konstrukce firewallu
Vladimir Naprstek
vladimir.naprstek na rwe-ecs.cz
Pondělí Červenec 31 12:40:35 CEST 2006
Sice nejsem fw specialista, ale pri takovemto uvazovani nesmite myslet
jako domaci uzivatel ale jako (nejlepe velka) firma, kde porizovaci cena
jednoho serveru je oproti cene dat (pri pruniku) naprosto zanedbatelna.
Zkuste si představit např banku nebo internetového prodejce, kterému
nejede aplikace. Ještě pořád vám cena jednoho serveru přijde tak
důležitá (i když pravda je, že tyto firmy asi nepojedou na linuxu...).
Vlček Ludvík píše v Po 31. 07. 2006 v 11:04 +0200:
> zdravím,
>
> Okolnostmi jsem byl "donucen" pročíst něco o firewallech. Přitom jsem
> narazil na jednu zajímavost. V poměrně značném procentu literatury je
> firewall, postavený na linuxu, konstruován jako fyzicky dva kusy
> počítačů. Propojení mezi nimi je zváno DMZ...
>
> 1.verze
>
> ----------- -----------
> Ext.net | | DMZ.net | | Int.net
> ------------+ PC 1 +--------------+ PC 2 +-----------
> | | | |
> ----------- -----------
>
> výhodu tohoto přístupu jsem našel (zatím) jedinou. Potenciální útočník
> by musel překonávat dva stroje (předpokládejme, že budou zajištěny podle
> pravidel, že admin není trouba).
> Jinak samé "nevýhody", dvojnásobná pořizovací cena, složitější
> nastavení, ...
>
>
> 2.verze
>
>
> -----------
> Ext.net | | Int.net
> ------------+ PC 1 +----------
> | |
> -----+-----
> |
> | DMZ.net
> |
> |
> |
>
> výhody a nevýhody se jeví komplementární k verzi 1.
>
> Nicméně,
> když pomineme důvody finanční a složitější nastavení a tak, má cenu
> řešit firewall dle verze 1 ??
> Opravdu tím získám vyšší bezpečnost, jak tvrdí literatura ?? Stále si
> netroufnu dát ruku do ohně za jedno nebo druhé řešení, tak kovaný se
> necítím...
>
> Co NATO "firewalloví specialisté" ??
> :-)
>
>
> BTW, díky za názory.
>
--
s pozdravem
Vladimír Náprstek
Další informace o konferenci Linux