Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 3:

Межсетевые экраны

SmoothWall Express: Полный многофункциональный межсетевой экран

SmoothWall Express

Автор/основной контакт: Lawrence Manning, Richard Morrel, Jon Fautley,

Tom Ellis (первоначальные авторы)

SmoothWall Limited (текущие контакты)

Web-сайт: http://www.smoothwall.org

Платформа: Linux

Лицензия: GPL

Рассмотренная версия: 2.0

Web-форумы:

http://community.smoothwall.org/forum/

Каналы чата IRC:

Используйте сервер IRC irc.smoothwall.org 6667.

Вопросы и общая дискуссия по SmoothWall доступны на канале #help.

Списки почтовой рассылки:

Для общей поддержки и помощи при установке подпишитесь на:

http://lists.smoothwallusers.org/mailman/listinfo/gpl

Две обсуждавшиеся выше программы, Iptables и Turtle Firewall, предоставляют недорогой способ построения простого межсетевого экрана. Однако, если вам требуется сервер динамического конфигурирования хостов (DHCP-сервер), придется устанавливать его отдельно. Далее, если вы хотите использовать SSH для входа в компьютер, понадобится установить еще одну программу. SmoothWall - это межсетевой экран с открытыми исходными текстами, предлагающий мощный экранирующий пакет, в который встроены все перечисленные и многие другие возможности. Он создан компанией, которая предлагает как свободную (с лицензией GPL), так и коммерческую версии (последняя - с некоторыми дополнительными возможностями и улучшенной поддержкой). Это - еще один пример того, как продукт может использовать мощь открытого ПО и приносить компании коммерческую выгоду. Свободная версия называется SmoothWall Express и имеет на момент написания книги номер 2.0; коммерческая версия именуется SmoothWall Corporate Server, ее номер - 3.0.

SmoothWall Express содержит несколько опций, отсутствующих в Iptables, которые большинство организаций хотели бы иметь в полнофункциональном межсетевом экране. Конечно, можно собрать все это вместе из других программ и Iptables, но SmoothWall предлагает все в одной программе в простом для установке пакете. Вот некоторые из его возможностей:

  • Поддержка виртуальных собственных сетей: SmoothWall объединяет виртуальные защищенные сети на основе протоколов IPsec со средствами межсетевого экранирования. Это позволяет осуществлять извне (например, из стационарного удаленного филиала или из произвольной точки маршрута коммивояжера) безопасный доступ к локальной сети по шифруемому туннелю (нестатическая виртуальная собственная IP-сеть поддерживается только в корпоративной редакции).
  • Клиент и сервер DHCP: Клиент позволяет межсетевому экрану получать динамический IP-адрес для своего внешнего (в ГВС) интерфейса. Это обычная практика для предоставления Интернет-услуг через абонентские цифровые линии или кабельные модемы. Кроме того, межсетевой экран получает возможность действовать в качестве сервера DHCP для внутренней ЛВС, выдавая IP-адреса в соответствии с предварительно заданной политикой. И снова отметим, что можно, конечно, добавить эти возможности к Iptables, но в результате вы получите две программы, которые придется устанавливать и администрировать отдельно.
  • Доступ к межсетевому экрану посредством SSH и web-навигатора: Безопасный доступ средствами командной строки и web-навигатора. Turtle Firewall предоставляет для Iptables web-, но не SSH-доступ. В SmoothWall встроены обе возможности без необходимости устанавливать дополнительное программное обеспечение.
  • Сервер-посредник web: Возможность настроить web-посредник так, чтобы доступ ко всем web-сайтам осуществлялся через межсетевой экран. Это обеспечивает определенный уровень web-безопасности, так как любая программа, использующая уязвимости, должна будет выполняться на межсетевом экране, а не на локальной машине. Дальнейшего повышения безопасности можно добиться с помощью опции фильтрации информационного наполнения, доступной от SmoothWall Limited.
  • Кэширующий web-сервер: Средство запомнить наиболее популярные web-страницы для замены удаленного доступа локальным, что дает выигрыш во времени и в пропускной способности.
  • Обнаружение вторжения: SmoothWall предлагает некоторые базовые сетевые средства обнаружения вторжений.
  • Графики и отчеты: SmoothWall позволяет получать простые отчеты о работе межсетевого экрана и генерировать графики на основе этих данных.
  • Поддержка дополнительных типов соединений: SmoothWall поддерживает многие типы интерфейсов, включая коммутируемый, кабельный, ADSL, ISDN и Ethernet. При использовании Ipchains некоторые из этих интерфейсов требуют дополнительного программного обеспечения и конфигурирования.

Одним из существенных различий между SmoothWall и упомянутыми выше программами является необходимость функционирования SmoothWall на выделенной машине. При установке межсетевой экран SmoothWall очищает жесткий диск и устанавливает собственную операционную систему. (По сути это урезанная версия Linux с повышенной безопасностью, но для обслуживания SmoothWall вам не нужно ничего о ней знать.) Это означает, что вы не сможете запускать на данной машине другие средства или использовать ее для иных целей (по крайней мере без больших трудностей и потенциальной опасности нарушить работу программного обеспечения SmoothWall). Не всех это устроит, но если вы ищете недорогой и быстрый способ построить готовый к немедленной эксплуатации межсетевой экран с множеством возможностей, то SmoothWall - как раз для вас.

Требования SmoothWall к оборудованию

Выше упоминалось, что SmoothWall должен функционировать на выделенной машине, но, к счастью, требования к ней невелики, так как на ней будет выполняться только программное обеспечение межсетевого экрана. Минимальная конфигурация состоит из ПК с процессором, совместимым с Intel Pentium 200 МГц, ОЗУ 32 МБ и 512 МБ дискового пространства. В качестве более оптимальной конфигурации рекомендуется процессор 500 МГц, ОЗУ 64 МБ и диск 2 ГБ. Этим спецификациям соответствуют все машины, за исключением разве что самых старых. Кроме того, нужен привод компакт-дисков и по крайней мере одна сетевая плата (обычно две, если интерфейсом в ГВС служит Ethernet).

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Елена Гогонова
Елена Гогонова
Россия, Магнитогорск
Алина Архипова
Алина Архипова
Россия, г белорецк