8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 42 43 44 45 46 47 48 ... 125

10.10.10.123

10.10.10.250

Рабочая станция

Proxy-сервер

Запрос Web-страницы с рабочей станции

Возврат Web-страницы рабочей станции

Запрос Web-страницы с proxy-сервера

Возврат Web-страницы proxy-серверу

Здесь IP-пакеты блокируются за счет выключения маршрутизации в двухканальном proxy-сервере

Рис. 7.1. Proxy-сервер образует рубеж, через который не проникоют IP-пакеты

После получения запрошенной Web-страницы proxy-сервер не передает IP-пакеты клиенту, а производит ряд заданных администратором проверок пришедших данных. Если все в порядке, proxy-сервер создает новые IP-пакеты с адресом своего адаптера локальной сети и возвращает Web-страницу клиенту.

Таким образом, блокирование IP-трафика - не единственное преимущество proxy-сервера. С его помощью выполняются определенные проверки на основе набора заданных вами правил, в результате чего proxy-сервер будет пропускать или отбрасывать поступившие данные.

Каждая из работающих через межсетевой экран сетевых служб нуждается в отдельной программе proxy-сервера. Для стандартных служб TCP/IP, таких как Telnet, FTP или HTTP, существует множество proxy-серверов. Но не исключено, что вам не удастся найти proxy-сервер для каких-либо новых или редко используемых служб. Имеются настраиваемые proxy-серверы, но они обеспечивают меньшую степень защиты, чем proxy-серверы, привязанные к приложению.

Proxy-серверы способны работать в обоих направлениях. Они позволяют управлять доступом внешних пользователей к внутренним серверам точно так же, как и доступом пользователей из локальной сети к Internet. В любом случае IP-пакеты не передаются напрямую между двумя сетями, и запросы можно блокировать или пропускать на основе заданного набора правил.

Отключение маршрутизации на proxy-сервере

При настройке двухканального компьютера для работы в качестве proxy-сервера отключите маршрутизацию между двумя сетевыми адаптерами. По умолчанию

она обычно включена. В результате ее отключения все сетевые соединения смогут осуществляться только через proxy-серверы.

Windows NT и многие версии UNIX по умолчанию осуществляют маршрутизацию между адаптерами. Отключить эту функцию в Windows NT довольно просто:

1.Выберите Start => Programs => Control Panel (Пуск => Программы => Панель управления).

2.Дважды щелкните мышью по значку Network (Сеть).

3.Откройте вкладку Protocols (Протоколы).

4.Дважды щелкните мышью по имени протокола TCP/IP или выделите его и щелкните мышью по кнопке Properties (Свойства).

5.В появившемся диалоговом окне (см. рис. 7.2) снимите флажок Enable IP forwarding (Включить маршрутизацию IP).

6.Перезагрузите компьютер, чтобы эти изменения вступили в силу.

Microsoft TCP/IP Properties

TP Address DNS \ WINS Address j DHCP Relay Routing]

IP Forwarding (IP Routing) allows packets to be forwarded on a » muJi-horned system.- The routing infomation may be static, or may be collected by RIP for Internet Protocol RIP is a service that can be instated from the Network Control Panel service page.

OK

T Cancel j

Рис. 7.2 Для отключения маршрутизации между двумя адаптерами в Windows NT уберите флажок Enable IP forwarding

Маршрутизация IP в Windows 2000

По умолчанию маршрутизация IP в Windows 2000 отключена. Чтобы включить ее, необходимо отредактировать системный реестр.

Что такое touch

Эта команда UNIX изменяет атрибуты времени последнего доступа и изменения файла. При запуске команды touch с именем несуществующего файла он будет создан.

Более подробную информацию о настройке двухканального компьютера для работы в качестве proxy-сервера вы можете найти в главе 6.

Преимущества и недостатки proxy-серверов

Proxy-серверы - лишь один из компонентов межсетевого экрана. Как и пакетные фильтры, proxy-серверы имеют свои сильные и слабые стороны. Объединяя устройства двух этих типов, вы сможете лучше защитить свою сеть. К преимуществам proxy-сервера относятся:

О сокрытие информации о клиентах и серверах защищаемой сети;

О возможность контролировать доступ к сетевым службам, работающим между защищаемой сетью и Internet, в одной точке. Даже в случае отказа proxy-сервера сквозь него не проникнет прямой трафик;

О proxy-серверы в состоянии регистрировать информацию о доступе к службам, работу которых они обеспечивают, и предупреждать вас о подозрительной активности и попытках несанкционированного доступа;

О некоторые proxy-серверы способны фильтровать получаемый контент, а также блокировать доступ к определенным сайтам и контент, содержащий вирусы и другие подозрительные объекты.

Недостатки proxy-серверов:

О обеспечивая контроль доступа в одной точке, proxy-сервер становится критическим элементом сети;

О для каждой сетевой службы понадобится собственная программа proxy-сервера. Существуют общие решения, но они обеспечивают более низкий уровень защиты;

О работа с proxy-сервером требует перенастройки или модификации клиентов.

Методы выполнения аналогичной операции в разных версиях UNIX различаются. Например, в Solaris 2.4 и более ранних версиях для этого нужно добавить в конец файла /etc/init. d/inetinit строку:

-set /dev/ip ip forwarding 0

А в Solaris 2.5 достаточно просто выполнить команду touch для файла /etc/ notrouter.



0 ... 42 43 44 45 46 47 48 ... 125