ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Брандмауэры бывают простыми и сложными. Брандмауэры могут играть в сети несколько ролей в зависимости от того, где в сетевой инфраструктуре они размещаются и что они должны там делать. В небольшой организации может быть только один брандмауэр, который защищает внутреннюю сеть от атак, приходящих из внешних сетей. Крупные организации обычно используют несколько брандмауэров в различных местах и с разными назначениями. Это обеспечивает более полное покрытие, а также позволяет использовать преимущества различных типов брандмауэров и добиваться лучшей производительности. Размещение брандмауэров в сети может накладывать на них различные роли, включая следующие: ¦ Внешние брандмауэры (front-end firewalls) Внешний брандмауэр также называется граничным брандмауэром, поскольку он помещается на границе внут ренней сети между ЛВС и Интернетом. Внешний брандмауэр имеет одно соеди нение с корпоративной сетью, а другое напрямую с Интернетом Все данные, поступающие в корпоративную сеть и исходящие из нее, должны быть прове рены брандмауэром и проанализированы его фильтрами, прежде чем они бу дут заблокированы или пропущены в сеть или из нее. ¦ Внутренние брандмауэры (back-end firewalls) Внутренний брандмауэр также размещается на границе внутренней сети, но не на границе с Интернетом, позади одного или нескольких брандмауэров. Обычно внешний брандмауэр(-ы) выполняет(-ют) фильтрацию пакетов, затем пропущенные пакеты должны прой ти через внутренний брандмауэр, осуществляющий фильтрацию на уровне при ложения. Это распределяет рабочую нагрузку и позволяет внешним и внутрен ним брандмауэрам выполнять свою работу с более высокой скоростью. ¦ Сети-периметры (perimeter networks) Серверы, которые должны быть до ступны для Интернета, например Web-серверы, можно разместить между вне шним и внутренним брандмауэром так, чтобы внутренняя сеть не была для них непосредственно открыта. Область между брандмауэрами называется сетью-пе риметром, экранированной сетью или демилитаризованной зоной (DMZ). ¦ Прикладной шлюз внутри сети-периметра (application-filtering gateway within the perimeter network) Брандмауэр с возможностью фильтрации на уровне приложения можно разместить в пределах сети-периметра между вне шним и внутренним брандмауэрами, чтобы уменьшить площадь атаки и обес печить очень высокий уровень безопасности.