Брандмауэры
Глава 7. Брандмауэры
Информационная безопасность обычно рассматривается как процесс, а не продукт. Однако обычно при реализации защиты внедряется некий механизм управления правами и разрешения доступа к сетевым ресурсам только авторизованным, идентифицируемым и известным пользователям. В Red Hat Enterprise Linux включено несколько мощных средств, помогающих администраторам и спецаилистам по безопасности решать вопросы доступа на сетевом уровне.
Вместе с VPN-решениями, такими IPsec (рассмотренным в главе 6 Виртуальные частные сети), брандмауэры — одна из ключевых составляющих реализации защищённой сети. Различные производители предлагают средства сетевой защиты для всех секторов рынка: от пользователей, защищающих один домашний компьютер до центров данных предприятий, хранящих жизненно-важную информацию. Брандмауэры могут быть реализованы аппаратно, как например, брандмауэры Cisco, Nokia и Sonicwall. На рынке представлены также коммерческие программные решения для домашнего и делового использования, выпускаемые компаниями Checkpoint, McAfee и Symantec.
Помимо отличий между программными и аппаратными брандмауэрами, есть отличия и в принципах действия брандмауэра. В таблице 7-1 перечислены три стандартных типа брандмауэров и их принципы действия:
Способ | Описание | Преимущества | Недостатки | ||||||
---|---|---|---|---|---|---|---|---|---|
NAT | Преобразование сетевых адресов (Network Address Translation, NAT) скрывает подсети внутренней сети за одним или несколькими внешними IP-адресами, подменяя источник во всех запросах. |
|
| ||||||
Пакетный фильтр | Брандмауэры, фильтрующие пакеты, анализируют каждый пакет, приходящий из локальной сети или снаружи. Они могут обработать заголовок пакета и отфильтровать пакет на основании набора запрограммированных правил, заданных администратором брандмауэра. В ядро Linux встроены средства фильтрации пакетов через подсистему ядра Netfilter. |
|
| ||||||
Прокси | Прокси фильтруют все приходящие от клиентов локальной сети запросы определённого типа или протокола, а затем отправляют их в Интернет от имени локального клиента. Прокси-сервер является своего рода буфером между злонамеренными удалёнными пользователями и компьютерами клиентов во внутренней сети. |
|
|
Таблица 7-1. Типы брандмауэров
7.1. Netfilter и iptables
В ядро Linux включена мощная сетевая подсистема Netfilter. Подсистема Netfilter обеспечивает фильтрацию с сохранением или без сохранения состояния, а также NAT и службы подмены IP. Netfilter также способен преобразовывать заголовок IP для расширенного управления маршрутизацией и состоянием соединения. Netfilter управляется утилитой iptables.
7.1.1. Обзор iptables
Мощность и гибкость Netfilter реализована в интерфейсе iptables. Сам инструмент командой строки похож на предшественника, ipchains; однако iptables использует подсистему Netfilter для улучшения сетевого соединения, отслеживания и обработки, тогда как в ipchains работали простые правила фильтрации портов соединения и путей к источнику и получателю. iptables позволяет реализовать ведение журнала, выполнение действий до и после маршрутизации, преобразование сетевых адресов и перенаправление портов в одном интерфейсе командной строки..
В этом разделе приведён обзор iptables. За более подробной информацией об iptables, обратитесь к Справочному руководству по Red Hat Enterprise Linux.