Sieci > Bezpieczeństwo > Ściany ogniowe > Architektura ścian ogniowych
Ruter osłaniający Host dwusieciowy Ekranowany host Ekranowana podsieć
Komponenty ściany ogniowej mogą być składane w różny sposób. Decyduje o tym funkcja jaką spełniać ma dany firewall. Popularne są pojedyncze urządzenia (ang. single-box architecture) pełniące rolę ściany ogniowej. Zaletą jest fakt, że można się skupić na konfiguracji w pojedynczym miejscu. Z drugiej strony jest to jedyne ogniowo, które decyduje o bezpieczeństwie. Wszystko to sprawia, że jest to rozwiązanie dobre dla małych ośrodków. W pewnych sytuacjach wymagany jest wyższy poziom bezpieczeństwa i większa elastyczność. Wówczas sprawdzają się bardziej zaawansowane architektury ścian ogniowych. Zazwyczaj zakłada się, że firewalle chronią sieć wewnętrzną przed Internetem. W pewnych przypadkach korzysta się jednak z architektur z wewnętrznymi firewallami. Przykładem mogą być specjalne podsieci laboratoryjne, demonstracyjne lub testowe. Rozwiązania takie stosowane są również w przypadku tajnych projektów lub szczególnie poufnych danych.
Tanim rozwiązaniem jest zastosowanie samego filtra pakietów. Funkcję tą może spełniać ruter ekranujący (ang. screening router). Zaletą jest wysoka wydajność. Nie jest to jednak rozwiązanie zbyt elastyczne, ponieważ do dyspozycji mamy tylko filtrowanie pakietów. Rutery osłaniające mogą być więc stosowane w sieciach, gdzie wykorzystywane protokoły są proste i ich liczba jest ograniczona. Ważne jest również dobre zabezpieczenie komputerów znajdujących się w sieci wewnętrznej.
Rysunek 3.3 Zastosowanie rutera osłaniającego [23]
Zastosowanie hosta dwusieciowego (ang. dual-homed host) powoduje, że bezpośrednia komunikacja, pomiędzy Internetem a chronioną siecią, jest zablokowana. Komunikacja odbywa się wyłącznie pośrednio poprzez host dwusieciowy. Udostępnia on usługi pośredniczenia lub też przedstawia się jako ruter i realizuje przeźroczyste pośredniczenie. Pamiętać należy, że usługi pośredniczenia lepiej współpracują z usługami wychodzącymi, kiedy użytkownicy sieci wewnętrznej korzystają z zasobów sieci zewnętrznej. Z tego powodu architektura taka nie nadaje się do udostępniania usług w Internecie. Host dwusieciowy stanowi pojedyncze miejsce ochrony i dlatego musi być dobrze zabezpieczony. Rozwiązanie takie nie jest jednak zbyt wydajne i dlatego polecane jest w sytuacjach, kiedy ruch do Internetu jest niewielki.
Rysunek 3.4 Architektura hosta dwusieciowego [23]
W architekturze ekranowanego hosta (ang. screened host) host bastionowy znajduje się w sieci wewnętrznej. Jest to komputer specjalnie zabezpieczony i może on udostępniać wybrane usługi w Internecie. Konfiguracja rutera ekranującego decyduje natomiast o sposobie łączenie się z Internetem użytkowników sieci wewnętrznej. W zależności od polityki bezpieczeństwa może to być pośredniczenie realizowane w hoście bastionowym lub też filtrowanie pakietów w ruterze ekranującym. Komputery chronionej sieci powinny być dobrze zabezpieczone.
Rysunek 3.5 Architektura ekranowanego hosta [23]
W architekturze tego typu korzysta się z dodatkowych elementów, które pozwalają osiągnąć wyższy poziom bezpieczeństwa. W ekranowanej podsieci (ang. screened subnet) pojawia się sieć peryferyjna (ang. perimeter network), ruter wewnętrzny (ang. interior router) i zewnętrzny (ang. exterior router). Ruter wewnętrzny bywa nazywany dławiącym (ang. choke router), a zewnętrzny dostępowym (ang. access router). Sieć peryferyjna stanowi dodatkową warstwę bezpieczeństwa. W momencie włamania do hosta bastionowego napastnik uzyskuje dostęp tylko do sieci peryferyjnej. Dane przesyłane w sieci wewnętrznej są bezpieczne. Ruter dostępowy chroni sieć peryferyjną i wewnętrzną. W praktyce głównym jego zadaniem jest dodatkowa ochrona komputerów znajdujących się w sieci peryferyjnej. Ruter dławiący z kolei zabezpiecza sieć wewnętrzną zgodnie z obowiązującą polityką bezpieczeństwa. Architektura ekranowanej podsieci jest na tyle elastyczna, że sprawdza się w większości zastosowań. Rysunek 3.6 przedstawia pojedynczą ekranowaną podsieć, a rysunek 3.7 dwie ekranowane podsieci.
Rysunek 3.6 Architektura ekranowanej podsieci [23]
Rysunek 3.7 Architektura dwuczęściowej ekranowanej podsieci [23]