Безопасность сетей

  0f1a9e67   

Настройка


Требования безопасности для партнерской сети немного отличаются от требований в случае с интернет-соединением. Поэтому мы можем использовать те же архитектуры и методологии.

Службы, необходимые для соединения, определены, и системы, предоставляющие эти службы, расположены в демилитаризованной зоне. Это не та DMZ, которая использовалась для интернет-соединения, хотя она может располагаться за пределами области, защищаемой межсетевым экраном интернета, при наличии достаточного объема ресурсов (см. рис. 16.14). Изучая рисунок, обратите внимание на то, что на межсетевом экране добавлены два интерфейса: один для партнерской DMZ, а другой - для партнерской сети.

На межсетевом экране необходимо установить дополнительные правила, чтобы позволить системам в партнерской организации, а также внутренним системам осуществлять доступ к партнерским DMZ-системам. Однако не должны присутствовать правила, позволяющие системам в партнерской организации подключаться к внутренней сети, демилитаризованной зоне интернета или к интернету. На многих межсетевых экранах может потребоваться установить дополнительные запреты. В таблице 16.1 показано, каким образом будут изменены правила.

Таблица 16.1. Правила маршрутизатора интернета с доступом в партнерскую сеть

Номер правилаIP-адрес источникаIP-адрес назначенияСлужбаДействие
1Партнерская сетьПартнерская DMZНеобходимая для партнерских взаимоотношенийПринятие
2Партнерская сетьЛюбойЛюбаяОтказ
3Партнерская DMZПартнерская сетьНеобходимая для партнерских взаимоотношенийПринятие
4ЛюбойПартнерская сетьЛюбаяОтказ
5ЛюбойВеб-серверHTTPПринятие
6ЛюбойПочтовый серверSMTPПринятие
7Почтовый серверЛюбойSMTPПринятие
8Внутренняя сетьЛюбойHTTP, HTTPS, FTP, telnet, SSHПринятие
9Внутренняя DNSЛюбойDNSПринятие
10ЛюбойЛюбойЛюбойСброс

Как видно из таблицы 16.1, в верхней части списка присутствуют правила, конкретно отклоняющие доступ к партнерским сетям и из них. Так как большая часть межсетевых экранов работает по первому совпавшему условию, необходимо расположить перед правилами глобального разрешения правила 5, 6, 7, 8 и 9.


увеличить изображение
Рис. 16.14.  Партнерская DMZ, использующая межсетевой экран интернета



Содержание раздела