Схемы подключения
Для подключения брандмауэров используются различные схемы. Брандмауэр может
использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для
подключения к внешней сети (см рис. 1). Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.
Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed
брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).
При этом между внешним роутером и брандмауэром имеется только один путь, по которому
идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является
единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с
точки зрения безопасности и надежности защиты.
Другая схема представлена на рис. 5.
При этом брандмауэром защищается только одна
подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто
располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые
брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с
точки зрения загрузки машины и безопасности самого брандмауэра
Существуют решения (см рис. 6),которые позволяют организовать для серверов,
которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за
доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не
могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.
Для повышения уровня защищенности возможно использовать в одной сети несколько
брандмауэров, стоящих друг за другом.
