Основные способы развертывания межсетевых экранов в корпоративных сетях

 Обеспечение безопасности – важный аспект стабильной и скоростной работы сети. Функции защиты информации от вредоносного ПО возложено на межсетевые экраны, выполненные как в виде отдельных аппаратных устройств, так и в виде программного обеспечения.

  Модули безопасности имеют также коммутаторы, обеспечивающие обмен данными между узлами локальной сети, и маршрутизаторы, отвечающие за взаимодействие сетей между собой.

Организация защиты: предварительный этап

   Надежность и отказоустойчивость системы сетевой безопасности зависит от правильной конфигурации устройств защиты. На начальном этапе построения защиты сети определяются:

                        •            политика межсетевого взаимодействия: задаются доступные для клиентов сервисы, разрешенные адреса клиентов с выработкой оптимального соотношения между защитой сети и доступом клиентов;

                        •            схема интегрирования и задание настроек работы – определение степени закрытости системы путем выбора из двух принципов функционирования: «запрещено все, что не разрешено» и «разрешено все, что не запрещено». Первый – более жесткая система безопасности, ограничивающая  удобство пользователей, вторая – лояльная, но несущая большие риски, поэтому имеет меньшее распространение.

Варианты развертывания межсетевых экранов

   Локальная сеть предприятия с выходом в интернет, как правило, имеет подсети, требующие разной степени защищенности:

                       •             зоны общего доступа;

                        •            зоны с ограниченным доступом;

                        •            закрытые зоны.

   Наибольшее распространение имеют следующие варианты подключения МСЭ:

                        •            сеть с единой защитой – «локалка» полностью защищена межсетевым экраном, стоящим между ней и внешней сетью и фильтрующим весь проходящий трафик;

                        •            сеть с двумя сегментами: защищенной закрытой частью и незащищенной доступной зоной – в этом случае серверы открытого доступа располагаются перед межсетевым экраном;

                        •            сеть с защищенными открытой и закрытой подсетями – эта схема предусматривает доступ к обеим подсетям через брандмауэр и может быть реализована посредством одного МСЭ с тремя интерфейсами либо двух МСЭ с двумя интерфейсами.

   Таким образом, выбирая схему экранирования локальной сети, необходимо руководствоваться степенью защищенности отдельных ее сегментов и выработкой безопасного баланса между ними.