В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.
Применение многоуровневых брандмауэров в полной мере обеспечивает способность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра. Внутренние брандмауэры
Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ограниченный доступ внешнего трафика к определенным ресурсам.
Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету расположена подсеть, тем меньшим уровнем безопасности она обладает. В приведенном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает доступ к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.
Рис. Внутренние брандмауэры
Одна из самых главных проблем, связанных с корпоративными многоуровневыми брандмауэрами, заключается в сложности управления ими. Администратор дол-жен не только установить, настроить и поддерживать несколько уровней брандмауэров, но и обеспечить их совместимость друг с другом.
Брандмауэры, расположенные параллельно
Существует множество ситуаций, вынуждающих расположить брандмауэры параллельно друг другу. В подобных конфигурациях разные брандмауэры, как правило, защищают ресурсы с разными требованиями к уровню безопасности. Каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис.. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.
Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь "шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допустимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уровня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта.
Рис. Брандмауэры, расположенные параллельно