Безопасность в Internet- Intranet



         

Типичный пример реализации системы защиты при доступе к Internet - часть 3


Служба DNS — двуликий Янус

При построении системы защиты предприятия, имеющего доступ к открытым сетям, важным принципом является сокрытие информации о внутреннем устройстве сети от внешних лиц. Один из источников такой информации — служба имен DNS. Классическим решением этой задачи может служить установка двух отдельных серверов DNS — одного для обслуживания запросов внутренних пользователей, другого для запросов имен извне (некоторые системы защиты предоставляют средства, объединяющие эти два DNS-сервера на одном компьютере, но функциональность этих средств, как правило, ограничена). Внутренний сервер должен содержать всю информацию о внутренней сети предприятия, а для разрешения запросов об именах внешних машин обращаться к внешнему серверу организации, который содержит записи, необходимые только для поддержания функционирования сервера имен, и имена публичных серверов (SMTP, Web, FTP). Такая структура позволяет создать полноценную службу DNS внутри организации, а на все внешние запросы DNS сообщать информацию только о доступных всем серверах.

Адресная трансляция

При подключении к Internet организация обычно получает в свое распоряжение одну сеть класса С, что позволяет использовать 254 уникальных адреса для компьютеров в сети предприятия (наличие внутри сети маршрутизаторов сокращает это число). Кроме очевидной проблемы с количеством, использование выделенных Internet-адресов достаточно сильно снижает гибкость при распределении адресов, создает массу трудностей при смене провайдера услуг Internet, обеспечивает потенциальную возможность доступа извне к любой машине, имеющей такой адрес. Не случайно в пространстве IP-адресов существуют области, специально зарезервированные для внутреннего использования. При применении этих адресов администратор сети имеет возможность назначать внутренним машинам адреса из сетей любого класса по своему усмотрению. Это снимает все ограничения на количество IP-адресов во внутренней сети и вместе с тем затрудняет задачу доступа к таким адресам из внешнего мира. В простейшем случае с помощью NAT (Network Address Translation) возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.

Для организации работы таких сетей с Internet используется механизм трансляции адресов (NAT). Обычно эти функции (NAT) выполняет либо маршрутизатор, либо система firewall - эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов. Check Point Firewall-1 имеет достаточно гибкие возможности по организации NAT. В простейшем случае администратору достаточно поставить галочку, разрешая трансляцию адресов, и указать, в какой реальный адрес (или начиная с какого) и как (Static/Hide) транслировать адрес данной машины, сети или набора адресов.

Если же требуется более сложная конфигурация, Firewall-1 позволяет в ручном режиме задать правила трансляции в зависимости от адресов источника или назначения и типа протокола, которому принадлежит пакет.




Содержание  Назад  Вперед