Брандмауэр (межсетевой экран) может быть сконфигурирован в виде одной из нескольких архитектур. Это гарантирует различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Наиболее популярными являются три следующих архитектуры брандмауэров: брандмауэр сдвоенного хоста, брандмауэр экранирующего хоста и брандмауэр экранирующей подсети.
При использовании брандмауэра сдвоенного хоста один из хостов служит в качестве разделительной полосы между локальной сетью и Интернет. Этот компьютер использует две сетевые карты для соединения с сетями. При использовании брандмауэра сдвоенного хоста нужно отключить у хоста функции маршрутизатора, чтобы он не смог осуществлять соединение сетей с помощью программного обеспечения.
Данный вариант архитектуры межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме». При этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, так как маршруты к защищенной подсети известны только межсетевому экрану, а от внешних систем они скрыты.
Наибольшим недостатком в данной конфигурации является то, что пользователь случайно может включить средства маршрутизации, создав тем самым дыру системе защиты межсетевого экрана.
Многие проектировщики сетей считают, что межсетевой экран экранирующего хоста обеспечивает большую безопасность, чем брандмауэр сдвоенного хоста. При создании брандмауэра экранирующего хоста в сеть добавляется экранирующий маршрутизатор, а хост помещается вне доступа из Интернет.
При этом, нужно сконфигурировать экранирующий маршрутизатор таким образом, чтобы ему был «виден» только один компьютер сети − хост. Пользователи сети, которые захотят выйти в Интернет, будут вынуждены проходить через сервер. Таким образом, внутренним пользователям сети будет казаться, что они имеют непосредственный выход в Internet, а сервер будет ограничивать доступ в сеть внешних пользователей.
Основной недостаток схемы межсетевого экрана с экранирующего хоста заключается в том, что если атакующий нарушитель сумеет проникнуть в хост, то перед ним окажутся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.
Архитектура брандмауэра экранирующей подсети еще более изолирует локальную сеть от Интернет. В его состав входят два отдельных экранирующих маршрутизатора и сервер-посредник. При конструировании брандмауэра экранирующей подсети сервер-посредник помещается в сеть, состоящую из двух экранирующих маршрутизаторов. Один из них контролирует передачу данных по локальной сети, а второй − входящие и выходящие из Интернет сообщения.
Брандмауэр этого типа обеспечивает наиболее мощную защиту от посторонних вмешательств. В этом случае хост помещается в отдельную сеть, что ограничивает возможность атак и сводит к минимуму вред, который может быть нанесен внутренней сети.
На практике, использование данной архитектуры брандмауэра, может быть представлено в следующем виде (См: Рис.).
В данном примере защищенная локальная вычислительная сеть (ЛВС) безопасности включает в себя: 1. зону подключения к глобальной сети − демилитаризованную зону; 2. зону управления безопасностью и ресурсами сети; 3. зону защищаемых данных, обрабатываемых в ЛВС.
Зона подключения к глобальной сети включает в себя пограничный маршрутизатор, внешний межсетевой экран (МЭ), почтовый сервер и сервер WEB. Пограничный маршрутизатор представляет собой первую линию защиты и обеспечивает защиту внешнего МЭ от трафика, направленного на IP-адреса МЭ. Внешний МЭ обеспечивает защиту ЛВС от атак извне и разрешает ограниченный набор трафика в соответствии с принятой политикой безопасности.
Для разделения зоны подключения к глобальной сети и зоны внутренних сетей используются внутренний МЭ и коммутатор. Внутренний МЭ служит для контроля информационных потоков между внутренними сетями и обеспечивает: 1. изоляцию зоны управления от остальной сети; 2. защиту внутренней сети путем запрета трафика из менее защищенной зоны внешних подключений.
Зона управления безопасностью и ресурсами сети включает в себя сервер аутентификации и контроля доступа, сервер IDS, сервер СОБИ. Зона защищаемых данных включает в себя сервер БД, сервер приложений и терминалы.