Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Павел Гарбар, Алексей Пономарев, Андрей Ланцов, Вадим Лушин, Сергей Болобон
Ольга Андреева, Николай Рябов
Целью данного исследования NUG SPb являлось изучение функциональных возможностей Novell FireWALL for NT v. 3.0 и особенностей его работы.
Novell FireWALL for NT v. 3.0 предъявляет к аппаратному обеспечению следующие требования:
Сервер:
Протестированные и рекомендованные сетевые платы Ethernet:
Примечание: сетевые платы SMC не поддерживаются. Другие сетевые платы Ethernet, которые поддерживаются Windows NT, тоже могут работать с FireWALL, но Novell не проводил их тестирования и не дает гарантии их совместимости.
Еще одно важное замечание! Соединение FireWALL for NT с Интернет не может быть интерфейсом глобальных (WAN) сетей.
Удаленная консоль управления (необязательно).
FireWALL for NT лицензируется по количеству обслуживаемых пользователей и по пропускной способности.
Допустимое количество соединений: 25, 50, 100, 250 и неограниченное количество пользователей.
Пропускная способность: 128 Кбит/с, 512 Кбит/с, 2 Мбит/с, 10 Мбит/с и 100 Мбит/с.
Реакцию системы на превышение количества одновременно обслуживаемых пользователей проверить не удалось, т. к. даже минимальная пробная лицензия предоставляет 25 соединений, а в наличии только 2 клиента. Превышение срока использования пробной лицензии (60 дней с момента установки) ведет к отключению сервисов FireWALL for NT и регистрации этого в Applications Log.
Все процедуры достаточно детально описаны в документации, поэтому в отчете будут отражены только интересные особенности или расхождения с документацией.
Конфигурация испытательного стенда выглядела следующим образом:
Сервер:
2 рабочие станции:
Первая часть эксперимента проводилась на платформе Windows NT 4.0 Workstation без подключения к какой-либо службе каталогов. Таким образом, использовались локальные учетные записи пользователей этого компьютера.
FireWALL for NT работает как сетевой сервис. Поэтому для установки продукта надо последовательно выбрать на панели управления: Network Neigh-borhood -> Properties -> Services -> Add -> Have Disk.
Указать путь к установочному каталогу и выбрать драйвер Novell FireWALL for NT.
Программа установки проверяет наличие SP3 или выше на компьютере ≈ без SP3 установка прекращается.
В процессе установки необходимо выбрать, какой из сетевых интерфейсов будет внутренним (private), а какой внешним (public).
Одно из замечательных свойств Novell FireWALL for NT то, что компоненты FireWALL и Traffic Manager используются совместно и это рекомендованная Novell▓ом конфигурация. Хотя эти компоненты и могут работать на разных компьютерах, в процедуре установки нет возможности выбрать конфигурацию продукта ≈ оба компонента устанавливаются автоматически.
После завершения процесса установки нажать Finish и перезагрузить компьютер.
Замечание. В процессе установки копируются 2 файла ≈ hlogin.htm и hlogout.htm, которые отображаются в браузере при регистрации и разрегистрации пользователей в FireWALL. В этих файлах отображается картинка размером 440х104 пиксела, но ей выделено только 70х70 пикселов места, поэтому она отображается некорректно. Изменение этих файлов в процессе работы FireWALL для исправления ситуации ни к чему не привело, т. к. они уже были считаны. Изменение этих файлов сразу после установки также не изменило ситуацию, но до первого запуска FireWALL.
После установки в контрольной панели появляется новая иконка для настройки FireWALL for NT. С помощью этого апплета нужно менять свойства сетевых интерфейсов. А на рабочем столе появляется программная группа с административными утилитами.
Удалять продукт нужно тоже из списка сетевых сервисов. В процессе удаления запрашивается подтверждение на удаление сконфигурированных правил. Их можно удалить или оставить для последующего использования при повторной установке FireWALL for NT. При удалении продукта можно удалить правила, но файлы статистики и журналов остаются, и их необходимо удалить вручную.
