В настоящее время я анализирую последствия многопутевых подключений для межсетевых экранов. В этом контексте мне интересно, действительно ли необычно иметь несколько брандмауэров на границах сети для ее защиты. Типичным случаем, который я представляю, будет многосетевая сеть, для которой администратор будет иметь разные политики для ссылок от разных (или нет) интернет-провайдеров. Или даже в сети интернет-провайдера.
В чем заключаются практические (не) преимущества такой конфигурации? Не могли бы вы привести пример существующей топологии с использованием нескольких пограничных межсетевых экранов?
РЕДАКТИРОВАТЬ: В частности, меня интересуют конфигурации, в которых один внутренний конечный хост может использовать любой из путей брандмауэра. Целью конфигурации не будет изолировать внутренние зоны одна от другой. Собственно, моя цель - увидеть, как межсетевые экраны могут влиять на протоколы, которые могут использовать несколько путей (одновременно) для правильной работы.
В некоторых случаях рекомендуется использовать несколько брандмауэров.
Интернет-соединение совместно используется офисным приложением и веб-приложением
Реже в эти пасмурные дни, но возьмем случай, когда веб-приложение размещается в частном центре обработки данных, расположенном в офисе компании. Если одна из рабочих станций в офисе компании будет заблокирована (если использовать древний пример) Slammer, весь этот трафик будет выходить через общее интернет-соединение.
Если существует один брандмауэр, защищающий как коммерческое веб-приложение, так и сеть компании, работающую без перерыва, такое вопиющее сетевое злоупотребление, как Slammer, может вызвать DoS на брандмауэре. Это создает событие отключения сети для коммерческого веб-сайта.
Если используются два брандмауэра, один вокруг зоны веб-приложений, а второй для корпоративного Интернета, офисный брандмауэр сам DoS-атакует, а веб-приложение продолжает зарабатывать деньги.
Во-вторых, такой межсетевой экран может обеспечить защиту от внутренний угрозы; хотя это можно сделать и с помощью достаточно продвинутого монолитного межсетевого экрана.
Преимущества: Изоляция основного разлома между зонами
Многодомная сеть: Интернет + частная сеть
В этом случае имеется более одного подключения, подключение к Интернету и частная сеть. Частная сеть может быть подключением физического уровня или это может быть туннель VPN к чему-то вроде Amazon VPC.
Вполне возможно, что частное сетевое соединение, каким бы оно ни было, не может завершиться на одном брандмауэре компании. Например, к соединениям Amazon VPC предъявляются определенные требования, которые могут вызвать покупку оборудования. Или, может быть, у одного брандмауэра может быть только одно внешнее соединение, а добавление второго внешнего соединения с более высоким уровнем доверия не входит в его набор функций. В этих случаях дополнительный брандмауэр может помочь завершить и защитить добавленное сетевое соединение.
Преимущества: Обеспечивает возможность, отсутствующую в исходном устройстве, физическую изоляцию сети между зонами доверия.
Многодомная сеть: несколько подключений к Интернету
Это та же настройка, что и в первом случае, но Интернет Office имеет собственное соединение с миром.
В этом случае вполне возможно, что Интернет-соединение Office завершается в офисе в центре города, а соединение с веб-приложением завершается в арендованном центре обработки данных на окраине. Физическое разделение позволяет легко выбрать два устройства. Между центром обработки данных и офисом может быть физическое соединение, или может существовать VPN типа "сеть-сеть".
В любом случае имеет смысл использовать несколько брандмауэров.
Кроме того, если офисный интернет-провайдер работает медленно, как Comcast Business, а интернет-провайдер центра обработки данных - что-то очень быстрое с соглашением об уровне обслуживания, для подключения к центру обработки данных потребуются более мощные брандмауэры, чтобы справляться со всем этим трафиком.
Преимущества: Улучшенная изоляция сети между зонами, возможность разрывать VPN-соединения типа "сеть-сеть" между центром обработки данных и офисом.
