Далее в статье сетевой адаптер, подключенный к Интернету, я буду называть WAN, интерфейс, подключенный к демилитаризованной зоне, – DMZ, а к локальной сети – LAN.

На рис. 1 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй – к DMZ и LAN, в случае «б» – один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рисунок 1. Варианты развертывания межсетевого экрана и демилитаризованной зоны

Если вы собираетесь реализовать второй вариант подключения, то обратите внимание на его недостатки.Прежде всего это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие – поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера – это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Я буду описывать настройки сервера, который подключен к WAN и DMZ, вариант топологии «а» и при необходимости буду делать пояснения для реализации варианта «б».

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «а» можно превратить в вариант «б», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

Архитектура ISA и подготовка к установке