www.eprace.edu.pl » omijanie-zapor-sieciowych » Topologie zapór sieciowych » Odpowiedni dobór rozwiązania

Odpowiedni dobór rozwiązania

Bardzo trudnym zadaniem jest dobór odpowiedniego rozwiązania, bowiem każdy z przedstawionych scenariuszy prezentuje unikatowe cechy i funkcjonalność. Dokonanie wyboru zależy w dużym stopniu od kilku zagadnień:

Pytania wymienione wyżej stanowią tylko skromną część, spośród wielu, jakie można sobie zadać podczas dokonywania wyboru. Nie istnieje jedno, idealne zabezpieczenie dla każdego scenariusza, dlatego wyboru dokonywać należy każdorazowo w sposób indywidualny, zależny od potrzeb.

W większości przypadków jednak, dla małej firmy, bądź niewielkiej sieci domowej lub osiedlowej, wystarczającym wydaje się być sytuacja, gdy brzegu sieci wewnętrznej chroni zwykły router lub komputer przekazujący pakiety z funkcjonalnością prostego filtrowania ruchu.

Z kolei dla sieci większych firm, korporacji, a przede wszystkim instytucji, gdzie informacje są bardzo poufne, powyższe rozwiązanie z pewnością nie będzie wystarczające. Autor, bazując na swojej wiedzy oraz doświadczeniu, rekomendowałby bardziej zaawansowane rozwiązania, będące swego rodzaju hybrydami dostępnych środków. Jednym z ciekawszych scenariuszy, zapewniających wysoki poziom bezpieczeństwa przy jednoczesnym zachowaniu swobodnej komunikacji jest zastosowanie dwóch routerów oraz bramy warstwy aplikacji.

Rys. 3.5a - Bezpieczne rozwiązanie dla dużej firmy

Powyższy scenariusz zapewnia kilka poziomów kontroli ruchu:

  1. Router ekranujący zapewnia podłączenie do Internetu, trasowanie pakietów oraz prostą filtrację pakietów, chroniąc przed podstawowymi atakami, takimi jak podszywanie, czy ataki odmowy usługi (ang. Denial Of Service);

  2. Przełącznik umożliwia stworzenie sieci DMZ w celu udostępnienia usług na serwerach od strony sieci publicznej. W DMZ umiejscawia się serwery, które mają być dostępne z Internetu oraz świadczą takie usługi jak na przykład www, poczta, DNS;

  3. Zapora sprzętowa umożliwia zdefiniowanie bardziej precyzyjnych reguł dostępu wraz z monitorowaniem stanów sesji (statefull inspection). Może też stanowić bramę dostępową dla użytkowników zdalnych (VPN);

  4. Brama aplikacyjna (Proxy), jako jedyna ma możliwość nawiązywania połączeń z sieci chronionej do Internetu, dlatego uczestniczy w każdym połączeniu. Na jej poziomie dokonywana jest kontrola ruchu na poziomie aplikacji oraz buforowanie danych (ang. cache).

Przedstawiony scenariusz oferuje stosunkowo wysoki poziom zabezpieczeń z precyzyjną kontrolą ruchu. Nie zapewnia jednak wysokiej dostępności w przypadku awarii urządzeń, dlatego można go nieco zmodyfikować.

Rys. 3.5b - Scenariusz zapewniający bezpieczeństwo oraz wysoką dostępność

Jak doskonale widać, urządzenia stanowiące punkty krytyczne zostały zduplikowane. Obecnie coraz więcej producentów urządzeń sieciowych, mając na uwadze to, jak ważnym czynnikiem dla biznesu stanowi wysoka dostępność, umożliwia pracę swoich urządzeń w trybie odporności na uszkodzenia (ang. fault-tolerant). Dla przykładu, firma Cisco oferuje w swoich routerach funkcjonalność HSRP20 (Hot Standby Routing Protocol), która umożliwia dwóm urządzeniom pracę jako jeden wirtualny. W przypadku awarii, niezauważalnie dla użytkowników rolę trasowania przejmuje działające urządzenie.

Podobnie sprawa wygląda w przypadku zapór ogniowych, gdzie Cisco oferuje urządzenia ASA z serii 55XX w trybie pracy active-active oraz active-standby. Tryby te różnią się tym, że w pierwszym przypadku jednocześnie pracują obydwa urządzenia, dlatego oprócz odporności na uszkodzenia, zyskuje się równoważenie obciążenia (ang. load-balancing). W drugim przypadku, pracuje tylko jedno z urządzeń, a kolejne rozpoczyna natychmiast działanie przy uszkodzeniu pierwszego z nich.



komentarze

Copyright © 2008-2010 EPrace oraz autorzy prac.