление доступом и защиту серверов внутренней DMZ в случае, если они атакованы. Организация размещает внутренне доступные серверы во внутренней DMZ, расположенной между основным и внутренним firewall’ами; firewall’ы будут обеспечивать защиту и управление доступом для внутренних серверов, защищенных как от внешних, так и от внутренних атак.
Рис. 2.3. Пример окружения firewall’а с двумя DMZ-сетями
Окружение firewall’а для данной сети показано на рис. 2.3.
- Внешняя DMZ-сеть соединена с Интернетом через пакетный фильтр, служащий пограничным роутером, – выше были указаны причины, по которым использование пакетного фильтра является предпочтительным.
- Основной firewall является VPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПО VPN-клиента для соединения с firewall’ом.
- Входящий SMTP-трафик должен пропускаться основным firewall’ом.
- Исходящий НТТР-трафик должен проходить через внутренний firewall, который передает данный НТТР-трафик прикладному НТТР-прокси, размещенному во внутренней DMZ.
Основной и внутренний firewall’ы должны поддерживать технологию stateful inspection и могут также включать возможности прикладного прокси. Основной firewall должен выполнять следующие действия:
- разрешать внешним пользователям соединяться с VPN-сервером, где они должны аутентифицироваться;
- пропускать внутренние SMTP-соединения и данные к прокси-серверу, где данные могут быть отфильтрованы и переданы системам назначения;
- выполнять роутинг исходящего НТТР-трафика от НТТР-прокси и исходящего SMTP-трафика от SMTP-сервера;
- после этого запретить весь другой исходящий НТТР- и SMTP-трафик;
- после этого разрешить весь другой исходящий трафик.
Внутренний firewall должен принимать входящий трафик только от основного firewall’а, прикладного НТТР-прокси и SMTP-сервера. Кроме того, он должен принимать SMTP- и НТТР-трафик только от прокси, но не от основного firewall’а. Наконец, он должен разрешать все исходящие соединения от внутренних систем.
Чтобы сделать данный пример применимым к окружениям с более высокими требованиями к безопасности, можно добавить следующие сервисы:
- могут быть добавлены внутренний и внешний DNS-серверы, чтобы спрятать внутренние системы;
- может использоваться NAT для дальнейшего сокрытия внутренних систем;
- исходящий трафик от внутренних систем может фильтроваться, что может включать фильтрование трафика к определенным сайтам или сервисам в соответствии с политикой управления;
- может быть использовано несколько firewall’ов для увеличения производительности.
