Настройка
Требования безопасности для партнерской сети немного отличаются от требований в случае с интернет-соединением. Поэтому мы можем использовать те же архитектуры и методологии.
Службы, необходимые для соединения, определены, и системы, предоставляющие эти службы, расположены в демилитаризованной зоне. Это не та DMZ, которая использовалась для интернет-соединения, хотя она может располагаться за пределами области, защищаемой межсетевым экраном интернета, при наличии достаточного объема ресурсов (см. рис. 16.14). Изучая рисунок, обратите внимание на то, что на межсетевом экране добавлены два интерфейса: один для партнерской DMZ, а другой - для партнерской сети.
На межсетевом экране необходимо установить дополнительные правила, чтобы позволить системам в партнерской организации, а также внутренним системам осуществлять доступ к партнерским DMZ-системам. Однако не должны присутствовать правила, позволяющие системам в партнерской организации подключаться к внутренней сети, демилитаризованной зоне интернета или к интернету. На многих межсетевых экранах может потребоваться установить дополнительные запреты. В таблице 16.1 показано, каким образом будут изменены правила.
| 1 | Партнерская сеть | Партнерская DMZ | Необходимая для партнерских взаимоотношений | Принятие |
| 2 | Партнерская сеть | Любой | Любая | Отказ |
| 3 | Партнерская DMZ | Партнерская сеть | Необходимая для партнерских взаимоотношений | Принятие |
| 4 | Любой | Партнерская сеть | Любая | Отказ |
| 5 | Любой | Веб-сервер | HTTP | Принятие |
| 6 | Любой | Почтовый сервер | SMTP | Принятие |
| 7 | Почтовый сервер | Любой | SMTP | Принятие |
| 8 | Внутренняя сеть | Любой | HTTP, HTTPS, FTP, telnet, SSH | Принятие |
| 9 | Внутренняя DNS | Любой | DNS | Принятие |
| 10 | Любой | Любой | Любой | Сброс |
Как видно из таблицы 16.1, в верхней части списка присутствуют правила, конкретно отклоняющие доступ к партнерским сетям и из них. Так как большая часть межсетевых экранов работает по первому совпавшему условию, необходимо расположить перед правилами глобального разрешения правила 5, 6, 7, 8 и 9.
увеличить изображение
Рис. 16.14. Партнерская DMZ, использующая межсетевой экран интернета
