658
Chapter 21
■
Network Attack and Defense
(DMZ), which in turn contains a number of application servers or proxies to
filter mail, web and other services. The DMZ may then be connected to the
internal network via a further filter that does network address translation.
In [323], there is a case study of how a firewall was deployed at Hanscom
Air Force Base. The work involved surveying the user community to find
what network services were needed; devising a network security policy; using
network monitors to discover unexpected services that were in use; and lab
testing prior to installation. Once it was up and running, the problems included
ongoing maintenance (due to personnel turnover), the presence of (unmon-
itored) communications to other military bases, and the presence of modem
pools. Few non-military organizations are likely to take this much care.
An alternative approach is to have more networks, but smaller ones. At our
university, we have firewalls to separate departments, although we’ve got a
shared network backbone and there are some shared central services. There’s
no reason why the students and the finance department should be on the same
network, and a computer science department has got quite different require-
ments (and users) from a department of theology — so the network security
policies should be different too. In any case keeping each network small limits
the scope of any compromise.
You may even find both a big corporate firewall and departmental bound-
aries. At defense contractors, you may expect to find not just a fancy firewall
at the perimeter, but also pumps separating networks operating at different
clearance levels, with filters to ensure that classified information doesn’t escape
either outwards or downwards (Figure 21.2).
Mail
proxy
Filter
Web
server
Mail
guard
Other
proxies
. . .
Filter
Internet
Intranet
Classified
intranet

Download 499.36 Kb.

Do'stlaringiz bilan baham: