70

Задача 6. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT1» возможность работы с внутренним web-сервером «IN» (рис. 3.23).

Рис. 3.23. Схема информационного обмена по условию задачи № 6

Задача 7. При начальных условиях предыдущей задачи необходимо предоставить пользователю внешнего узла «OUT2» возможность работы с внутренним FTP сервером «IN» (рис. 3.24).

Рис. 3.24. Схема информационного обмена по условию задачи № 7

3.9. Применение МЭ на основе экранирующего узла

При построении схемы МЭ на основе экранирующего узла для защиты сети используют внутренний узел бастионного типа, на котором запущена программа прокси-сервера, выполняющая поддержку необходимых сервисов. На остальных узлах внутренней сети клиентские приложения настраиваются на работу через прокси-сервер. На фильтрующем маршрутизаторе, находящемся на периметре сети, определяются правила фильтрации сетевых пакетов таким образом, чтобы из внутренней сети во внешнюю разрешался только трафик с узла бастионного типа, а весь допустимый входящий в защищаемую сеть трафик направлялся только на узел бастионного типа. Такая схема построения МЭ похожа на схему МЭ на основе двудомного узла, но обладает большей гибкостью по сравнению с ней, так как для некоторых узлов защи-

71

щаемой сети допустимы исключения в виде предоставления тех или иных сервисов напрямую через фильтрующий маршрутизатор.

Пусть для защиты внутренней сети используется схема МЭ на основе экранирующего узла. Необходимо предоставить клиентам внутренней сети только лишь web-сервис. В качестве экранирующего шлюза используйте виртуальный компьютер «IN», в составе которого имеется приложение AnalogX Proxy Server, а в качестве клиента — компьютер рабочего места (рис. 3.25).

Рис. 3.25. Схема информационного обмена по условию задачи

ВЫПОЛНИТЬ!

12.На узле «IN» запустить прокси-сервер и установить необходимые параметры его функционирования.

13.На узле «FW-W98» для пакетного фильтра WinRoute создать необходимые правила для разрешения web-сервиса и правило, запрещающее все остальное.

14.Настроить программу Internet Explorer на узле «PC» для работы через прокси-сервер и убедиться в возможности работы с внутренним и внешними web-серверами.

15.Проверить правильность функционирования МЭ.

16.Вернуть настройки программного обеспечения узлов «PC», «IN», «FWW98» в исходное состояние.

72

3.10. Применение технологии трансляции сетевых адресов

Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять функцию прокси-сервера по сокрытию информации об узлах внутренней сети. В целях сокрытия информации о внутренней сети, маршрутизатор с NAT функционирует следующим образом:

−при передаче запросов клиентов защищаемой сети во внешнюю сеть заменяет их IP-адреса на IP-адрес своего внешнего интерфейса (может использоваться и диапазон IP-адресов);

−при возврате ответов серверов клиентам производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исходный запрос (рис. 3.26).

Рис. 3.26. Технология NAT

Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использования IP-адресов из диапазона частных сетей, не обрабатываемых маршрутизаторами Интернет.

Существует несколько методов реализации NAT. Одни трансляторы адресов осуществляют это посредством статического присваивания адресов (static address assignment), при этом адрес клиента внутренней сети связывается с фиксированным внешним IP-адресом. Другие трансляторы, функционирующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. После освобождения клиентом внешнего IP-адреса он возвращается маршрутизатором в список свободных адресов и может быть предоставлен другому клиенту.

Концепция трансляции сетевых адресов, о которой шла речь до сих пор, обычно называется базовой трансляцией адресов (basic NAT). Ее реализация требует наличия нескольких внешних IP-адресов для обеспечения одновременной работы нескольких клиентов внутренней сети. Это означает, что чис-

73

ло внешних IP-адресов маршрутизатора с NAT должно быть равно максимально возможному числу активных исходящих соединений. Чтобы расширить число возможных исходящих соединений и при этом не увеличивать количество отведенных маршрутизатору внешних адресов в новой форме NAT, которая называется трансляцией портов сетевых адресов (NAPT), используется замена одновременно и IP-адреса и номера порта отправителя. Таким образом, один IP-адрес можно распределить между множеством клиентов внутреннней сети просто за счет изменения номера порта отправителя. Иногда для обозначения NAPT употребляются термины «PAT» (трансляция адресов пор-

тов) и «Overloading NAT».

Пусть для защиты внутренней сети используется схема МЭ на основе фильтрующего маршрутизатора с включенной функцией NAT. В учебных целях для пакетного фильтра никакие правила фильтрации не определяются.

ВЫПОЛНИТЬ!

17.На маршрутизаторе «FW-W98» включить функцию NAT для внешнего сетевого интерфейса МЭ. В программе WinRoute функция NAT включается посредством диалогового окна, которое вызывается командой меню Settings Interface Table… (рис. 3.27).

Рис. 3.27. Включение функции NAT в WinRoute

18.Проверить, что для внутренних клиентов существует возможность доступа к внешним серверам «OUT1» и «OUT2».

19.Проверить, что для внешних клиентов отсутствует возможность доступа к внутреннему серверу «IN».

74

20.Одновременно на двух клиентах внутренней сети запустить команду Ping с параметром -t к одному и тому же внешнему узлу. Объяснить, на какой

информации основывается решение МЭ по распределению обратного трафика между клиентами при выполнении функции NAT.

Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и служит для обеспечения возможности доступа извне к некоторым узлам защищаемой с помощью NAT сети. МЭ с включенной функцией перенаправления портов принимает запрос на соединение от внешнего клиента и в случае допустимости поступившего запроса переадресовывает его во внутреннюю сеть на указанный в таблице перенаправления узел, причем порт назначения внутреннего узла не обязательно должен совпадать с портом назначения в запросе внешнего узла (рис. 3.28).

Рис. 3.28. Технология векторизации адресов

Пусть при начальных условиях предыдущей задачи необходимо дополнительно предоставить доступ внешних клиентов «OUT1» и «OUT2» к серверам Web и FTP на внутреннем узле «IN» соответственно.

В программе WinRoute функция векторизации адресов включается после добавления записей в таблицу переназначения портов посредством диалогового окна, которое вызывается командой меню Settings Advanced Port Mapping... (рис. 3.29). Прослушиваемый IP-адрес (Listen IP) можно оставить в значении по умолчанию, а для указания узлов, которым разрешен доступ во внутреннюю сеть (поле «Allow access only from»), необходимо предварительно создать адресную группу.

75

Рис. 3.29. Создание таблицы векторизации адресов

ВЫПОЛНИТЬ!

21.Создать адресную группу для web-сервиса, включив в нее узел «OUT1».

22.Создать адресную группу для FTP-сервиса, включив в нее узел «OUT2».

Впрограмме WinRoute для создания адресных групп используется пункт ме-

ню Settings Advanced Address Groups…

23.Создать соответствующие задаче записи таблицы переназначения портов.

24.Проверить, что для клиента «OUT1» существует возможность доступа к web-серверу на внутреннем узле «IN».

25.Проверить, что для клиента «OUT2» существует возможность доступа к FTP-серверу на внутреннем узле «IN».