Рисунок 3.4


Поэтому не существует внутренних систем, напрямую доступных из Интернета и наоборот, как при брандмауэре на основе шлюза с двумя интерфейсами. Большим отличием является то, что маршрутизаторы используются для направления трафика к определенным системам, что делает ненужным прикладной шлюз с двумя интерфейсами. При таком варианте может быть достигнута большая пропускная способность, если маршрутизатор используется как шлюз для защищенной подсети. Как следствие, брандмауэр с изолированной подсетью может оказаться более уместным вариантом для сетей с большим объемом трафика или сетей, которым требуется высокоскоростной трафик.
Эти два маршрутизатора обеспечивают дополнительный слой защиты, так как атакующему надо будет обойти средства защиты в обоих маршрутизаторах, чтобы получить доступ к внутренним системам. Прикладной шлюз, почтовый сервер и информационный сервер могут быть установлены таким образом, что будут единственными системами, видимыми из Интернета; размещение информации в DNS, доступной в Интернете, о других системах не потребуется. На прикладном шлюзе могут быть установлены меры усиленной аутентификации для аутентификации всех входящих соединений. Конечно, это потребует дополнительного конфигурирования, но использование отдельных систем для прикладного шлюза и фильтрации пакетов сделает конфигуирование более простым..
Брандмауэр с изолированной подсетью, как и брандмауэр с изолированным хостом, может быть сделан более гибким при разрешении существования "доверенных" сервисов, которым будет разрешаться передаваться между Интернетом и внутренними системами. Но эта гибкость открывает возможность нарушения политики, ослаблению эффекта брандмауэра. Во многих отношениях, брандмауэр на основе шлюза с двумя интерфейсами более желателен, так как политику нельзя ослабить (в нем нельзя разрешить передачу сервисов, для которых нет прокси-сервера). Тем не менее, если важны пропускная способность т гибкость, более желателен брандмауэр с изолированной подсетью.
В качестве альтернативы передаче сервисов напрямую между Интернетом и внутренними системами можно разместить системы, которым требуются такие сервисы, прямо в изолированной подсети. Например, не разрешается передавать трафик X Windows и NFS между Интернетом и внутренними системами, но если есть системы, которым необходимы такие возможности, они размещены в изолированной подсети. Эти системы могут взаимодействовать с внутренними системами через прикладной шлюз (внутренний маршрутизатор настроен соответствующим образом). Это не полное решение, но вариант для сетей, которым требуется высокая степень безопасности.
У брандмауэра с изолированной подсетью имеется два недостатка. Во-первых, так как можно его сконфигуировать так, что он будет пропускать "доверенные сервисы" в обход прикладного шлюза, то есть возможность нарушения политики. Это также верно и для брандмауэра с изолированным хостом, но брандмауэр с изолированной подсетью имеет место, куда можно поместить внутренние системы, которым требуется прямой доступ к таким сервисам. В брандмауэре с изолированным хостом "доверенные сервисы", которые передаются в обход прикладного шлюза, тоже напрямую взаимодействуют с внутренними системами. Второй недостаток - это то, что на маршрутизаторы возлагаются большие задачи по обеспечению безопасности. Как уже отмечалось, маршрутизаторы с фильтрацией пакетов иногда очень тяжело правильно сконфигуировать, а ошибки могут привести к появлению уязвимых мест.