Глава 7. Брандмауэры

Информационная безопасность обычно рассматривается как процесс, а не продукт. Однако обычно при реализации защиты внедряется некий механизм управления правами и разрешения доступа к сетевым ресурсам только авторизованным, идентифицируемым и известным пользователям. В Red Hat Enterprise Linux включено несколько мощных средств, помогающих администраторам и спецаилистам по безопасности решать вопросы доступа на сетевом уровне.

Вместе с VPN-решениями, такими IPsec (рассмотренным в главе 6 Виртуальные частные сети), брандмауэры — одна из ключевых составляющих реализации защищённой сети. Различные производители предлагают средства сетевой защиты для всех секторов рынка: от пользователей, защищающих один домашний компьютер до центров данных предприятий, хранящих жизненно-важную информацию. Брандмауэры могут быть реализованы аппаратно, как например, брандмауэры Cisco, Nokia и Sonicwall. На рынке представлены также коммерческие программные решения для домашнего и делового использования, выпускаемые компаниями Checkpoint, McAfee и Symantec.

Помимо отличий между программными и аппаратными брандмауэрами, есть отличия и в принципах действия брандмауэра. В таблице 7-1 перечислены три стандартных типа брандмауэров и их принципы действия:

СпособОписаниеПреимуществаНедостатки
NATПреобразование сетевых адресов (Network Address Translation, NAT) скрывает подсети внутренней сети за одним или несколькими внешними IP-адресами, подменяя источник во всех запросах.

· Может работать прозрачно для компьютеров локальной сети
· Маскировка множества компьютеров и служб за одним или несколькими внешними IP-адресами упрощает администрирование
· Ограничить доступ пользователей в сеть и наружу можно, открывая и закрывая порты на брандмауэре/шлюзе NAT

· Не может предотвратить зловредные действия, если пользователи подключаются к службе за брандмауэром

Пакетный фильтрБрандмауэры, фильтрующие пакеты, анализируют каждый пакет, приходящий из локальной сети или снаружи. Они могут обработать заголовок пакета и отфильтровать пакет на основании набора запрограммированных правил, заданных администратором брандмауэра. В ядро Linux встроены средства фильтрации пакетов через подсистему ядра Netfilter.

· Настраиваются с помощью управляющей утилиты iptables
· Не требуют какой-либо настройки на стороне клиента, так как весь сетевой трафик фильтруется на уровне маршрутизатора, а не на уровне приложений
· Так как пакеты не проходят через прокси и клиент соединяется с удалённым узлом напрямую, производительность сети выше

· Не могут фильтровать пакеты по содержимому, как прокси
· Обрабатывают пакеты на уровне протокола, но не могут фильтровать пакеты на уровне приложений
· Сложные сетевые архитектуры могут затруднить определение правил сетевого фильтра, особенно в сочетании с подменой IP или локальными подсетями и демилитаризованными зонами

ПроксиПрокси фильтруют все приходящие от клиентов локальной сети запросы определённого типа или протокола, а затем отправляют их в Интернет от имени локального клиента. Прокси-сервер является своего рода буфером между злонамеренными удалёнными пользователями и компьютерами клиентов во внутренней сети.

· Позволяет управлять использованием приложений и протоколов, работающих вне локальной сети
· Некоторые прокси-серверы могут кэшировать часто-запрашиваемые данные локально, а не запрашивать их через Интернет, что полезно для сокращения ненужной нагрузки на канал
· За службами прокси можно наблюдать прямо на месте, что даёт возможность эффективно управлять использованием ресурсов в сети

· Прокси часто рассчитаны на определённые приложения (HTTP, Telnet, и т.д.) или протоколы (многие прокси работают только с TCP-службами)
· Службы приложений за прокси работать не будут, поэтому сервера приложений должны применять другую сетевую защиту
· Прокси могут стать узким местом сети, так как все запросы и данные передаются не напрямую от клиента к удалённой службе, а через один сервер

Таблица 7-1. Типы брандмауэров

7.1. Netfilter и iptables

В ядро Linux включена мощная сетевая подсистема Netfilter. Подсистема Netfilter обеспечивает фильтрацию с сохранением или без сохранения состояния, а также NAT и службы подмены IP. Netfilter также способен преобразовывать заголовок IP для расширенного управления маршрутизацией и состоянием соединения. Netfilter управляется утилитой iptables.

7.1.1. Обзор iptables

Мощность и гибкость Netfilter реализована в интерфейсе iptables. Сам инструмент командой строки похож на предшественника, ipchains; однако iptables использует подсистему Netfilter для улучшения сетевого соединения, отслеживания и обработки, тогда как в ipchains работали простые правила фильтрации портов соединения и путей к источнику и получателю. iptables позволяет реализовать ведение журнала, выполнение действий до и после маршрутизации, преобразование сетевых адресов и перенаправление портов в одном интерфейсе командной строки..

В этом разделе приведён обзор iptables. За более подробной информацией об iptables, обратитесь к Справочному руководству по Red Hat Enterprise Linux.