Принцип работы Межсетевого экрана - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)

- - Принцип работы Межсетевого экрана (http://forum.oszone.net/showthread.php?t=261289)

Принцип работы Межсетевого экрана

Знаю, что про МЭ написано много мануалов. Многое читал, но все таки есть некоторое недопонимание их работы.
Поэтому буду благодарен, если кто, пожалуйста, на конкретном примере (который я сам приведу) поможет разобраться хотя бы в базовом функционале.

Есть сеть:

Сервер и клиентские станции (КС).

Сервер имеет 2 сетевые карты, т.е. подключен к 2 сетям: одна смотрит в Интернет, другая в ЛВС. IP-адресация разная.
На сервере есть антивирус и МЭ (ViPNet Client), на КС только антивирус.

В сети между сервером и КС действует клиент-серверное приложение функционирующее на основе объектного RPC (протокол DCOM). Честно сказать я не знаю, как работает этот DCOM, но знаю, что если в МЭ - ViPNet Client на сервере не включить IP-адреса ЛВС в открытую сеть, то клиент-серверное приложение работать не будет.
Плюс КС берет с сервера антивирусные базы.

Предположим сервер взломан (теоретически). Получается, что злоумышленнику открыт доступ к КС.
Есть вариант поставить МЭ (например железяку) между сервером и КС.
Но только настроить его нужно будет так, что бы все работало, как описано выше.

Вопрос собственно в том: есть ли вообще смысл в этом МЭ, если между КС и сервером должен быть описанный уровень доверия?
Т.е. я не совсем понимаю, скажем, я заблуждаюсь и МЭ можно и нужно будет настроить так, что бы он пропускал пакеты этого клиент-серверного приложения и антивирусных баз, а все остальные блокировал или если указанные пакеты проходят, то после взлома сервера какие бы настройки на МЭ не были выставлены - это уже не будет иметь значение, вот про что я?

Цитата:

Цитата Tomplier

Предположим сервер взломан (теоретически). Получается, что злоумышленнику открыт доступ к КС.
Есть вариант поставить МЭ (например железяку) между сервером и КС. »

похоже на DMZ.

Цитата:

Цитата exo

похоже на DMZ. »

Да про DMZ я читал, только в том то и вопрос, что МЭ нужно будет покупать. Боюсь купим, и фактически использовать не будем, потому что, придется настроить его так, что бы он пропускал пакеты от клиент-серверного приложения и он либо будет пропускать все (по определенному IP), либо ничего, по крайней мере я понимаю работу МЭ так.

А нужно это все для того что бы все было в соответствии с требованиями ФСТЭК.

Цитата:

Цитата Tomplier

он либо будет пропускать все (по определенному IP), либо ничего, по крайней мере я понимаю работу МЭ так »

в компании где я раньше работал стоит (сейчас должно стоять) 3 МЭ. в зависимости от информации на каждом уровне.
на 1-ом - доступ ко всем ресурсам (интернет, почта, не которые файловые службы).
на 2-ом - доступ ко всем ресурсам кроме самой "защищённой" сети и персональными данными на 1-ом уровне..
на 3-ом - доступ ко всем ресурсам кроме специальных внутренних приложений на 2-ом уровне и персональным данным на 1-ом уровне.