Fordelene ved screenet subnet med proxy-servere

Indlæg af Hanne Mølgaard Plasc

  Et Screened Subnet er en bufferzone mellem et privat lokalnetværk (LAN) og internettet. Denne bufferzone kaldes også en demilitariseret zone (DMZ), fordi området har lavere sikkerhed end det primære private netværk. DMZ erstatter en enkelt gateway mellem LAN og internettet med et adskilt netværk (subnetværk - subnet). Denne arkitektur kræver to gateways, en mellem LAN og DMZ og en mellem DMZ og internettet.

To-vejs adgang

At have en gatewayhåndtering udgående og indgående trafik kan medføre problemer med adressering. Hvis associerede virksomheder eller kunder skal logge ind på systemet bag serveren (og så inden for LAN), kan det medføre stor trafik på gatewayen, der skal oversættes mellem Internet IP-adresser og netværks IP-adressen på de nødvendige servere. Hvis disse dobbeltadgangsservere er placeret i det screenede undernet, kan en 'omvendt proxy' placeres på internetsiden for at styre adgangen til serveren af ​​eksterne klienter, mens LAN gateway styrer trafik fra det private netværk.

Server Specialisering

Ved at placere forskellige værter i DMZ'en, vil hver maskine kunne specialisere sig. I det væsentlige kan alle funktioner, der forventes af en gateway-firewall, Network Address Translation, indholdsfiltrering - placeres på separate maskiner, specialisere sig i en opgave og dermed hurtig adgang i begge retninger.

Firewall Undgå

Firewalls kan medføre særlige problemer for indgående VoIP (Voice over IP) opkald. Disse opkald er etableret ved Session Initiation Protocol (SIP), der specifikt bruger tilfældige porte til at forbinde. Denne arkitektur er svær at håndtere med firewalls, som forventer specifik trafik til tilgang til bestemte havne. Det screenede subnet kan indeholde en server, der er specielt designet til at modtage VoIP-opkald. Dette kan så 'tunnel' trafikken, indpakke dem i en anden protokol for at lede dem til den samme port og få dem gennem firewallen. Denne kanalisering kan hjælpe VoIP-opkald, der adskilles på LAN'et, hvilket gør dem nemmere at identificere og prioritere, forbedring af opkaldskvaliteten.

Caching

Caching-proxyservere kan også implementeres med den Screened Subnet-arkitektur. Ekstern adgang til LAN kan minimeres ved at screene gentagne trafik- og betjeningsanmodninger med en 'cache' (eller kopier) af de krævede filer på en proxy på Internet. Dette reducerer trafikken, der kommer ind i LAN, minimerer sikkerhedsrisici og reducerer belastningen på det interne netværk.