Межсетевой экран

Межсетевой экран всегда выступает в роли устройства, управляющего трафиком, которым обмениваются сегменты сети. Идея заключается в том что пользователи Internet могут получить доступ только к публичным службам зоны DMZ. Если кто-то попытается установить соединение со службой, не предназначенной для общего пользования, межсетевой экран разорвет такое соединение и запротоколирует эту попытку. С другой стороны, пользователи защищенной сети имеют полный доступ к ресурсам глобальной сети, поэтому могут работать и с компьютерами из DMZ (для обновления публикаций, управления публичными службами и т. п.). Таким образом, системы компании подвержены только тем атакам, которые направлены на сервисы общего пользования, но не на управляющие и обслуживающие комплексы. Обычно зона DMZ предоставляет услуги электронной почты, FTP — и WWW — сервисов. Это минимальный набор, который, как в случае с коммерческим сайтом, дополняется разнообразными бизнес-системами, обеспечивающими передачу и защиту информации между клиентами и сайтом или между несколькими коммерческими сайтами-партнерами. Данные о клиентах, информация о заказах и финансовые транзакции требуют более мощной защиты от попыток получения к ней несанкционированного доступа. Охрана такого рода информации обеспечивается за счет организации Зон безопасности — сегментов, похожих на DMZ, но отличающихся более надежным защитным механизмом. Потребность в хранении и передаче клиентской и финансовой информации по каналам Internet влечет за собой необходимость создания довольно сложных сетевых структур. В деле защиты деловой информации многие сайты пошли по пути множественного сегментирования организационной сети. Рассмотренная выше модель построения защищенной сети может быть без труда расширена за счет интеграции двух новых сегментов — подсети, выделенной для хранения данных, и подсети, отвечающей за обработку (процессинг) деловой информации (рис. 5.4).