Безопасность сетей

  0f1a9e67   

Два межсетевых экрана


Третья архитектура демилитаризованной зоны изображена на рис. 16.11. Здесь используются два межсетевых экрана для отделения DMZ от внешней и внутренней сети. Внешняя сеть по-прежнему находится между маршрутизатором провайдера и первым межсетевым экраном. Демилитаризованная зона теперь располагается между межсетевыми экранами 1 и 2. Межсетевой экран 1 настроен на разрешение прохождения всего трафика DMZ, а также всего внутреннего трафика. Конфигурация межсетевого экрана 2 более ограничительна и предусматривает только пропуск исходящего трафика в интернет.

Архитектура с двумя межсетевыми экранами требует, чтобы межсетевой экран 1 мог обрабатывать достаточный объем трафика, если системы в DMZ будут работать с большим объемом трафика. Межсетевой экран 2 может быть менее производительной системой, так как он обрабатывает только внутренний трафик. Кроме того, межсетевые экраны бывают двух различных типов.

Такая конфигурация повышает общий уровень безопасности, так как одна единственная атака вряд ли приведет к злоумышленному воздействию на оба межсетевых экрана. По аналогии с системами, имеющими один межсетевой экран, системы DMZ защищены от интернета межсетевым экраном 1.

Пара межсетевых экранов повышает стоимость архитектуры и требует дополнительных усилий по управлению и настройке.


увеличить изображение
Рис. 16.11.  Архитектура демилитаризованной зоны с двумя межсетевыми экранами



Содержание раздела