2.4.6.3. Топология с демилитаризирана зона.
В този случай има две защитни стени. Първата е при интернет връзката, а втората е между частна мрежа и публични сървъри. На фиг.1.5. е представен план с демилитаризирана зона (Demilitarized Zone, DMZ).
фиг.1.5. Топология с демилитаризирана зона.
В случай че злонамерен потребител се опита да атакува и премине през първото ниво, бива блокиран от второто. DMZ е най-сигурният метод на защита.
Топология с DMZ има друг вариант, който се нарича виртуална демилитаризирана зона. На фиг. 1.6. е представена виртуална демилитаризира зона.
фиг.1.6. Виртуална демилитаризирана зона.
Тази структура съдържа три интерфейса с три различни политики за сигурност. Те могат да се настроят да блокират опити за връзка до вътрешната мрежа, но да заобикалят публичните сървъри. По този начин се използват две защитни стени през единствено устройство. Тази топология се нарича още тридомна защитна стена.
2.4.6.4. Защитна стена с отделен хост (Bastion host).
Отделният хост (хост-крепост) е компютър, който изпълнява ролята на защитна стена. Той управлява входящ и изходящ трафик на всички нива от OSI модела. На фиг.1.7. е представена илюстрация на защитна стена с отделен хост.
фиг.1.7. Хост-крепост.
Разновидност на защитна стена с отделен хост е отделящ рутер и хост-крепост (фиг.1.8).
1.8. Хост-крепост и отделящ рутер.
Тук основната цел на рутера е да анализира преминаващи пакети на база политики за сигурност. В случай че преминат, пакетите се обработват в хоста-крепост. На фиг.1.9. е представен функционален модел спрямо OSI.
фиг.1.9. Функционален модел на отделящ рутер с хост крепост спрямо OSI.
2.4.6.5. Топология с отделена подмрежа.
Този план съдържа две стени и хост-крепост. Тази топология е близка до демилитаризирана зона. Разликата тук е че има допълнителни хостове, които подсигуряват останалите. На фиг.1.9. е представена илюстрация на топология с отделена подмрежа.
фиг.1.10. Топология с отделна подмрежа.
Сподели с приятели: |