FireWALL for NT и Windows 2000
FireWALL for NT не предназначен для работы с Windows 2000. Процедура установки сетевого интерфейса в Windows 2000 отличается от процедуры в Windows NT, поэтому невозможно даже попытаться установить FireWALL for NT на Windows 2000. При попытке обновить Windows NT с установленным на нем FireWALL for NT процедура установки Windows 2000 проверяет конфигурацию компьютера и установленных на нем программ и сразу предупреждает о несовместимости этого продукта и о том, что он, возможно, не будет работать после завершения обновления. И это действительно так.
Настройка
После перезагрузки FireWALL запускается в режиме наибольшей безопасности. Это означает, что все запросы отвергаются, и к внутренней сети из Интернет доступа нет. Для того чтобы внутренние пользователи смогли воспользоваться ресурсами Интернет, а внешние пользователи могли получить доступ к вашим общедоступным ресурсам, надо, используя FireWALL Administrator, настроить правила доступа к сетевым ресурсам.
Начальная конфигурация FireWALL for NT.
Удобный графический интерфейс FireWALL Administrator позволяет с легкостью устанавливать разнообразные правила доступа к сетевым ресурсам для входящих и исходящих запросов.
Правила для некоторых сетевых сервисов, таких как: HTTP, FTP, Telnet могут быть ассоциированы с пользователями и группами пользователей. Мы использовали для установки FireWALL компьютер с Windows NT 4.0 Workstation без подключения к службе каталогов, поэтому пользовались только локальными учетными записями этого компьютера. По умолчанию не производится авторизации пользователей для доступа к этим сервисам. Для того чтобы это происходило, нужно в правилах для этих сервисов указать на необходимость проведения авторизации с использованием одной из служб каталогов ≈ NDS, NT или LDAP. В данном случае авторизация была возможна для локальных пользователей. При попытке обратиться к одной из выше перечисленных служб с рабочих станций пользователям предлагалось зарегистрироваться в FireWALL for NT. Вот где нужен откорректированный hlogin.htm (корректировка файла не помогла).
Как и отмечено в документации, при успешной регистрации пользователя его IP-адрес кэшируется, и в дальнейшем применение правил идет с использованием этого адреса. Таким образом, другой пользователь, работающий на данной станции с тем же IP-адресом или, если используется DHCP с малым временем аренды адреса, на другой станции, получившей тот же IP-адрес, даже без регистрации в FireWALL for NT, получит те же права доступа, что и зарегистрировавшийся пользователь. Время жизни этого кэша не установлено. Кэш не сбрасывается при останове сервиса или при перезагрузке компьютера. Опытным путем было выяснено, что кэш не записывается в реестр.
Добавление новых пользователей
Пользователи, добавленные в момент работы FireWALL, не видны при задании правил до тех пор, пока не будет остановлен и запущен сервис FireWALL из контрольной панели или перезагружен компьютер.
Активизация правил
В процессе испытаний было отмечено, что вновь созданные правила не вступают в силу до тех пор, пока они не будут сохранены/посланы на FireWALL. Причем, они активируются не мгновенно, а примерно в течение 2-х минутного временного отрезка. Хотя в документации сказано, что сохранять/посылать правила нужно только для удаленной административной консоли, а правила, созданные локальным FireWALL Administrator автоматически считываются с консоли каждые 2 минуты и нет необходимости их сохранять.
Место хранения правил
В документации и при исследовании интерфейса FireWALL Administrator не было найдено способа сохранения или экспорта правил в файл, например, для резервирования или переноса на другой компьютер. Также не было указано место хранения этих правил. Опытным путем было установлено, что правила хранятся в реестре Windows NT в ключе [HKEY_LOCAL_
MACHINE\SOFTWARE\Ukiah]. С помощью редактора реестра можно сохранить этот ключ в файл, а впоследствии его импортировать. Таким образом, правила могут быть восстановлены при крахе компьютера или в других необходимых случаях. Поскольку реестр Windows NT ≈ это жизненно важный элемент, то обращаться с ним нужно очень осторожно, тем более редактировать его вручную! К сожалению, штатных средств в FireWALL for NT для этого нет.
Замечание. В документе от 16 февраля 2000 г. сказано, что правила хранятся в реестре и не могут быть экспортированы в текстовый файл. Эти правила импортируются FireWALL for NT при повторной установке или обновлении с предыдущей версии. Правила не могут быть экспортированы, а затем импортированы на другом FireWALL for NT.
Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей