Red Hat Enterprise Linux 3: Руководство по безопасности
Назад		Вперёд

Глава 7. Брандмауэры

Информационная безопасность обычно рассматривается как процесс, а не продукт. Однако обычно при реализации защиты внедряется некий механизм управления правами и разрешения доступа к сетевым ресурсам только авторизованным, идентифицируемым и известным пользователям. В Red Hat Enterprise Linux включено несколько мощных средств, помогающих администраторам и спецаилистам по безопасности решать вопросы доступа на сетевом уровне.

Независимо от VPN-решений, таких как CIPE или IPsec (рассмотренных в главе 6 Виртуальные частные сети), брандмауэры — одна из ключевых составляющих реализации защищённой сети. Различные производители предлагают средства сетевой защиты для всех секторов рынка: от пользователей, защищающих один домашний компьютер до центров данных предприятий, хранящих жизненно-важную информацию. Брандмауэры могут быть реализованы аппаратно, как например, брандмауэры Cisco, Nokia и Sonicwall. На рынке представлены также коммерческие программные решения для домашнего и делового использования, выпускаемые компаниями Checkpoint, McAfee и Symantec.

Помимо отличий между программными и аппаратными брандмауэрами, есть отличия и в принципах действия брандмауэра. В таблице 7-1 перечислены три стандартных типа брандмауэров и их принципы действия:

Способ работы Описание Преимущества Недостатки

NAT

Преобразование сетевых адресов (Network Address Translation — NAT) скрывает подсети внутренней сети за одним или несколькими внешними IP-адресами, подменяя источник во всех запросах

· Может работать прозрачно для компьютеров локальной сети

· Скрывает многие машины и службы за одним или несколькими внешними IP адресами, упрощает администрирование

· Ограничить доступ пользователей в сеть и наружу можно, открывая и закрывая порты на брандмауэре/шлюзе NAT

· Не может предотвратить зловредные действия, если пользователи подключаются к службе за брандмауэром

Пакетный фильтр

Брандмауэры с пакетным фильтром анализируют каждый пакет, приходящий из локальной сети или снаружи. Они могут обработать заголовок пакета и отфильтровать пакет на основании набора запрограммированных правил, заданных администратором брандмауэра. В ядро Linux встроены средства фильтрации пакетов через подсистему ядра netfilter.

· Настраиваются с помощью управляющей утилиты iptables

· Не требуют какой-либо настройки на стороне клиента, так как весь сетевой трафик фильтруется на уровне маршрутизатора, а не на уровне приложений

· Так как пакеты не проходят через прокси и клиент соединяется с удалённым узлом напрямую, производительность сети выше

· Не могут фильтровать пакеты по содержимому, как прокси

· Обрабатывают пакеты на уровне протокола, но не могут фильтровать пакеты на уровне приложений

· Сложные сетевые архитектуры могут затруднить определение правил сетевого фильтра, особенно в сочетании с подменой IP или локальными подсетями и демилитаризованными зонами

Прокси

Прокси фильтруют все приходящие от клиентов локальной сети запросы определённого типа или протокола, а затем отправляют их в Интернет от имени локального клиента. Прокси-сервер является своего рода буфером между злонамеренными удалёнными пользователями и компьютерами клиентов во внутренней сети.

· Позволяет управлять использованием приложений и протоколов, работающих вне локальной сети

· Некоторые прокси-серверы могут кэшировать данные, чтобы клиенты получали часто запрашиваемые клиентами данные из локального кэша, а не из Интернета — это позволяет использовать соединение с Интернетом более разумно

· За службами прокси можно наблюдать прямо на месте, что даёт возможность эффективно управлять использованием ресурсов в сети

· Прокси часто рассчитаны на определённые приложения (HTTP, telnet, и т.д.) или протоколы (многие прокси работают только с TCP-службами)

· Службы приложений за прокси работать не будут, поэтому сервера приложений должны применять другую сетевую защиту

Прокси могут стать узким местом сети, так как все запросы и данные передаются не напрямую от клиента к удалённой службе, а через один сервер

Таблица 7-1. Типы брандмауэров

7.1. Netfilter и IPTables

В ядро Linux включена мощная сетевая подсистема netfilter. Подсистема netfilter обеспечивает фильтрацию с сохранением или без сохранения состояния, а также NAT и службы подмены IP. Netfilter также способен преобразовывать заголовок IP для расширенного управления маршрутизацией и состоянием соединения. Netfilter управляется утилитой IPTables.

7.1.1. Обзор IPTables

Мощность и гибкость netfilter реализована в интерфейсе IPTables. Синтаксис этой утилиты командной строки похож на синтаксис предшественника, IPChains; однако IPTables использует подсистему netfilter для улучшения сетевого соединения, анализа и обработки, а в IPChains использовались простые правила фильтрации адресов и портов источника и получателя. IPTables позволяет реализовать ведение журнала, выполнение действий до и после маршрутизации, преобразование сетевых адресов и перенаправление портов в одном интерфейсе командной строки.

В этом разделе приведён обзор IPTables. За более подробной информацией о IPTables, обратитесь к Справочному руководству по Red Hat Enterprise Linux.

Назад	Начало	Вперёд
Конфигурация IPsec «сеть-сеть»	Вверх	Использование IPTables