Принципы работы межсетевых экранов
Теоретическая часть
ФИЛЬТРАЦИЯ ПАКЕТОВ
Примерный перечень вопросов для самостоятельного контроля
Варианты индивидуальных заданий
Табл.3.1. Варианты индивидуальных заданий для настройки NAT.
| № расч. | Адрес локального хоста | Адрес удалённого хоста | Port mapping |
| 1. | 192.168.11.100 | 192.168.11.1 | 1111 —> 22 |
| 2. | 192.168.12.100 | 192.168.12.1 | 2222 —> 22 |
| 3. | 192.168.13.100 | 192.168.13.1 | 3333 —> 22 |
| 4. | 192.168.14.100 | 192.168.14.1 | 4444 —> 22 |
| 5. | 192.168.15.100 | 192.168.15.1 | 5555 —> 22 |
| 6. | 192.168.16.100 | 192.168.16.1 | 6666 —> 22 |
| 7. | 192.168.17.100 | 192.168.17.1 | 7777 —> 22 |
| 8. | 192.168.18.100 | 192.168.18.1 | 8888 —> 22 |
| 9. | 192.168.19.100 | 192.168.19.1 | 9999 —> 22 |
| 10. | 192.168.20.100 | 192.168.20.1 | 1010 —> 22 |
3.2.3. Содержание отчёта
Отчёт о проделанной работе должен содержать следующее:
1.Тема, цель работы, номер варианта и содержание индивидуального задания.
2.Схему собранной сети с указанием ОС и всех IP адресов.
3.Схему прохождения генерируемых в работе пакетов по цепочкам.
4.Алгоритм (последовательность действий) настройки NAT с описанием выполненных действий и команд.
5.Выводы о работе.
1.Что такое NAT и port mapping (опишите общие принципы работы NAT и port mapping)?
2.Какие существуют базовые концепции трансляции адресов?
3.Какие задачи можно решить с использованием NAT?
4.Какие существуют недостатки использования NAT?
5.Что такое NAT Traversal? Какие существуют недостатки у NAT Traversal?
6.Что такое цепь обработки пакетов? Какие существуют таблицы и цепочки (дать краткую характеристику каждой цепочки и таблицы)?
7.Почему действие SNAT используется только в цепочке POSTROUTING?
8.Почему действие DNAT нельзя применять в цепочке POSTROUTING?
9.Влияет ли применение NAT и port mapping на безопасность ЛВС? Почему?
10.Изменится ли контрольная сумма пакета после NAT? Изменится ли контрольная сумма пакета после mapping?
Литература
1.Бруй В.В., Карлов С.В. LINUX-сервер: пошаговые инструкции инсталляции и настройки. – Москва, 2003. – 572 с.
2.Единая система документации ОС МСВС.
3.Интернет-Университет Информационных Технологий. http://www.INTUIT.ru
4.Колисниченко Д.Н. Linux-сервер своими руками. СПб., 2002. – 576с.
5.Мохаммед Д.К. RedHat Linux 6 Server. – Москва, 2001. – 560с.
6.Немет Э., Снайдер Г., Хейн Т.Р. Руководство администратора Linux, 2-е издание. – Москва, 2007. – 1072с.
7.Стахнов А.А. Сетевое администрирование Linux. – СПб., 2004. – 480с.
Цель: приобрести навыки по работе с инструментами, производящими фильтрацию пакетов.
Фильтрацию пакетов производят специальные программные или программно-аппаратные комплексы, называемые файерволами (firewall), межсетевыми экранами (МЭ, МСЭ) или брандмауэрами.
МСЭ (firewall) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней и наоборот путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные (рисунок 4.1).
Рис. 4.1 Типовое место МСЭ в сети
Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, данные которого может контролировать межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов – пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).
Работа МСЭ аналогична работе NAT, за исключением выполняемых над пакетом действий, – NAT производит трансляцию адресов, а МСЭ – фильтрацию пакетов, пропуская разрешённые и блокируя запрещённые.