Основы Сетей > Безопасность Сети >

Использование межсетевых экранов

Рубрика: Безопасность Сети

Размещение межсетевого экрана в качестве пограничного устройства между внутренней сетью (интранетом) и Интернетом позволяет контролировать весь исходящий и входящий интернет-трафик и управлять его прохождением.

Использование межсетевых экранов

Между внутренней и внешней сетью создается четкий защитный рубеж. Однако некоторым внешним клиентам может потребоваться доступ к внутренним ресурсам. Для этого можно предусмотреть демилитаризованную зону (DMZ).

Демилитаризованная зона – военно-политический термин, означающий территорию между двумя сторонами конфликта, в которой запрещено военное присутствие.

В компьютерных сетях демилитаризованной зоной называется участок сети, доступный как внутренним, так и внешним пользователям. Он более защищен по сравнению с внешней сетью, но менее защищен по сравнению с внутренней сетью.

DMZ создается посредством использования одного или нескольких межсетевых экранов, разграничивающих внутреннюю сеть, DMZ и внешнюю сеть. В DMZ часто размещаются веб-серверы, открытые для доступа извне.

Конфигурация с одним межсетевым экраном

Конфигурация с одним межсетевым экраном

Один межсетевой экран делит сетевое пространство на три зоны: внешняя сеть, внутренняя сеть и DMZ. Весь трафик поступает на межсетевой экран из внешней сети. Межсетевой экран должен контролировать трафик и принимать решение о его пересылке в DMZ или во внутреннюю сеть, либо о запрете пересылки.

Конфигурация с двумя межсетевыми экранами

В конфигурации с двумя межсетевыми экранами предусмотрены внутренний и внешний межсетевой экраны, между которыми располагается DMZ. Внешний межсетевой экран применяет менее строгие ограничения и разрешает доступ пользователей из Интернета в DMZ, а также сквозное прохождение трафика, запрошенного внутренними пользователями. Внутренний межсетевой экран применяет более строгие ограничения и защищает внутреннюю сеть от несанкционированного доступа.

Для небольших сетей с низким трафиком подходит конфигурация на основе одного межсетевого экрана, который, однако, является критической точкой отказа и может оказаться перегруженным. Конфигурация с двумя межсетевыми экранами целесообразна для крупных и сложных сетей со значительно большими объемами трафика.

Далее: Неполадоки подключения ISR к поставщику услуг Интернета

Смотрите также
Комментарии
Написать

(обязательно)

(обязательно)

Это не спам (обязательно)