Powszechna współpraca

Jeśli nasza sieć ma tylko jedno połączenie z Internetem, mamy do czynienia z mimowolną powszechną współpracą każdy musi przejść przez firewall, żeby połączyć się z Internetem. Oczywiście, dużo lepiej sprawdza się dobrowolna powszechna współpraca, ale to wymaga zaznajomienia użytkowników z sensem stosowanych przez nas środków bezpieczeństwa.

Jeśli chodzi o zasadę powszechnej współpracy, nie ma większych różnic między obiema przykładowymi architekturami. Zróżnicowana obrona Nie masz zbyt wielu możliwości zastosowania zasady zróżnicowanej obrony, ponieważ niemal każdy element sieci występuje w jednym egzemplarzu: jest tylko jeden host firewallowy i tylko jeden wewnętrzny host usługowy.

Prostota Choć ten firewall początkowo wydaje się prostszy od zaprezentowanego poprzednio, w rzeczywistości komplikuje on konfigurację sieci, ponieważ łączy w sobie wiele funkcji. Dotyczy to zwłaszcza reguł filtrowania pakietów, które są bardziej skomplikowane, ponieważ używamy jednego rutera z trzema interfejsami. Nie możemy więc myśleć po prostu o kierunkach „do” i „od” sieci, ale musimy definiować kierunki „do wewnątrz” i „na zewnątrz” względem każdego z trzech interfejsów. Dla pakietów zmierzających do naszej sieci musimy zdefiniować filtr ruchu przychodzącego w jednym interfejsie i filtr ruchu wychodzącego w drugim, przy czym łatwo popełnić błąd. Kolejnym przykładem złożoności jest decyzja o umieszczeniu filtrów pakietów, serwerów proxy i serwerów aplikacyjnych w tym samym hoście firewallowym pomiędzy tymi usługami zdarzają się nieoczekiwane interakcje i zależności, które może wykorzystać napastnika.