|
Сохранение
безопасности в сети
Даже если отдельная система
Linux в локальной сети хорошо защищена, в случае, когда ЛВС имеет выход в Internet,
оставшаяся часть локальной сети открыта для самых разнообразных атак.
Защита сети - сложная работа,
требующая детальных знаний о сетевой безопасности. В основе обеспечения минимальной
безопасности сети лежат две технологии (и их вариации).
Напомним, что сеть соединена
с Internet посредством некоторого маршрутизатора, который перемещает данные
из локальной сети и обратно. Маршрутизатор может обеспечить некоторый уровень
защиты и гарантировать, что большинство атак злоумышленников не проникнут в
локальную сеть.
Защита на уровне маршрутизатора
обычно выполняется одним из двух способов.
Использование брандмауэра
(firewall), фильтрующего пакеты.
Фильтрация пакетов -
это задача, которую
способен выполнить любой маршрутизатор. Каждый раз, когда маршрутизатор получает
пакет информации из Internet, предназначенный для компьютера в ЛВС, IP-адрес
отправителя, IP-адрес адресата и порт соединения проверяются и сравниваются
с таблицей, чтобы проверить может ли ЛВС получить пакет. Если пакет получить
нельзя, он уничтожается. В рамках этого подхода соединения указанных хост-компьютеров
с указанными хост-компьютерами или для специфических портов (а также их комбинаций)
можно разрешить или запретить.
Использование прокси-брандмауэра.
Прокси-брандмауэр (Proxy firewall) -
другой подход, основанный на
предотвращении прямых соединений между компьютерами с внутренней стороны брандмауэра
и со стороны Internet. Если хост-компьютер локальной сети соединяется с хост-компьютером
Internet, то он соединяется с прокси-системой. Прокси-система выполняет соединение
с системой в Internet, осуществляя переключение для всех передающихся данных.
Proxy играет аналогичную роль посредника тогда, когда разрешены любые входящие
соединения с ЛВС. Для защиты локальной сети и полного отделения от Internet
прокси-бранд-мауэр имеет возможность фильтрации пакетов. Его можно сконфигурировать
для поддержки определенных типов трафика через брандмауэр в каждом направлении
или для запрета соединений на основе различных переменных, включая IP-адрес
отправителя, IP-адрес адресата и используемый порт соединения.
Чтобы понять основы безопасности
в сети, ознакомьтесь с Linux Security НОWTO на http: / / www.linuxdoc.org/HOWTO/Security-HOWTO.html.
Систему Linux легко сконфигуриронать
как маршрутизатор между локальной сетью и Internet С поддержкой соединения через
стандартный аналоговый телефонный модем или линии ISDN. Этот маршрутизатор можно
сконфигурировать как фильтр пакетов или прокси-брандмауэр. Установка маршрутизатора
на основе Linux дешевле, чем покупка полного аппаратного решения для обеспечения
маршрутизации и предлагает больше опций защиты, чем многие аппаратные маршрутизаторы.
|
