Описание системы адресации компьютерной сети, настройки оборудования

Адресация устройств происходит в пределах подсети 172.21.21.0 с маской 255.255.255.0. Данная сеть предназначена для адресации 254 хостов. Адресация разбита на подсети.
На маршрутизаторах реализован протокол динамической маршрутизации RIP v.2. Также на маршрутизаторах реализован механизм DHCP, что позволяет всем хостам получить IP адреса, маску сети а также адрес основного шлюза динамическим способом. Пример настройки маршрутизатора в программе Cisco Packet tracer приведен ниже:
Router#conf ter
Router(config)#ip dhcp pool !
Router(dhcp-config)#network 172.21.21.0 255.2552.255.0
Router(dhcp-config)#network 172.21.21.0 255.255.255.0
Router(dhcp-config)#default-router 172.21.21.1
Router(dhcp-config)#exti
Router(config)#ip route 172.21.21.0 255.255.255.0 f0/1
Router(config)#ip route 172.21.11.0 255.255.255.0 f0/0
Реализована схема демилитаризованной зоны с двумя межсетевыми экранами.
Демилитаризованная зона, ДМЗ – это сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. В нашем случае это сервер электронной почты и web – сервер. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети , должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа. Файловый сервер реализован за пределами демилитаризованной зоны

. [9]
Цель демилитаризованной зоны — добавить дополнительный уровень безопасности в сетевую инфраструктуру предприятия, позволяющий минимизировать ущерб в случае атаки. На Рисунке 13 представлена схема организации сети предприятия с одним межсетевым экраном.Рисунок 13. Схема организации сети предприятия с одним межсетевым экраном
Как представлено на рисунке 13, для создания сети с демилитаризованной зоной может быть использован один межсетевой экран, имеющий минимум три сетевых интерфейса: один — для соединения с сетью провайдера услуги, второй — с внутренней сетью, третий — с демилитаризованным сегментом. Подобная схема проста в реализации, однако предъявляет повышенные требования к оборудованию и администрированию: межсетевой экран должен обрабатывать весь трафик, идущий как в демилитаризованную зону, так и во внутреннюю сеть. При этом он становится единой точкой отказа, а в случае его взлома или ошибки в процессе эксплуатации.
Более безопасным является подход, когда для создания демилитаризованной зоны используются два межсетевых экрана: один из них контролирует соединения из внешней сети в демилитаризованную зону, второй — из демилитаризованной зоны во внутреннюю сеть. В таком случае для успешной атаки на внутренние ресурсы должны быть скомпрометированы два устройства. Кроме того, на межсетевом экране 1 можно настроить более слабые правила защиты, обеспечив усиленную защиту локальной сети, настроив межсетевой экран 2.
Ещё более высокий уровень защиты можно обеспечить, используя два межсетевых экрана двух разных производителей и (желательно) различной архитектуры — это уменьшает вероятность того, что оба устройства будут иметь одинаковую уязвимость