Фильтрация с помощью сетевых экранов и маршрутизаторов
Для защиты сетевого периметра требуются устройства, обеспечивающие безопасность каждой точки доступа в сети. Эти устройства осуществляют блокировку и фильтрацию сетевого трафика, в результате для выполнения через периметр допускаются только действия по определенным адресам или с определенных адресов, а также через определенные порты, как показано на рисунке.
увеличить изображение
Устройства периметровой защиты называются сетевыми экранами. Сетевые экраны предотвращают сканирование внутренней сети организации, обеспечивают запрет действий по сбору данных о сети, игнорирование массовых потоков пакетов, отправляемых при атаках на отказ в обслуживании, а также запрещают другие действия, используемые хакером для проникновения во внутреннюю сеть. Правила блокировки и фильтрации определяются политикой безопасности организации.
Совет. Выше рассказывалось об использовании сетевых экранов для защиты внутренней сети от атак из интернета. Эти устройства используются и для защиты ресурсов от атак во внутренней сети. Сетевые экраны отделяют и защищают один сегмент сети от другого, независимо от типа сети (общая или частная) и систем, имеющихся в сегментах.
Лучшие сетевые экраны обеспечивают работу служб безопасности, включающих фильтрацию пакетов, сетевую трансляцию адресов (NAT) и проверку корректности пакетов. Фильтрация пакетов в сетевом экране блокирует запросы Internet Control Message Protocol (ICMP). Сетевая трансляция адресов скрывает реальный сетевой адрес веб-сервера. Проверка корректности пакетов заключается в том, что пакеты сетевого трафика проверяются, а пакеты, поступившие из интернета и не являющиеся текущим сетевым сеансом, открытым во внутренней системе, блокируются. При совместном использовании эти функции обеспечивают надежную защиту системы.
Службы сетевого экрана всегда предоставляются в комплекте с сетевым маршрутизатором, соединяющим две сети по обе стороны от него. В зависимости от своей комплексности маршрутизатор настроен на выполнение фильтрации пакетов и трансляции сетевых адресов; он позволяет также блокировать порты и проверять пакеты.
Такая конфигурация увеличивает среднюю производительность сети. На рисунке показана конфигурация сети, работающая именно таким образом.
увеличить изображение
Безопаснее и проще в данном случае настроить сетевой экран на блокировку всех портов и проверку всех пакетов. После этого можно выборочно открыть порты для работы нужных служб. Чтобы сделать веб-сервер доступным для работы через интернет, достаточно открыть только порты 80 (http-протокол) и 443 (https-SSL протокол).