Перейти к основному содержанию
Рецепты Linux

Main navigation

  • Основы
  • Система
  • Команды
  • Программы
  • Дистро
  • Интерфейсы
  • Устройства
  • Доки
User account menu
  • Войти

Строка навигации

  1. Главная
  2. Red Hat Enterprise Linux: Руководство по безопасности
  3. II. Настройка безопасности Red Hat Enterprise Linux

Глава 7. Брандмауэры

Информационная безопасность обычно рассматривается как процесс, а не продукт. Однако обычно при реализации защиты внедряется некий механизм управления правами и разрешения доступа к сетевым ресурсам только авторизованным, идентифицируемым и известным пользователям. В Red Hat Enterprise Linux включено несколько мощных средств, помогающих администраторам и специаилистам по безопасности решать вопросы доступа на сетевом уровне.

Вместе с VPN-решениями, такими IPsec (рассмотренным в главе 6 Виртуальные частные сети), брандмауэры — одна из ключевых составляющих реализации защищённой сети. Различные производители предлагают средства сетевой защиты для всех секторов рынка: от пользователей, защищающих один домашний компьютер до центров данных предприятий, хранящих жизненно-важную информацию. Брандмауэры могут быть реализованы аппаратно, как например, брандмауэры Cisco, Nokia и Sonicwall. На рынке представлены также коммерческие программные решения для домашнего и делового использования, выпускаемые компаниями Checkpoint, McAfee и Symantec.

Помимо отличий между программными и аппаратными брандмауэрами, есть отличия и в принципах действия брандмауэра. В таблице 7-1 перечислены три стандартных типа брандмауэров и их принципы действия:

СпособОписаниеПреимуществаНедостатки
NATПреобразование сетевых адресов (Network Address Translation, NAT) скрывает подсети внутренней сети за одним или несколькими внешними IP-адресами, подменяя источник во всех запросах.

· Может работать прозрачно для компьютеров локальной сети
· Маскировка множества компьютеров и служб за одним или несколькими внешними IP-адресами упрощает администрирование
· Ограничить доступ пользователей в сеть и наружу можно, открывая и закрывая порты на брандмауэре/шлюзе NAT

· Не может предотвратить зловредные действия, если пользователи подключаются к службе за брандмауэром

Пакетный фильтрБрандмауэры, фильтрующие пакеты, анализируют каждый пакет, приходящий из локальной сети или снаружи. Они могут обработать заголовок пакета и отфильтровать пакет на основании набора запрограммированных правил, заданных администратором брандмауэра. В ядро Linux встроены средства фильтрации пакетов через подсистему ядра Netfilter.

· Настраиваются с помощью управляющей утилиты iptables
· Не требуют какой-либо настройки на стороне клиента, так как весь сетевой трафик фильтруется на уровне маршрутизатора, а не на уровне приложений
· Так как пакеты не проходят через прокси и клиент соединяется с удалённым узлом напрямую, производительность сети выше

· Не могут фильтровать пакеты по содержимому, как прокси
· Обрабатывают пакеты на уровне протокола, но не могут фильтровать пакеты на уровне приложений
· Сложные сетевые архитектуры могут затруднить определение правил сетевого фильтра, особенно в сочетании с подменой IP или локальными подсетями и демилитаризованными зонами

ПроксиПрокси фильтруют все приходящие от клиентов локальной сети запросы определённого типа или протокола, а затем отправляют их в Интернет от имени локального клиента. Прокси-сервер является своего рода буфером между злонамеренными удалёнными пользователями и компьютерами клиентов во внутренней сети.

· Позволяет управлять использованием приложений и протоколов, работающих вне локальной сети
· Некоторые прокси-серверы могут кэшировать часто-запрашиваемые данные локально, а не запрашивать их через Интернет, что полезно для сокращения ненужной нагрузки на канал
· За службами прокси можно наблюдать прямо на месте, что даёт возможность эффективно управлять использованием ресурсов в сети

· Прокси часто рассчитаны на определённые приложения (HTTP, Telnet, и т.д.) или протоколы (многие прокси работают только с TCP-службами)
· Службы приложений за прокси работать не будут, поэтому сервера приложений должны применять другую сетевую защиту
· Прокси могут стать узким местом сети, так как все запросы и данные передаются не напрямую от клиента к удалённой службе, а через один сервер

Таблица 7-1. Типы брандмауэров

7.1. Netfilter и iptables

В ядро Linux включена мощная сетевая подсистема Netfilter. Подсистема Netfilter обеспечивает фильтрацию с сохранением или без сохранения состояния, а также NAT и службы подмены IP. Netfilter также способен преобразовывать заголовок IP для расширенного управления маршрутизацией и состоянием соединения. Netfilter управляется утилитой iptables.

7.1.1. Обзор iptables

Мощность и гибкость Netfilter реализована в интерфейсе iptables. Сам инструмент командой строки похож на предшественника, ipchains; однако iptables использует подсистему Netfilter для улучшения сетевого соединения, отслеживания и обработки, тогда как в ipchains работали простые правила фильтрации портов соединения и путей к источнику и получателю. iptables позволяет реализовать ведение журнала, выполнение действий до и после маршрутизации, преобразование сетевых адресов и перенаправление портов в одном интерфейсе командной строки..

В этом разделе приведён обзор iptables. За более подробной информацией об iptables, обратитесь к Справочному руководству по Red Hat Enterprise Linux.

  • 7.2. Использование iptables
  • 7.3. Типичные фильтры iptables
  • 7.4. Политика FORWARD и правила NAT
  • 7.5. Вирусы и поддельные IP-адреса
  • 7.6. iptables и отслеживание соединений
  • 7.7. ip6tables
  • 7.8. Дополнительные ресурсы

Перекрёстные ссылки книги для Глава 7. Брандмауэры

  • 6.5. Конфигурация IPsec «сеть-сеть»
  • Вверх
  • 7.2. Использование iptables

Book navigation

  • Введение
  • I. Общее введение в безопасность
  • II. Настройка безопасности Red Hat Enterprise Linux
    • Глава 3. Обновления системы безопасности
    • Глава 4. Безопасность рабочей станции
    • Глава 5. Безопасность сервера
    • Глава 6. Виртуальные частные сети
    • Глава 7. Брандмауэры
      • 7.2. Использование iptables
      • 7.3. Типичные фильтры iptables
      • 7.4. Политика FORWARD и правила NAT
      • 7.5. Вирусы и поддельные IP-адреса
      • 7.6. iptables и отслеживание соединений
      • 7.7. ip6tables
      • 7.8. Дополнительные ресурсы
  • III. Оценка собственной защиты
  • IV. Реакция на вторжения и инциденты
  • V. Приложения

Последние материалы

  • Приложение Zoom
    4 days ago
  • Команда restore
    2 weeks ago
  • Файл sudoers
    3 weeks ago
  • Утилита visudo
    3 weeks 2 days ago
  • Файловый менеджер Thunar
    1 month ago
RSS feed

Secondary menu

  • О проекте

© 2008–2025 Олег Меньшенин mensh@yandex.ru