Многозональные сети и связанные с ними трудности

При создании многозональной сети администраторам приходится сталкиваться с рядом специфических проблем. Из-за разнородности составляющих такие сети достаточно сложны, громоздки и трудны в управлении. Правила экранирования при этом становятся динамическими и нередко противоречивы. Различные дополнительные решения, направленные на координацию взаимодействия сегментов, начинают поглощать массу времени и становятся ресурсоемкими. Реальное, «боевое», построение сети гораздо сложнее и многограннее описываемого здесь примера. Мы останавливаем внимание только на самых значительных, основополагающих моментах, тогда как характеристики могут сильно отличаться от предлагаемого шаблона. Например, вы можете разместить финансовый сегмент не в DMZ, а внутри защищенной сети. Или создать отдельные DMZ для разработки и тестирования новых систем. В любом случае практическое воплощение напрямую зависит от конкретных технических возможностей и требований компании — все остальное можно рассматривать лишь как шаблонный пример, который можно взять за основу. Управление системами экранирования, IDS и пользовательским доступом — трудная задача. Необходимо постоянно следить за тем, чтобы эти процессы оставались по возможности простыми и автоматизированными по своей сути. Никакие инновации не должны идти вразрез с безопасностью и удобствами пользователя. Хорошая практика — начинать с правила «deny all» (запретить все). И со временем добавлять разрешающие инструкции для сервисов, которые необходимы в работе сайта. Никаких излишеств. Ничего сверх необходимого. При этом старайтесь отслеживать протекающие в рамках сайта информационные процессы, следите за правами пользователей и систем, и это в результате позволит упростить задачу поддержки правил экранирования. Следуя этим незамысловатым советам, вы сможете быстро и качественно оформить сайт, не оставив за собой «дыр» в только что разработанной системе безопасности.