Адресация
Еще одним вопросом, который необходимо рассматривать при работе с несколькими провайдерами, является проблема адресации. Как правило, при работе с одним провайдером ISP присваивает адресное пространство организации. ISP настраивает маршрутизацию таким образом, что трафик, направленный в организацию, достигает ее систем. ISP сообщает маршрут для этих адресов другим провайдерам, чтобы трафик из любых мест интернета смог достичь систем организации
Если в архитектуре задействованы несколько провайдеров, необходимо определить, какие будут использоваться адреса. Адреса могут предоставляться одним из двух провайдеров. В данном случае маршрутизация от одного ISP происходит обычным образом, а другой провайдер должен подтвердить свое согласие на передачу маршрута к адресному пространству, принадлежащему первому провайдеру. Данная конфигурация требует основательного понимания работы протокола BGP, чтобы обеспечить правильную маршрутизацию трафика.
Еще одним вариантом является приобретение набора адресов самой организацией. В то время как этот подход решает некоторые проблемы, оба провайдера должны быть готовы к распространению информации о маршрутах на адреса, которые им не принадлежат. Этот подход часто используется в организациях, где требуется контроль над своими собственными адресами.
Наконец, можно использовать адреса обоих провайдеров. При этом некоторым системам могут быть предоставлены адреса от одного провайдера, а другим системам - от другого. Такая архитектура не полностью устраняет проблемы доступности, и ее не следует использовать в случае, если возможен другой вариант.
Вопросы для самопроверки
Каким образом руководство организации может определить, какие службы интернета можно предоставлять пользователям?
Какая точка сбоев является общей для большинства архитектур интернет-сети ?
Проектирование демилитаризованной зоны
DMZ (ДМЗ) - сокращение от demilitarized zone (демилитаризованная зона). Этот термин используется для обозначения фрагмента сети, не являющегося полностью доверенным. DMZ являет собой область в сети, системы в которой отделены от основной сети; смысл создания такого сегмента заключается в том, чтобы отделить системы, к которым осуществляют доступ пользователи интернета, от систем, с которыми работают только сотрудники организации. Демилитаризованные зоны также могут использоваться при работе с партнерами по бизнесу и другими внешними сторонами.
Определение демилитаризованной зоны
DMZ создается посредством реализации полузащищенной сетевой зоны. Данная зона в обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ (см. рис. 16.7). Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в демилитаризованной зоне.
Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.
увеличить изображение Рис. 16.7. Основные правила политики DMZ
Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ ко внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой. Внутренние системы могут осуществлять доступ к DMZ или в интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.