Глава 9. Основные положения системы сетевой защиты (Firewall)
В этой главе:
1. Концепция безопасности системы сетевой защиты
2. Порты
3. Ограничения и допущения
4. Пакеты
5. Компиляция оптимизация и инсталляция IPTables из rpm -пакетов
6. Компиляция оптимизация и инсталляция IPTables из исходных кодов
7. Настройка системы сетевой защиты IPTables
8. Проверка настроек сетевой защиты
В этой главе рассматриваются основные принципы и понятия, связанные с системой сетевой защиты
(Firewall). К настоящему времени разработаны и активно развиваются системы сетевой защиты, основанные
на следующих технологиях.
Первый тип – фильтрация пакетов (packet filtering) – тип встроенной в ядро сетевой защиты, рабо-
тающей на сетевом уровне. Пакеты фильтруются в соответствии с их типом, исходным адресом, адресом на-
значения и информацией о порте, содержащейся в заголовке пакета. Такой тип сетевой защиты основан на
анализе небольшого объема информации, поэтому мало влияет на загрузку центрального процессора и не
создает заметных задержек в работе сети.
Первое поколение данного типа фильтрации, известное в Linux как IPCHAINS, реализовывало стати-
ческую схему сетевой защиты, при которой соединения между внутренними и внешними сетями всегда ос-
тавались открытыми для портов, используемых работающими на системе службами. Такая система сетевой
защиты реализована в ядрах версий 2.2.х. Основной недостаток этого типа защиты состоит в том, что для
нормального функционирования системы необходимо все время держать открытыми ряд портов.
Второе поколение – так называемые динамические пакетные фильтры (Dynamic Packet Filters), из-
вестные в Linux, как программа сетевой защиты IPTables, используемая в версиях ядра 2.4.x. При такой сис-
теме фильтрации соответствующий порт открывается только на время прохождения легитимного исходяще-
го пакета, либо для приема ожидаемого системой пакета. Ядра Linux версии 2.4.х поддерживают новый ме-
ханизм для формирования системы сетевой защиты, называемый сетевой пакетной фильтрацией (netfilter).
Он более сложен, чем предыдущий механизм (IPCHAINS), но более безопасен. Блокирует большинство
DoS-атак. В случае, если инородный пакет пытается проникнуть в защищаемую систему или сеть под видом
пакета, принадлежащего существующему соединению, IPTables может свериться со своим хранящимся в
памяти списком открытых соединений, обнаружить, что пакет не соответствует ни одному из них, и запре-
тить его пропуск.
Общими недостатками систем сетевой защиты, основанных на фильтрации пакетов, являются:
• возможность подключения систем, находящихся за пределами локальной сети, к системам внутри
неё;
• отсутствие возможности селекции пакетов по пользователям с реализацией соответствующей иден-
тификации.
Второй тип систем сетевой защиты, так называемые прокси-программы (application gateway), извест-
ные в Linux как Squid. Это программное обеспечения детально анализирует информацию, заключенную в