Si può strutturare la propria rete in un sacco di modi per proteggere il proprio sistema usando un firewall.
Se si ha una connessione dedicata ad Internet attraverso un router, si potrebbe collocare il router direttamente nel proprio sistema firewall. Oppure si potrebbe passare attraverso un hub ("concentratore") per fornire server a pieno accesso fuori dal proprio firewall.
Probabilmente si sta facendo uso di un servizio dialup, quale una linea ISDN. In questo caso si potrebbe utilizzare una terza scheda di rete per fornire un DMZ filtrato. Questo dà il pieno controllo sui propri servizi Internet e li separa dalla propria rete normale.
__________
_/\__/\_ | | _______________
| | | Sistema | (LAN) | |
/ Internet \----| Firewall |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| |_______________|
\/ \/ \/ |
(DMZ)
(HUB)
Caso in cui è presente, tra voi ed Internet, un router o un modem. Se si possiede il router si potrebbero impostare alcune rigide regole di filtraggio, altrimenti se il router appartiene al proprio ISP, si potrebbe richiederne l'inserimento.
________ __________
_/\__/\_ | Router | | | _______________
| | | oppure | (DMZ) | Sistema | (LAN) | |
/ Internet \----| Modem |--(HUB)--| Firewall |--(HUB)--| Workstation/s |
\_ _ _ _/ |________| | |__________| |_______________|
\/ \/ \/ |
(Server)
(esterno)
Se si vuole monitorare dove vanno gli utenti della propria rete e se la rete è piccola, si può integrare un server proxy nel firewall. Gli ISP qualche volta lo fanno per stilare una lista degli interessi dei propri clienti da poter rivendere ad agenzie di marketing.
__________
_/\__/\_ | Proxy / | _______________
| | | Sistema | (LAN) | |
/ Internet \----| Firewall |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| |_______________|
\/ \/ \/
Si può collocare il server proxy nella propria LAN come si vuole. In questo caso il firewall dovrebbe però contenere delle regole che consentano la connessione ad Internet, e per i servizi che intende fornire, solo al server proxy. In questo modo gli utenti potranno accedere ad Internet solamente attraverso il proxy.
__________
_/\__/\_ | | _______________
| | | Sistema | (LAN) | |
/ Internet \----| Firewall |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| | |_______________|
\/ \/ \/ | ______________
| | |
+----| Server Proxy |
|______________|
Se si sta per avviare un servizio simile a YAHOO, o forse Slashdot, si potrebbe aver bisogno di organizzare il sistema utilizzando router ridondanti e firewall (consultare l'High Availability HowTo). Utilizzando tecniche DNS round-robin oppure load-balancing di server, si può creare un servizio 100% uptime.
_/\__/\_ _/\__/\_
| | | |
/ ISP #1 \______ (WAN)_____/ Partner \
\_ _ _ _/ | (HUB) \_ _ _ _/
\/ \/ \/ | ___|____ \/ \/ \/
__|___ |_______ |
_/\__/\_ |_____ | |Sistema || ______
| | | || (DMZ) |Firewall|| (LAN) | |
/ ISP #2 \--|Router||--(HUB)--| (VPN) ||--(HUB)--| WS/s |
\_ _ _ _/ |______| | |________| | |______|
\/ \/ \/ | | | ______
| (Server) (Server) | | |
------ | (esterno) (condivisi) +----|Proxy |
| WS/s | | |______|
| VPN |-+
|______|
E' facile che la propria rete possa sfuggire di mano. Si controlli ogni connessione. E' sufficiente un utente con un modem per compromettere la LAN.