ARQUITETURA DE FIREWALLS

Logo abaixo segue a arquitetura dos firewalls, estas so as arquiteturas de firewalls mais comuns, entretanto h muitas outras variaes que podem ser usadas: Packet Filtering um mecanismo de segurana que controla o fluxo de dados que entra e sai da rede. Para isto, criado um conjunto de regras que especifica quais tipos de pacotes devem ser liberados e quais devem ser bloqueados. Packet filtering tambm conhecido como "screening" e pode ser implementado em um roteador, uma bridge ou em um host. Servios Proxy Servios proxy so aplicaes ou programas servidores que rodam em um bastion host que tem acesso Internet e rede interna, ou em um dual-homed host. Estes programas pegam o pedido do usurio para servios Internet e encaminha-o, de acordo com a poltica de segurana do site, para os verdadeiros servios. um servio transparente. O usurio acha que esta lidando diretamente com o servidor real, e este tem a iluso que est lidando diretamente com o usurio. Um servio proxy requer dois componentes: um servidor e um cliente. O cliente proxy um verso especial do programa cliente real que interage com o servidor proxy ao inves do servidor real. O servidor proxy avalia o pedido do cliente proxy e, caso o pedido seja aprovado, o servidor proxy entra em contato com o verdadeiro servidor na Internet em nome do cliente. Arquitetura Dual-Homed Host Esta arquitetura construda sob um host dual-homed. Este host poderia atuar como um roteador entre a rede externa e a interna. Entretanto, para implementar um firewall com arquitetura host dual-homed, a funo de roteamento desabilitada. Sistemas dentro do firewall podem se comunicar com o host dual-homed assim como sistemas fora do firewall, mas estes sistemas no podem se comunicar diretamente. Um host dualhomed pode fornecer apenas servios atravs de servidores proxy, ou ainda permitir que usurios conectem-se diretamente a si.

Arquitetura Screened Host Esta arquitetura fornece servios a partir de um bastion host que conectado apenas a rede interna, usando um roteador para separ-la da Internet, chamado screening router. Nesta arquitetura, a segurana principal feita por packet filtering. O packet filtering do screening router configurado de tal maneira que o bastion host a nica mquina da rede interna que recebe conexes da Internet. Mesmo assim, apenas certas conexes so permitidas. O packet filtering pode ser configurado para permitir que outros hosts internos abram conexes com maquinas da Internet para determinados servios ou no permitir qualquer conexo de hosts internos. Arquitetura Screened Subnet Esta arquitetura adiciona uma camada extra de segurana atravs da perimeter network, que isola a rede interna da Internet. Nela ha dois screening router. Um entre a rede DZM e a rede interna, e outro entre a rede DZM e a rede externa. Para atacar a rede interna nesta arquitetura o atacante teria que passar pelos dois roteadores. E, mesmo que o atacante consiga invadir o bastion host, que fica isolado na rede DZM, ele ainda ter que passar pelo roteador interno. O roteador interno protege a rede interna da Internet e tambm da rede DZM. Ele faz a maior parte do packet filtering do firewall, permitindo o estabelecimento de servios a partir de clients internos para servidores da Internet. O roteador externo protege a rede DZM e a rede interna da Internet.Ele permite quase tudo que venha da rede DZM passe atravs dele, e, em geral, faz pouco packet filtering. As nicas regras de packet filtering que so realmente especiais no roteador externo so aquelas que protegem a rede DZM. Mas geralmente no necessria tanta proteo, pois o bastion host bem protegido com mtodos de segurana de host.