Screened Subnet Firewall
Também conhecido como De-Militarized Zone(DMZ), é uma
combinação
de um screened host com um screening router, sendo que
este é
ligado após o gate. Este screened router adiciona um nível
de
proteção
a mais ao screened host ao adicionar uma rede perimétrica
que isola
ainda mais a rede interna da rede externa. As funções de
cada elemento
deste firewall são:
1.Choke externo:
- Bloquear
os pacotes:de serviços que você não deseja que passem
pelo firewall;
de pacotes que tenham rotas IP definidas (IP
source routing),
ou outro conjunto de opções estranhas;
endereçados
a sua rede interna ou ao seu choke interno.
- Passar
somente os pacotes que tenham como endereço IP
fonte ou
destino o do seu gate.
2.Gate:
Rodar servidores
proxies para possibilitar os usuários da sua
rede interna
usar serviços na rede externa;
Atuar como
um servidor de mail ou receber estas mails e
enviá-las
para algum host designado dentro da rede interna.
3.Choke interno:
- Permitir
a passagem de pacotes cujo endereço IP de destino
ou fonte
sejam o do gate e para os quais os portos são os de
proxies definidos
no gate.
- Bloquear
os pacotes: de serviços que você não deseja que passem
pelo firewall;
de pacotes que tenham rotas IP definidas (IP source
routing),
ou outro conjunto de opções estranhas; endereçados
ao
seu choke
externo; qualquer outro não especificado.
Porquê
a rede perimétrica isola ainda mais a rede interna da rede
externa?
Em muitas configuraçoes de rede, é possível que qualquer
máquina
da rede enxergar todo o tráfego desta (como na Ethernet,
Token Ring,
FDDI, etc); e com o uso de snoopers pode-se pegar as
senhas de
usuários via sessões telnet, rlogin e ftp. Caso um hacker
conseguisse
invadir o bastion host e instalar um snooper nele, ele vai
apenas "espiar"
dados que vão de ou para o bastion host para a
Internet,
e não conseguirá observar o tráfego interno.
Vantagens:
A vantagem
deste sistema é o nível de segurança muito maior do
que
o obtido
pelos outros tipos de firewalls .
Desvantagens:
A complexidade
deste sistema é alta e a sua configuração e
manutenção
da subnet não é tão simples como a das firewalls
anteriores.
O acesso a rede é também retardado porque o tráfego
deve
passar pela
subrede. Além disto, o custo deste tipo de firewall é bem
elevado.