Раздел: Документация

0 ... 73 74 75 76 77 78 79 ... 125

Применение TIS Firewall Toolkit

Создание брандмауэра с помощью FWTK

TIS Internet Firewall Toolkit (Набор для создания брандмауэра компании TIS, FWTK) - это не готовое решение, а как говорит его имя, набор из множества различных инструментов, с помощью которого опытный администратор может создавать межсетевой экран. FWTK доступен только для UNIX и работает с реализациями TCP/IP, использующими интерфейс сокетов Berkeley. Но вам стоит познакомиться с FWTK, даже если ваша сеть состоит из компьютеров с системами Windows NT и Windows 98. Вы увидите, что гибкость решений, достигаемая при строительстве межсетевого экрана с нуля в полном соответствии с политикой безопасности сети, оправдает затраты на установку на границе сети компьютера с системой UNIX.

Почему FWTK бесплатен?

Пакет FWTK был создан в соответствии с правительственным контрактом, в котором оговаривалось, что исходный код должен быть общедоступным. Сейчас код поддерживается большим числом добровольцев, и ему посвящен Web-сайт www.fwfk.org. На этом сайте есть список «зеркал», с ближайшего из которых вы сможете загрузить пакет и его документацию.

Б

ратко об истории FWTK

FWTK имеет долгую историю. Первоначально он был разработан компанией Trusted Information Systems, Inc. для Defense Advanced Research Projects Agency (DARPA, Агентства перспективных исследований Министерства Обороны США). В момент создания FWTK единственным доступным типом брандмауэров были

---

простые пакетные фильтры. Пакетному фильтру принадлежит свое место в стратегии межсетевого экрана, но иногда для реализации политики безопасности брандмауэра требовались более мощные средства, и FWTK был разработан, чтобы удовлетворить эту потребность.

FWTK - это не пакетный фильтр, а набор различных программ, с помощью которых создаются proxy-серверы наиболее популярных служб TCP/IP. Не забывайте о том, что хороший межсетевой экран обычно включает в себя и пакетный фильтр, и proxy-серверы. Хотя FWTK не способен реализовать функции пакетного фильтра, он может прекрасно работать на защищенных экранирующим маршрутизатором укрепленных компьютерах.

Получение FWTK

Пакет доступен для бесплатной загрузки. Вначале зайдите на сайт www.fwtk.org и выберите ближайшее к вам «зеркало» этого сайта. Выберите ссылку для загрузки файла и прочитайте лицензию. Если вы согласны с лицензией на данное ПО, пошлите TIS соответствующее сообщение электронной почты на адрес fwtk-request@tislabs.com, чтобы получить возможность загрузить код. В теле сообщения просто напишите слово «accepted» (без кавычек). Ответ придет в случае, если это слово (которое означает «принято») поместить в теле сообщения, а не в заголовке.

Через очень небольшое время вы получите автоматический ответ от TIS. Поступившее сообщение будет содержать имя временного каталога на сервере ftp.tislabs.com, из которого вы сумеете загрузить ПО и документацию. Этот временный каталог просуществует лишь 12 часов, поэтому лучше всего начать загрузку сразу же после получения сообщения. Если вам не удастся ее выполнить до истечения лимита времени, просто повторно отправьте электронное письмо с запросом, и вам будет сообщено новое имя каталога.

Что такое обратное преобразование адреса?

Компьютер, с которого вы собираетесь загрузить данный пакет, должен поддерживать обратное преобразование адреса (reverse name lookup). В отличие от обычной функции сервера DNS, заключающейся в преобразовании имени в IP-адрес, обратное преобразование адреса служит для получения имени узла по IP-адресу. Это делается, чтобы убедиться, что вы действительно тот, за кого себя выдаете!

После загрузки программного обеспечения внимательно прочитайте файлы со списком обновлений и изменений, касающиеся компиляции или применения компонентов пакета, которые поставляются в виде исходных текстов. Это означает, что вам придется скомпилировать их перед использованием в своей системе. Данный пакет не распространяется как набор упакованных файлов с программой установки. Чтобы правильно применять пакет, вы должны быть хорошо знакомы с TCP/IP

---

КОМПОНЕНТЫ FWTK 231 *-

и операционной системой UNIX. Этот продукт не для начинающих. Если вы не понимаете, как выполняется настройка операционной системы и функционируют ее отдельные компоненты, то у вас никогда не будет уверенности при работе с этим пакетом, что сделано все возможное для защиты сети. Поскольку пакет написан на языке С, надо к тому же свободно владеть этим языком программирования.

Чем Gauntlet Firewall отличается от FWTK?

Компания TIS, разработавшая FWTK, продолжила работу над этим ПО и создала на его основе программу Gauntlet Firewall. В 1998 году TIS слилась с Network Associates, и образовавшаяся компания до сих пор продает Gauntlet Firewall. На первый взгляд, между двумя этими пакетами много общего, и можно предположить, что FWTK является просто урезанной версией Gauntlet Firewall. Однако даже в первой версии Gauntlet в основном уже не использовался код FWTK. Исходный текст Gauntlet доступен покупателям - так что при желании вы в состоянии самостоятельно сравнить код этих двух пакетов. FWTK поддерживает только часть набора Gauntlet, в том числе содержит:

О исходный текст программ;

О proxy-серверы для FTP, Telnet, Rlogin, HTTP, Gopher, SMTP и NNTP; О шлюз XI1;

О сервер аутентификации;

О различные вспомогательные программы.

Gauntlet, кроме того, включает в себя дополнительные proxy-серверы, поддерживающие протоколы SSL, SHTTP, РОРЗ, а также сервер DNS и многое другое. Конечно же, поскольку это коммерческий продукт, для него доступны обучение и поддержка. Поддержка FWTK ограничивается материалами, размещенными на Web-сайте, и обменом опытом в группах новостей и списках рассылки. Тем не менее, если вы обладаете необходимыми знаниями о TCP/IP и имели практику администрирования UNIX, то не исключено, что этот пакет - как раз то, что вам нужно.

Компоненты FWTK

Что же вы получите после загрузки пакета? В документации FWTK утверждается, что пакет состоит из трех компонентов:

О философии создания;

О практических рекомендаций по настройке и стратегий проверки; О программных инструментов.

Вы, вероятно, считаете последний пункт в этом списке самым существенным, но это не обязательно так. Чтобы воспользоваться входящими в пакет программами, вам надо четко представлять себе, что вы намерены с ними делать. «Философия создания» пакета включает в себя несколько важных принципов.

0 ... 73 74 75 76 77 78 79 ... 125