Anycast на один сайт
Это довольно специализированный случай, но я могу представить только один способ сделать то, о чем вы думаете. В таком случае, Anycast используется для создания нескольких точек в Интернете, связанных с очень быстрым сетевым подключением к центральному сайту. Протокол более высокого уровня основан на TCP.
В этом случае межсетевые экраны будут существовать по периметру каждой точки входа Anycast в сеть компании. В случае с несколькими путями потребуется:
В этом случае трафик будет входить на одном участке и, вероятно, покидать тот же участок, или выходить туда, где таблицы маршрутизации говорят об отправке ответов. После всплывающего коммутатора трафик будет проходить через другой участок, но ответы, скорее всего, останутся прежними (если только таблицы маршрутизации не изменились).
Сложность здесь в том, что межсетевой экран перед второй ногой не видит настройки соединения, поэтому он не узнает об этом. Если это брандмауэр с сохранением состояния, очень высоки шансы, что он сразу его отклонит. Однако межсетевой экран без сохранения состояния пропускает трафик.
ГЕО-ИП
В этом случае несколько сайтов запускаются с использованием GeoIP, чтобы приблизить услуги к клиентам.
Чтобы понять случай, о котором вы думаете:
Это самый простой случай. Это просто новые TCP-соединения, и брандмауэры перед каждым сайтом GeoIP будут рассматривать каждое соединение как новое соединение и разрешать его. Предположительно тот же сервер, предоставляющий услуги, будет рассматривать каждое как новое TCP-соединение и обрабатывать его соответствующим образом. В такой настройке Источник NAT будет использоваться на межсетевых экранах сайта GeoIP, чтобы гарантировать, что ответы будут отправлены по правильному пути. Ни суеты, ни суеты.
Может ли протокол более высокого уровня обрабатывать такие соединения, зависит от протокола более высокого уровня. Это вообще не проблема брандмауэра. Если, конечно, брандмауэр не поддерживает отслеживание состояния в этом конкретном протоколе, и в этот момент подобная установка будет терпеть неудачу при возникновении подобного сбоя.
Может иметь значение наличие нескольких межсетевых экранов. Особенно, если они решают очень разные задачи. Может быть проще проверять журналы и обнаруживать подозрительный сетевой трафик.
Можно сравнить с обычным продуктовым магазином. У вас есть один вход только для сотрудников, высокий уровень безопасности, и все действия регистрируются. Кроме того, у вас есть главный вход, который открыт для всех, без охраны и без регистрации или с очень небольшим объемом регистрации.
Однако все сводится к дизайну сети. Это может быть полезно или не может быть полезно с двумя отдельными межсетевыми экранами. В сети, которую я администрирую, ДЕЙСТВИТЕЛЬНО есть отдельный брандмауэр для каждой точки доступа, потому что уровни безопасности наших сетей варьируются от открытого до «совершенно секретного», и попытка заставить один-единственный брандмауэр обрабатывать все это одновременно было бы кошмаром.
Мы используем debian для всех наших клиентов и многоуровневый шлюз, а также используем IPTABLES для блокировки трафика. Вы можете подумать, что это что-то вроде ручного управления, но я знаю, что это широко используется в отрасли, в которой я работаю. С IPTABLES вы действительно можете поехать в город с любым потоком трафика, который вы можете разрешить. Однако проблема в том, что у него могут быть ограничения на количество подключений и проблемы с пропускной способностью. Может помочь подключение сетевых устройств к серверу. Таким образом, преимущества в том, что он дешевый и довольно мощный, но недостатки в том, что вы можете найти узкие места в количестве соединений, которые может обрабатывать Linux-сервер. Проверь это -iptables-rules-examples- действительно полезно в том, как установить явные правила брандмауэра с помощью IPTABLES. Кроме того, вы можете использовать шлюз vrf и HA - все это доступно в CentOS 6.3. -centos6,3 га