Конфигурация межсетевого экрана с экранирующей подсетью (рис. 3) является одной из наиболее надежных на сегодняшний день. Причиной этому является наличие по крайней мере трех уровней защиты:
Внешний экранирующий маршрутизатор;
Экранирующий шлюз;
Внутренний экранирующий маршрутизатор.
Слабые места каждой из этих систем различны. Экранирующая подсеть позволяет простое включение коммутируемых каналов связи в общий контур обеспечения безопасности. Критичным будет эффективность работы экранирующего шлюза, его способность эффективно перерабатывать проходящую через экран информацию. Это требует установки программного обеспечения с малыми потерями в производительности системы на экранирующий компьютер-шлюз, который сам достаточно надежно защищен встроенными средствами ОС - например, компьютер фирмы SUN под управлением ОС Solaris c программой межсетевого экранирования Firewall-1.
Программа межсетевого экранирования Firewall-1 является лидером в своем классе программ - на ее основе построено более 4000 систем, что в четыре раза больше, чем у следующего за ним продукта. Причиной этому является ряд отличительных черт, которыми обладает указанная программа:
Высокая надежность, обеспечивающаяся как работой на уровне фильтрации сетевых пакетов, так и на уровне приложений;
Централизованное управление работой нескольких фильтрующих модулей;
Возможность работы с любым сетевым сервисом, как стандартным, так и определенным пользователем;
Возможность фильтрации UDP пакетов;
Возможность управления фильтрами маршрутизаторов компаний Bay Networks и CISCO;
Высокая эффективность работы: использование Firewall-1 уменьшает пропускную способность информационного канала не более, чем на 10%;
Полная прозрачность работы сервисов и приложений для пользователей;
Дополнительная аутентификация клиентов для большого набора сервисов;
Дружественный интерфейс, позволяющий легко перестраивать правила фильтрации, описывая их в терминах политики безопасности;
Для каждого правила (политики доступа) могут быть определены условия протоколирования, оповещения администратора либо иной реакции системы;
Средства проверки правил работы фильтра на внутреннюю непротиворечивость;
Средства мониторинга состояния компонент системы, позволяющие своевременно обнаружить попытку нападения на нее;
Средства детального протоколирования и генерации отчетов;
Трансляция адресов локальной сети, позволяющая реализовать как дополнительную защиту компьютеров локальной сети, так и более эффективное использование официального набора IP-адресов;
Простота установки и администрирования.
Одним из наиболее распространенных средств аутентификации удаленных пользователей является программа S/key компании Bellcore. Эта программа представляет собой средство обмена одноразовыми паролями, что делает невозможным несанкционированный доступ в систему, даже если эта информация кем-либо перехвачена. Программа S/key совместима со средствами аутентификации системы Firewall-1.