Обзор техник атак отказа в обслуживании и методы противодействия

При применении брандмауэра сдвоенного хоста один из хостов предназначен для того чтобы быть разделительной полосой меж локальной сетью и Интернет. Этот ПК применяет 2 сетевые карты для того чтобы соединится с сетями. При применении брандмауэра сдвоенного хоста нам нужно отключить у хоста функции маршрутизатора, чтобы он не мог реализовывать объединение сетей при помощи ПО.
Этот вид архитектуры межсетевого экрана осуществляет политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме». При этом пользователю Персонального компьютера недоступны все службы, кроме тех, для которых были определены соответствующие полномочия. Такой подход гарантирует наибольший уровень безопасности, так как маршруты к защищенной подсети известны только межсетевому экрану, а от внешних систем они спрятаны.
Не большой минус данной конфигурации является то, что пользователь может случайным образом включить средства маршрутизации, создав тем самым дыру в системе защиты межсетевого экрана. Наибольшее число проектировщиков сетей предполагают, что межсетевой экран экранирующего хоста обеспечивает наибольшую безопасность, чем брандмауэр сдвоенного хоста. При проектировании брандмауэра экранирующего хоста в сеть добавляется экранирующий маршрутизатор, а хост помещается вне доступа из Интернет.
При всем этом, необходимо сконфигурировать экранирующий маршрутизатор таким способом, чтобы ему был «виден» только 1 ПК сети − хост. Пользователи сети, которые захотят зайти в Интернет, будут вынуждены пройти через сервер. Таким образом, внутренним пользователям сети будет казаться, что они имеют непосредственный выход в Internet, а сервер будет ограничивать доступ в сеть внешних пользователей.
Главный минус схемы межсетевого экрана с экранирующего хоста состоит в том, что если нападающий возмутитель сможет пробраться в хост, то перед ним окажутся незащищенные системы внутренней сети. Иной минус сопряжен с вероятной компрометацией маршрутизатора. В случае если маршрутизатор окажется скомпрометированным, внутренняя сеть будет доступна нападающему нарушителю.
Архитектура брандмауэра экранирующей подсети еще наиболее отделяет локальную сеть от Интернета. В его структуру входят 2 отдельных экранирующих маршрутизатора и сервер-посредник. При проектировании брандмауэра экранирующей подсети сервер-посредник располагается в сеть, которая состоит из 2 экранирующих маршрутизаторов. Один из них осуществляет передачу информации по локальной сети, а 2 − входящие и выходящие из Интернета сообщения.
Брандмауэр данного типа гарантирует более сильную охрану и защиту от сторонних вмешательств. В данном случае хост располагают в отдельную сеть, что ограничивает вероятность атак и сводит к минимальному вред, который может быть нанесен внутренней сети.  Область подсоединения к глобальной сети Интернет заключает в себе: пограничный маршрутизатор, внешний межсетевой экран, почтовый сервер и сервер WEB. Пограничный маршрутизатор представляет из себя 1-ю линию защиты и обеспечивает защитой внешний МЭ от трафика, который направлен на IP-адреса МЭ. Внешний МЭ обеспечивает защиту и охрану ЛВС от внешних атак и разрешает ограниченный набор трафика в соответствии с воспринятой политикой безопасности.
Для распределения зоны подсоединения к всемирной сети и области внутренних сетей применяются внутренние МЭ и коммутаторы. Внутренний МЭ предназначается с целью контроля информационных потоков меж внутренними сетями и обеспечивает: изоляцию зоны управления от основной сети; обеспечивает защиту внутренней сети путем запрета трафика из наименее защищенной зоны внешних подключений.