Arquiteturas de Firewalls

A seguir serão apresentadas as arquiteturas mais comuns de firewalls, ou seja, as formas mais comumente utilizadas de combinar-se os componentes dos mesmos.

Screening Router:

É a arquitetura mais simples utilizada, caracteriza-se pela presença de um roteador de filtro de pacotes entre a rede interna e a internet. Nessa arquitetura existe comunicação direta entre múltiplos servidores internos e múltiplos servidores externos. A sua zona de risco é proporcional ao número de servidores na rede interna e os tipos de serviço de tráfego permitidos pelo roteador. Para cada tipo de serviço permitido a zona de risco aumenta consideravelmente. Controle de danos é igualmente difícil, já que o administrador da rede teria que verificar cada servidor a procura de traços de invasão regularmente. No caso de destruição do firewall tende a ficar muito complicado rastrear ou até mesmo notar a invasão. Já a facilidade de uso entretando é bem alta, já que o usuário pode acessar diretamente os serviços da internet. Essa configuração é um caso de "Aquilo que não é expressamente proibido é permitido".

Retirada de: http://encyclopedia2.thefreedictionary.com/

Screened Host:

Em geral, arquiteturas desse tipo são altamente seguras. porém não muito simples de se implementar. Tipicamente, configura-se um servidor principal com segurança reforçada, sendo ele o único ponto de comunicação entre a rede interna e a internet, esse servidor é chamado de Bastion Host. Entre o Bastion Host e a internet, utiliza-se a arquitetura do Screening router. A zona de risco é restrita somente ao Bastion Host e o roteador. A estância básica dos Screened Hosts é determinada pelo software utilizado no Bastion Host.

Retirada de: http://www.dhs.net.ru

Screened Subnet:

É considerada a mais segura, pois adiciona uma nova camada de segurança à arquitetura Screened Host. Baseia-se na criação de uma sub-rede, geralmente chamada de Perimiter Network ou DMZ (Demilitarized Zone), que isola a rede interna da externa, sendo ela a responsável por toda a comunicação entre as redes, além da criação do Bastion Host. Sendo asssim, uma Screened Subnet é formada por um Bastion Host isolado pela sub-rede, um roteador responsável pela comunicação entre a rede interna e o bastion host e outro responsável pela comunicação entre o bastion host e a rede externa(internet). Para invadi-lo o ataque teria que passar por ambos os roteadores.Sendo assim, a zona de risco é reduzida drasticamente. A estância básica pode variar, porém como na maioria dos casos necessita-se alto nível de segurança utiliza-se a estância "Aquilo que não é expressamente permitido é proibido".

Retirada de:http://www.oreilly.com/catalog/fire/chapter/ch04.html