2 ağ arayüzlü ve IP yönlendirme özelliği etkisizleştirilmiş bir uygulama düzeyinde çalışan ağ geçidinden ve filtreleme yapabilen (perdeleyici) yönlendiriciden oluşur. Bu yönlendirici sayesinde, içerisinde değişik sunucuların bulunduğu, perdelenmiş bir alt ağ oluşturulur.
Bu yapıda vekil sunucu tarafından izin verilmeyen hiçbir hizmet kabul edilmez. Dışarıdan gelen hiçbir paketin vekil sunucuyu geçmeden korunan ağa girmesi mümkün değildir. Güvenlik duvarı (ağ geçidi) DNS bilgilerini saklar ve dışarıdan hiç kimse korunan ağdaki ip adreslerini ve isimleri bilemez.
Bu yapının basit bir örneğinde vekil sunucu TELNET, FTP ve merkezi e-posta hizmetlerine izin verebilir. Güvenlik duvarında gerekli asıllama ve yetkilendirme bilgileri tutulabilir. Ayrıca, erişim kayıtları da tutularak saldırı aktiviteleri izlenebilir.
Bu yapıda, uygulama ağ geçidi ile yönlendirici arasına başka hizmetler veren sunucular yerleştirilebilir. Bu sunucular, dışarıya IP adresi ve ismi verilmeden, uygulama ağ geçidi üzerinden dışarı bağlanabilecekleri gibi (eğer vekil sunucu bu hizmet desteğini veriyorsa), doğrudan dışarıdan gelen istekleri de alabilirler. İkinci durumda diğer hizmetleri veren sunuculara yapılacak saldırılar uygulama ağ geçidinde takılacaklarından korunan ağa bir saldırı olamaz. Ancak, korunan ağdaki istemcilerin diğer sunuculardan hizmet alabilmek için uygulama ağ geçidinden geçmek zorunda olmaları ağ geçidi üzerinde yoğun bir trafik oluşturur ve bu da performans düşüklüğüne neden olur. Ayrıca, bazı hizmetler veren sunucular (LOTUS Notes, SQLnet gibi) için proxy desteği bulunmadığından, korunan ağdan bunlara erişim yapılamaz ki bu da bu tip yapıların dezavantajlarındandır.
Perdelenmiş Alt Ağ Güvenlik Duvarı (Screened Subnet Firewall)
Bu yapıda perdelenmiş bir alt ağ oluşturmak için iki perdeleyici yönlendirici kullanılır. Bunların arasında kalan alana perdelenmiş alt ağ veya askerden arındırılmış bölge (DMZ – Demilitarized Zone) denir. Bu bölgede birkaç tane uygulama ağ geçidi ve istenirse diğer hizmetleri veren bazı sunucular bulunur. Korunan ağdan dışarı çıkmak isteyenler, yönlendiricilerden ilki tarafından uygulama ağ geçidine yönlendirilirler. Eğer dışarı çıkmak değil de DMZ’de bulunan diğer sunuculardan hizmet almak istiyorlarsa, yönlendirici tarafından uygulama ağ geçidine uğramadan bu sunuculara yönlendirilirler. Bu, çift-evli güvenlik duvarı konfigürasyonuna göre daha esnek bir yapı sağlar. Ayrıca, uygulama ağ geçidi üzerinden yükü azaltarak performans artışını sağlar. Ancak, DMZ’de bulunan diğer sunucuların çok iyi korunması gerekir.
Sonuç
Güvenlik duvarları günümüzde bilgisayar ağlarının ve hatta Internet bağlantısı olan bütün bilgisayarların korunması için en gerekli parçalardandır. Temelde 3 çeşit güvenlik duvarı vardır ve bunların birbirlerine karşı avantaj ve dezavantajları vardır. Bunlar arasındaki farklar aşağıdaki gibi özetlenebilir:
- Paket filtreleyici güvenlik duvarları basit bir güvenlik çözümü sağlarlar ve paketlerdeki verinin içeriğine bakmazlar.
- Devre düzeyindeki güvenlik duvarları dışarıdan gelen paketler için tek giriş noktasıdır. Dışarıdaki bilgisayarlar sadece bunun adresini bilirler. Böylelikle, arkasındaki ağı güvenli bir şekilde korur. Ayrıca, asıllama ve yetkilendirme de yapılır. Burada da verinin içeriğine bakılmaz.
- Uygulama düzeyindeki güvenlik duvarları ise bilginin içeriğine bakarak paketi geçirip geçirmeyeceğine karar verir. Asıllama ve yetkilendirme mekanizmaları kullanır.
Bu güvenlik duvarları kullanılarak değişik güvenlik yapıları oluşturmak mümkündür. Burada anlatılan iki yapı olan çift-evli güvenlik duvarları ile perdelenmiş alt ağ güvenlik duvarları çok kullanılan iki yapıdır. Çift-evli güvenlik duvarları daha güvenli bir yapı sunarken performans ve esneklik bakımından perdelenmiş alt ağ güvenlik duvarlarından daha düşük seviyededirler.
Hiç yorum yok:
Yorum Gönder