Embora, algumas vezes, seja feita referência a um firewall como uma tecnologia individual, na verdade ele é uma combinação de vários serviços que funcionam juntos como uma camada de proteção para garantir uma fronteira de rede segura. Essas tecnologias baseiam-se na segurança básica já disponível em muitos serviços da Internet. Os firewalls fornecem segurança para serviços que não dispõem da mesma (por exemplo, e-mail). Os firewalls também protegem os hosts. Existem vários tipos básicos de firewalls: Roteadores de triagem; Hosts de bastião; Hosts com dual-homing; Hosts triados; Sub-redes triadas e Hosts com tri-homing.
Roteadores de triagem
Um roteador de triagem é o tipo mais simples de firewall e usa apenas o recurso de filtragem de pacotes para controlar e monitorar o tráfego da rede que passa pela fronteira. Em um servidor com filtragem de pacotes, esses roteadores podem bloquear o tráfego entre as redes ou, por exemplo, o tráfego destinado a ou proveniente de hosts específicos em um nível de porta IP. Por exemplo, você pode permitir que funcionários da sua intranet usem o Telnet, mas impedir qualquer atividade Telnet a partir da Internet. Em geral, a comunicação direta é permitida entre vários hosts na rede privada e na Internet. A figura abaixo mostra um exemplo simples de como funciona um roteador de triagem.
 |
| Figura 06: Firewall usando roteadores de triagem |
Hosts de bastião
Um host de bastião representa a rede privada na Internet. O host é o ponto de contato para o tráfego que chega da Internet e, como um servidor proxy, permite que clientes da intranet acessem serviços externos.
Um host de bastião executa somente alguns serviços (por exemplo, serviços de e-mail, FTP, DNS ou Web). Os usuários da Internet precisam utilizar o host de bastião para acessarem um serviço. Um host desse tipo não precisa de qualquer autenticação nem armazena qualquer dado confidencial da empresa.
Hosts com dual-homing
Um host com dual-homing se baseia em um servidor que tem no mínimo duas interfaces de rede. O host funciona como um roteador entre a rede e as interfaces a que está anexado. Para implementar esse tipo de firewall, a função de roteamento é desabilitada. Por isso, um pacote IP de uma rede (por exemplo, da Internet) não é roteado diretamente para a outra rede (por exemplo, para a intranet). Os sistemas dentro e fora do firewall podem se comunicar com o host com dual-homing, mas não podem se comunicar diretamente entre si.
Um host com dual-homing bloqueia o tráfego direto entre a rede privada (protegida) e a Internet. Ao lado mostra um exemplo de uma configuração em que um roteador da WAN fornece conectividade geral da WAN, filtragem de pacotes e acesso ao servidor BorderManager. Os usuários de redes privadas podem acessar a Internet usando o recurso Serviços de Proxy e o Gateway IP da Novell, que estão sendo executados no servidor BorderManager.
|
| Figura 07: Firewall host com dual-homing |
O roteador permite o tráfego somente para o servidor BorderManager e proveniente dele. A violação é limitada a outros hosts que podem ser acessados da Internet, embora qualquer acesso ilegal comprometa severamente a segurança.
Hosts triados
Um host triado usa uma combinação de um host de bastião e um roteador de triagem. O roteador de triagem aumenta a segurança ao oferecer acesso à Internet para negar ou permitir determinado tráfego proveniente do host de bastião. É a primeira parada para o tráfego, que poderá continuar somente se o roteador de triagem deixá-lo passar.
 |
| Figura 08: Firewall host triado |
Para proporciona r segurança adicional, você poderia configurar um host de bastião para cada tipo de serviço: HTTP, FTP e e-mail. O roteador de triagem enviará o tráfego correspondente para o host de bastião apropriado.
Neste exemplo, o servidor BorderManager e o roteador da WAN podem ser acessados a partir da Internet. Além disso, o servidor BorderManager funciona como um roteador de triagem na rede privada. Com o NAT e a filtragem de pacotes, o servidor BorderManager pode ser configurado para bloquear o tráfego em portas específicas e somente um número específico de serviços pode se comunicar com ele.
Esse tipo de firewall é bastante seguro porque o risco de segurança limita-se ao servidor BorderManager.
Sub-redes triadas
A sub-rede triada é uma variação de um host triado. Em um ambiente de sub-redes triadas, o host de bastião é colocado na sua própria sub-rede. Para isso, são usados dois roteadores de triagem: um entre a sub-rede e a rede privada (com o host de bastião) e outro entre a sub-rede e a Internet. O primeiro roteador de triagem entre a rede privada e a sub-rede triada impede que todos os serviços cruzem a sub-rede. A sub-rede triada aceita somente serviços especificados. Veja o exemplo a seguir:
 |
Figura 09: Firewall sub-rede triada |
Nessa configuração, o servidor BorderManager é usado como um servidor proxy. Tanto o roteamento como o reencaminhamento IP estão desabilitados para impedir qualquer acesso direto entre a rede privada e a Internet pública.
Hosts com tri-homing
Um host com tri-homing combina elementos de um roteador de triagem e de um host triado, superando, assim, as limitações de ambos. A segurança é centralizada nos roteadores de triagem usando interfaces para a Internet, a intranet e as sub-redes que contêm os hosts de bastião e os servidores de aplicativos. Eis um exemplo de host com tri-homing:
 |
| Figura 10: Host com tri-homing |
Bom artigo, ajudou bastente
ResponderExcluir