Ekranowany host
Poprzednie rozwiązanie omawia architekturę, w której host dwusieciowy przyłączony jest do różnych sieci, jednak nie realizuje trasowania pakietów. Kolejne, przedstawiane rozwiązanie wzbogaca nieco to, omawiane wcześniej, a przede wszystkim podnosi znacznie poziom bezpieczeństwa.
Architektura ekranowanego hosta13 wykorzystuje router ekranujący na styku różnych sieci, który odpowiada za trasowanie pakietów, a także może pełnić rolę filtra pakietów (rys. 3.2). Dodatkowo, pojawia się komputer, zwany hostem ekranowanym (ang. screened host), który umiejscowiony jest w sieci chronionej, wewnętrznej. Przeważnie stosuje się do tego, wspomniany wcześniej host bastionowy, który udostępnia wybrane usługi internetowe dla użytkowników. Czasami host bastionowy, umiejscawia się nie w sieci wewnętrznej, ale w strefie zdemilitaryzowanej (ang. DeMilitarized Zone, o której mowa w dalszej części).
Rys. 3.2 - Architektura ekranowanego hosta
W omawianej architekturze, filtrowanie na routerze ekranującym konfiguruje się najczęściej w taki sposób, by komputery łączące się od strony internetu mogły nawiązać połączenie tylko z hostem bastionowym. Jest to istotne na przykład w przypadkach przekazywania poczty z zewnętrznych serwerów pocztowych. Z kolei, użytkownicy sieci chronionej, korzystają ze zdefiniowanych wcześniej usług tylko za pośrednictwem tego właśnie hosta. Router nie powinien w ogóle obsługiwać jakichkolwiek połączeń do sieci Internet pochodzących z komputerów innych, niż ekranowany host. Zatem ekranowany komputer, podobnie jak w przypadku hosta dwusieciowego, stanowi jedyne ogniwo, które pośredniczy w wymianie danych między sieciami.
W zależności od potrzeb i zaimplementowanej polityki bezpieczeństwa, możliwe jest rozwiązanie pośrednie, w którym host bastionowy udostępnia tylko określone usługi oraz obsługuje tylko konkretny ruch pakietów. Cała reszta ruchu odbywać się może bez jego pośrednictwa i za jej filtrowanie odpowiada router.
komentarze
Copyright © 2008-2010 EPrace oraz autorzy prac.