Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.
Рисунок 4.1 - Основные правила политики DMZ
Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ к внутренним системам сети. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.
На рисунке 1.1 в разделе 1 мы спроектировали корпоративную сеть с использованием демилитаризованных зон. Далее рассмотрим вопросы маршрутизации пограничных маршрутизаторов, так же выпустим сервера в демилитаризованной зоне в интернет с помощью протокола NAT, и разграничим доступы при помощи расширенных списков доступа.
Выполним настройку протокола EIGRP на примере маршрутизатора центрального филиала. В настройке необходимо указывать сети, к которым маршрутизатор непосредственно подключен. Но в настройке протокола EIGRP не будем указывать наши внутренние сети, чтобы посторонние устройства не смогли считать информацию о них, что очень важно для безопасности нашей корпоративной сети.
RC1(config)#routereigrp 2 // значение 2 для собственных каналов
RC1(config-router)#network 10.22.6.233 0.0.0.3
RC1(config-router)#10.22.6.237 0.0.0.3
RC1(config-router)#10.22.6.241 0.0.0.3
RC1(config-router)#10.22.6.245 0.0.0.3
RC1(config-router)#no auto-summary //отключение авто-суммирования
RC1(config)#routereigrp 3 // значение 3 для сетей провайдера
RC1(config-router)#network 210.200.1.2 0.0.0.3
RC1(config-router)#no auto-summary //отключение авто-суммирования
Остальные приграничные маршрутизаторы корпоративной сети настроим аналогично.
После того как протокол EIGRP настроен, проверим работоспособность сети. Для этого отправим ICMP запрос на приграничный роутер другого филиала.
RC1#ping 210.200.3.2
Sending 5, 100-byte ICMP Echos to 210.200.3.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
Межсетевой экран располагается на границе внутренней корпоративной сети и Интернета и в полном соответствии со своим наименованием осуществляет экранирование данных из сегмента внутренней корпоративной сети и Интернета. К основным функциям межсетевого экрана по реализациям политики безопасности можно отнести избирательное пропускание или непропускание данных из Интернета в корпоративную сеть и обратно в соответствии с принятыми политиками безопасности.
NAT выполняет три важных функции.
Позволяет сэкономить IP-адреса (только в случае использования NAT в режиме PAT), транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с приватными (внутренними) IP-адресами.
Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.