Глава 9. Основные положения системы сетевой защиты (Firewall)
теле пакетов, перед тем, как разрешить доступ в сеть пользователю из внешней сети. Запрещает прямые со-
единения между внутренними и внешними системами, поддерживает идентификацию пользователей.
Концепция безопасности системы сетевой защиты
Существует два подхода к концепции безопасности.
«Все, что не разрешено – то запрещено». При таком подходе блокируется весь трафик между внеш-
ней и внутренней сетями, за исключением трафика, генерируемого разрешенными службами и приложения-
ми. Такая концепция безопасности наиболее эффективна, однако создает определенные неудобства для
пользователей и требует больших трудозатрат на администрирование сети для реализации конкретных тре-
бований пользователей (у меня не работает «мирка», «аська», не могу скачать последнюю версию програм-
мы с неправильно настроенного FTP-сервера, не слышу Web-радио и т. п. ).
«Все, что не запрещено – то разрешено». При таком подходе разрешается весь трафик между двумя
сетями, за исключением некоторого перечня служб и приложений. Это очень удобно для пользователей, но с
точки зрения авторов, не обеспечивает приемлемый уровень безопасности.
Поэтому авторы настоятельно рекомендуют использовать именно первый вариант концепции систе-
мы сетевой защиты.
Порты
IANA (Internet Assigned Numbers Authority) образован международными организациями ISOC (Internet
Society) и FNC (Federal Network Council) как центр обмена информацией для определения и координирова-
ния использования параметров протоколов Интернет. Одним из таких параметров являются номера портов,
закрепленные за определенной службой. Например, если вы разработали новый (ранее не существующий)
тип службы, например, службу управления специфичными бытовыми устройствами в вашем доме, IANA
должна будет зарегистрировать и обслуживать уникальный номер порта, выделенный для этой программы.
Понятие «порт» было введено для организации одновременного соединения с многочисленными
службами Интернет. Каждый компьютер имеет 65535 доступных портов. Так называемые «хорошо извест-
ные» (well known) порты имеют номера в диапазоне от 0 до 1023. Эти порты, в большинстве случаев, ис-
пользуются системными процессами или программами, выполняемыми привилегированными пользовате-
лями в фоновом режиме (службами). Зарегистрированные (registered) порты имеют номера в диапазоне от
1024 до 49151, но на большинстве систем могут использоваться любыми приложениями. Динамические
порты (dynamic или private) имеют номера в диапазоне 49152…65535.
Все открытые порты должны иметь службу (демон), которая на нем выполняется, т. е. обслуживает
обращающихся к этому порту пользователей. Если служба на некотором порту не выполняется, то он дол-
жен быть закрыт.
Ограничения и допущения
Все операции выполняются пользователем с учетной записью root.
Используется ядро версии 2.4.х.
Используется дистрибутив ASPLinux 7.3 (Vostok). На других дистрибутивах возможно успешное вы-