А.4.3.18 Настройка архитектуры брандмауэров

Брандмауэр представляет собой структуру, которая создается между частной сетью и внешним миром с целью защиты от несанкционированного вторжения. В большинстве случаев такое вторжение может происходить из внешних сетей. Обычно сетевой брандмауэр состоит из нескольких устройств, как показано на рис. А.14.

При такой архитектуре маршрутизатор, подсоединенный к Internet (т.е. внешний), направляет весь входящий поток на шлюз уровня приложения. Маршрутизатор, подсоединенный к внутренней сети (т.е. внутренний), принимает пакеты только со шлюза приложения.

Рис. А.14. Типичный брандмауэр ограждает сеть от несанкционированного вторжения из Internet

В действительности шлюз контролирует предоставление сетевых услуг как во внутреннюю сеть, так и из нее. Например, некоторым пользователям может быть предоставлено право работы в Internet, или только некоторым приложениям разрешено устанавливать соединение между внутренним и внешним хостами.

Если единственным допустимым приложением является электронная почта, то на маршрутизаторе должно быть установлено соответствующее ограничение и через него должны проходить только такие пакеты. Это защищает шлюз приложения и предотвращает его переполнение, которое может привести к тому, что часть данных будет отброшена.

Ниже описывается ситуация, показанная на рис. А.14, где требуется с помощью списков управления доступом ограничить потоки данных на брандмауэр и с него.

Использование специально предназначенного для этого маршрутизатора в качестве брандмауэра является весьма желательным, потому что при этом маршрутизатор имеет четко выраженную цель и применяется в качестве внешнего шлюза, не загружая этой работой другие маршрутизаторы. При необходимости изоляции внутренней сети брандмауэр создает изолированную точку и потоки данных во внешней сети не затронут внутреннюю сеть.

В приведенной ниже конфигурации брандмауэра подсеть 24 сети класса В представляет собой подсеть брандмауэра, а подсеть 25 обеспечивает связь с глобальной сетью Internet через провайдера услуг:

interface ethernet0
ip address 172.10.24.1 255.255.255.0
interface serial 0
ip address 172.10.25.1 255.255.255.0
router igrp
network 172.10.0.0

Эта простая конфигурация не обеспечивает никакой защиты, и поток данных из внешней сети поступает во все сегменты внутренней сети. Для обеспечения безопасности на брандмауэре необходимо использовать списки управления доступом и группы доступа.

Список управления доступом определяет потоки, которым будет предоставлен доступ или отказано в нем, а группа доступа применяет условия списка к некоторому интерфейсу. Списки могут быть использованы для блокировки соединений, которые представляются потенциально опасными и для разрешения доступа всем другим соединениям или предоставлять доступ некоторым соединениям и блокировать его для всех других. При установке конфигурации брандмауэров последний метод является более надежным.

Наилучшим местом для создания списка является хост. Для этого используется какой-либо текстовый редактор. Можно создать файл, содержащий команды access-list, а затем загрузить его в маршрутизатор. Перед загрузкой списка доступа все предыдущие определения должны быть удалены с помощью команды no access-list 101.

После этого команда access-list может быть использована для разрешения доступа всем пакетам, возвращающимся по уже установленным соединениям. Если использовать ключевое слово established, то условие будет выполнено, когда в заголовке ТСР-сегмента будет установлен бит подтверждения (АСК) или бит сброса (RST):

access-list 101 permit tcp 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255 established

После загрузки списка управления доступом на маршрутизатор и записи его в энергонезависимую оперативную память (nonvolatile random-access memory, NVRAM), этот список можно связать с соответствующим интерфейсом. В данном примере поток данных, поступающий из внешнего мира через последовательный интерфейс 0 фильтруется перед размещением его в подсети 24 (ethernet 0). Поэтому команда access-group, назначающая список входным фильтрующим соединениям, должна выглядеть следующим образом:

interface ethernet 0
ip access-group 101

Для управления выходным потоком из частной сети в Internet необходимо определить список управления доступом и применить его к пакетам, отсылаемым с последовательного порта 0 маршрутизатора. Для этого возвращающимся пакетам с хостов, использующих Telnet или FTP, должен быть разрешен доступ к подсети брандмауэра 172.10.24.0.

Если имеется несколько внутренних сетей, подсоединенных к брандмауэру, и он использует выходные фильтры, то поток данных между внутренними сетями будет ограничен в связи с использованием фильтров списков управления доступом. Если входные фильтры используются только на интерфейсе, связывающем маршрутизатор с внешним миром, то ограничений на связь между внутренними сетями не будет.

Далее >>>