Existen muchas maneras de estructurar su red para proteger su sistema mediante el uso de un cortafuegos
Si tiene una conexión exclusiva para Internet a través de un encaminador, podría conectarlo directamente a su sistema cortafuegos o podría pasar por un concentrador de red (hub) para proporcionar a los servidores que se encuentran fuera del cortafuegos un acceso completo.
Si usa un servicio conmutado como una línea ISDN, se podría usar una tercera tarjeta de red que permita disponer de una red perimétrica (DMZ). Esto proporciona un control absoluto sobre los servicios de Internet, manteniéndolos separados de la red regular.
______________
_/\__/\_ | | ____________
| | | Sistema de | (LAN) | Estacion/ |
/ Internet \---| Cortafuegos |--(HUB)--| estaciones |
\_ _ _ _/ |_____________| | de trabajo |
\/ \/ \/ | |____________|
(DMZ)
(HUB) |
En el encaminador existe la posibilidad de establecer algunas reglas estrictas para el filtro, siempre y cuando haya un encaminador o un módem de cable entre usted e Internet y usted sea el propietario del encaminador. Si el propietario del encaminador es su ISP y, en este caso, no tiene los controles que necesita, puede pedir a su ISP que agregue los filtros.
____________ _____________
_/\__/\_ |Encaminador| | |
| | | o | (DMZ) | Sistema | (LAN)
/ Internet \--|Cablemódem |--(HUB)--| Cortafuegos|--(HUB)
\_ _ _ _/ |___________| | |____________| |
\/ \/ \/ | |
(Servidor) _______+____
(Externo) |Estacion/ |
|Estaciones |
|de Trabajo |
|___________| |
Si tiene que controlar por dónde se mueven los usuarios de su red, la cual es pequeña, puede integrar un servidor proxy en su cortafuegos. Algunas veces, los ISP lo hacen para confeccionar una lista de interés de sus usuarios con el fin de revenderlas a agencias de marketing.
_____________ _/\__/\_ | Sistema | _______________ | | | Proxy/ | (LAN) | Estación/ones | / Internet \----| Cortafuegos |--(HUB)--| de trabajo | \_ _ _ _/ |_____________| |_______________| \/ \/ \/ |
Si lo prefiere, puede integrar el servidor proxy en su LAN, en cuyo caso, el cortafuegos debe poseer unas órdenes que hagan posible que el servidor proxy sólo se conecte a Internet para aquellos servicios que ofrece. De esta manera, los usuarios sólo podrán acceder a Internet a través del proxy.
_____________
_/\__/\_ | | ________________
| | | Cortafuegos | (LAN) | Estacion/ones |
/ Internet \----| Sistema |--(HUB)--| de trabajo |
\_ _ _ _/ |_____________| | |________________|
\/ \/ \/ |
| __________
| | Servidor |
|+----| Proxy |
|__________| |
Si va a ejecutar un servicio como YAHOO o, tal vez, SlashDot, puede que desee compilar un programa multimódulo en su sistema empleando encaminadores redundantes y cortafuegos. ( Vea el Cómo de Alta Disponibilidad.)
Mediante la utilización de técnicas de circuito cíclico DNS para dar acceso a varios servidores web desde una URL y varios ISP, es posible crear un servicio de funcionamiento óptimo del 100% con encaminadores y cortafuegos que usan técnicas de alta disponibilidad.
_/\__/\_ _/\__/\_
| | | |
/ ISP #1 \______ (WAN)______/ Socios \
\_ _ _ _/ | (HUB) \_ _ _ _/
\/ \/ \/ | ___|____ \/ \/ \/
__|____ |_______ | ______
_/\__/\_ |______ | |Sistemas|| |Est. |
| | |Enca- || (DMZ) |Corta- || (LAN) |Trab./|
/ ISP #2 \--|minador||--(HUB)--| fuegos ||--(HUB)--|Serv. |
\_ _ _ _/ |________| | |________| | |______|
\/ \/ \/ | | | ______
| (Servidor) (Servidor) | | |
------ | (Externo) (Compartido) +---|Proxy |
|Est. | | |______|
|Trab./|-+
|Serv. |
|VPN |
|______| |
Es muy fácil que la red se le vaya de las manos. Verifique cada conexión. Todo lo que necesita es un usuario con su módem para comprometer su LAN.