Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
(Продолжение. Начало - ╧ 18)
Аналогичные параметры задаются при конфигурировании EGP-фильтров (рис. 5), за исключением того, что пакет не может содержать информацию о хосте (также больше выбор типа получателей пакета ≈ Autonomous System, Host, Interface, Interface Group, Network). Дополнительно может быть изменена и ╚стоимость╩ (cost) пути.
Рис. 5. Настройка фильтров EGP-пакетов
Для OSPF-фильтров могут быть заданы тип пути (хост, сеть или любой) и изменена его стоимость.
Как правило, внутренняя сеть конфигурируется один раз на длительное время без изменения адресов, привязанных к интерфейсу провайдера. В этом случае удобнее использовать статическую маршрутизацию и с помощью фильтрации закрыть обмен с провайдером пакетами, несущими информацию о путях. При необходимости передавать подобную информацию (например, в случае Dial-on-Demand соединения без выделения провайдером статического адреса), можно создать специальную запись в списке исключений, позволяющую передавать маршрутизатору провайдера информацию о том, за каким именно из адресов его модемного пула находится ваша сеть. Как правило, провайдер может настроить свою систему таким образом, чтобы получать от вашего маршрутизатора подобную информацию.
Теперь мы подошли к самой трудоемкой и самой важной части настройки фильтрации √ настройке фильтров пересылки пакетов (Packet Forwarding Filters). Аналогично описанным выше группам фильтров, возможно задание двух режимов работы:
≈ разрешена передача пакетов, соответствующих заданным критериям, кроме исключений, описанных особо;
≈ запрещена передача пакетов, соответствующих заданным критериям, кроме исключений, описанных особо.
При описании фильтров пересылки пакетов или исключений необходимо задать следующие параметры (рис. 6):
≈ тип источника пакетов (интерфейс √ группа интерфейсов);
≈ имя интерфейса или группы √ источника пакетов, для которых будет действовать этот фильтр;
- аналогичные параметры для интерфейса, куда должен быть передан пакет;
≈ тип пакета √ наиболее сложный и важный параметр.
И в конце описания фильтра (исключения) необходимо задать 2 параметра: адрес хоста (сети) √ источника и получателя пакетов.
Рис. 6. Настройка фильтров пересылки пакетов
Параметр ╚тип пакета╩ (рис. 7) содержит информацию о протоколе (IP, ICMP, UDP, TCP), порте или портах источника пакета, порте или портах назначения пакета и 2 параметра, на которых надо отдельно остановиться ≈ ACK bit filtering и Stateful filtering. Эти параметры появились только в BorderManager 3.0 и служат для более интеллектуальной защиты сети. Рассмотрим ACK bit filtering. В общем случае, как это было в BM 2.1, для обеспечения возможности прямого обращения рабочих станций из внутренней сети к ресурсам Интернет необходимо обеспечить прохождение пакетов в две стороны √ запросов с динамических портов рабочей станции и ответов сервера. В связи с этим появлялась потенциальная угроза атаки открытых динамических портов станции с разрешенных для работы портов компьютеров внешней сети (SYN attack). ACK bit filtering устраняет такую возможность, пропуская во внутреннюю сеть только ответные пакеты от серверов с взведенным битом ACK (Acknowledgement). Вторая интересная возможность √ вообще не задавать исключение для прохождения пакетов на динамические адреса рабочих станций. Если разрешить Stateful filtering, то для этого фильтра включается механизм динамической фильтрации, когда дополнительные фильтры автоматически создаются для прохождения ответов от сервера после установки соединения. Более того, только для FTP-протокола реализован анализ содержащихся в пакете данных для обеспечения работы ╚активного FTP-сервиса╩, когда при обнаружении команды PORT создаются дополнительные исключения для организации канала передачи данных.
Рис. 7. Описание типа пакета
В заключение обзора типов пакетов, задаваемых при описании фильтров, необходимо отметить, что описывать свои типы приходится достаточно редко, т. к. большое их количество входит в комплект поставки и распространяется в виде дополнительных файлов, свободно доступных на support.novell.com.
Как правило, при конфигурации стоит задача защиты ресурсов внутренней сети от несанкционированного доступа через внешний интерфейс. В связи с этим, наиболее распространенным является выбор алгоритма фильтрации с разрешением прохождения всех пакетов, кроме тех, которые проходят через внешний интерфейс с последующим разрешением пересылки пакетов определенных видов, например, обращение на внешние Web-серверы и прием от них данных.
Необходимо заметить, что именно такой алгоритм реализуется программой установки BM. Блокируется трафик через внешний интерфейс и задаются исключения, разрешающие Proxy-серверу работу с серверами глобальной сети. Дальнейшая настройка фильтрации с целью ≈ разрешить пользователям во внутренней сети прямое обращение к определенному виду ресурсов √ дело системного администратора. Для облегчения этой, в общем случае трудоемкой, задачи Novell распространяет через support.novell.com в виде Technical Information Document (TID) необходимую информацию для настройки наиболее распространенных исключений для обращения к таким службам, как FTP, DNS, SMTP и т. д. как из внутренней сети к общим ресурсам, так и из Интернет к вашим серверам. В качестве отправной точки можно обратиться к TID 2932576 ≈ Filtering / Firewall Exceptions Summary.
Для описанной выше процедуры настройки фильтрации используется серверная консольная утилита FILTCFG.NLM с не очень удобным интерфейсом, но, по данным из российского представительства Novell, в ближайшее время должен появиться ее графический аналог. Кроме того, FILTCFG.NLM не работает на серверах с установленной русской кодовой страницей для версий NetWare, меньших 5.1. Это достаточно распространенный случай для продуктов, устанавливаемых на серверах NetWare, и с этим приходится мириться, тем более, что не стоит использовать сервер с установленным на нем BM в качестве офисного файлового сервера, а кроме синхронизации наименований файлов в разных пространствах имен русская кодовая страница ни для чего не нужна. Стоит подчеркнуть, что на NetWare 5.1 пока не было замечено проблем, связанных с кодовой страницей.
Грамотно и тщательно настроенная фильтрация полностью обезопасит вашу сеть от атак из Интернет при обеспечении доступа пользователей к ресурсам глобальной Сети. Как всегда, полезным, но редко выполняемым советом является тщательное документирование или хотя бы комментирование всех изменений, вносимых в настройку фильтрации. Этот процесс достаточно кропотливый и требует знания и понимания алгоритмов взаимодействия Интернет-серверов и обращающихся к их ресурсам рабочих станций. При необходимости, в следующих статьях мы обратимся к настройке, касающейся конкретных служб, таких, как DNS, SMTP, FTP, WWW.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей