2. Descrizione della rete

Vediamo ora in quale contesto si inseriranno i nostri cluster di firewall. Si tratta di una rete molto semplice e "classica", formata da:

• una DMZ (172.16.240.0/24) in cui risiedono le macchine che offrono servizi su internet (web e mail) e i sensori di intrusion detection;
• una LAN (172.16.0.0/24), contenente le macchine private e i servizi di rete non offerti su internet (file server, DHCP, server DNS interno...);
• un router, in una piccola sottorete (172.16.250.0/24), per il collegamento ad internet.

Abbiamo quindi bisogno di due cluster di frewall: il primo che separi la DMZ da internet (trascurando l'eventuale filtraggio operato dal router); il secondo che separi la LAN dalla DMZ. Lo schema della rete è il seguente:

Il grande pregio di questa topologia è che, richiedendo due gruppi di firewall, ci permette di vedere due configurazioni di cluster leggermente diverse. Comunque, a parte questo, presenta altri vantaggi:

• la LAN è protetta da una barriera aggiuntiva, in caso di compromissione di un firewall esterno (anche se sarebbe consigliabile usare piattaforme differenti, per impedire che anche i firewall interni vengano compromessi con la stessa tecnica [MISC17]);
• un unico (cluster di) firewall, che filtri e smisti sia il traffico della DMZ che della LAN, rappresenta un single point of failure;
• le regole di filtraggio di ogni firewall riguardano solo la LAN o solo la DMZ e sono quindi meno complesse;

ma anche alcuni svantaggi:

• la DMZ deve sopportare anche il traffico di rete proveniente dalla LAN e destinato ad internet;
• il fatto che il traffico della LAN venga filtrato due volte, aumenta la sicurezza, ma penalizza (leggermente) le prestazioni;
• il costo di firewall aggiuntivi può non essere trascurabile.