Wnioski

Wnioski
0 votes, 0.00 avg. rating (0% score)

Wnioski

Konfiguracja opisana w poprzednich podrozdziałach ma wiele zalet. Jej główne wady to koszt i złożoność, ale nie uważamy, żeby była za droga dla większości sieci, i sądzimy, że ma minimalny niezbędny poziom złożoności. Co powinieneś zrobić, jeśli zostaniesz zmuszony do większej oszczędności? Można zbudować architekturę ekranowej podsieci za pomocą pojedynczego rutera z trzema interfejsami, zamiast pary ruterów z dwoma interfejsami. Rozwiązanie to byłoby nieco bardziej skomplikowane, ponieważ musiałbyś scalić dwa opisane uprzednio zestawy reguł filtrowania, ale nie powinno być szczególnie trudne.

Dość łatwo byłoby również opracować nieco bezpieczniejszą konfigurację na podstawie takiej samej architektury. Mniej ufna organizacja przekazywałaby cały ruch Telnetu, SSH i FTP przez serwery proxy, co pozwoliłoby na lepsze rejestrowanie zdarzeń i usunęło dokuczliwe luki, spowodowane pozwoleniem na wszystkie wychodzące połączenia z portami o numerach powyżej 124. Jeśli protokoły te byłyby przekazywane przez serwery proxy, wówczas praktyczniejsze i bardziej sensowne stałoby się ukrywanie danych DNS. Jednakże ceną za zwiększenie bezpieczeństwa byłaby większa złożoność konfiguracji oraz utrudnienie pracy użytkowników.

Dałoby się także zwiększyć liczbę oferowanych usług bez znacznych zmian w architekturze. Na przykład przychodzący ruch Telnetu oraz FTP w trybie użytkownika mógłby być obsługiwany przez host bastionowy lub wyspecjalizowany host w ekranowanej sieci. Możliwe byłoby również rozbudowanie serwisów anonimowego FTP oraz HTTP przez skonfigurowanie dodatkowych hostów w ekranowanej sieci. Podobnie mógłbyś rozbudować firewall tak, aby obsługiwał drugie połączenie z Internetem, albo dodać nadmiarowe hosty bastionowe, aby zapewnić większą niezawodność usług albo obsłużyć znacznie większą sieć wewnętrzną.

Scalone rutery i host bastionowy z wykorzystaniem komputera ogólnego przeznaczenia Architektura scalająca ruter wewnętrzny i zewnętrzny, opisana w rozdziale 6, „Architektura firewalli” i przedstawiona na rysunku 6.1, to mniej bezpieczna, ale tańsza alternatywa architektury ekranowanej podsieci, którą omówiliśmy w poprzednim podrozdziale. Może być bardzo przydatna w małych sieciach, które muszą się liczyć z kosztami, zwłaszcza gdy jest realizowana za pomocą komputera ogólnego przeznaczenia, który może zajmować się nie tylko trasowaniem, ale również filtrowaniem pakietów i pośredniczeniem. Architekturę tę przedstawia rysunek 24.2. Jest ona typowa dla komercyjnych firewalli mieszczących się w jednej obudowie, w których sieć peryferyjna często bywa nazywana siecią usługową.

Pozostałe artykuły o szkole i edukacji: