Основы работы брандмауэров
Сенченко Т.В. (aka Boffin)
[email protected]
icq: 865491
(предыдущая страница ...)
Какие брандмауэры лучше использовать для платформ *nix?
В большинстве дистрибутивов UNIX есть встроенные брандмауэры. Например для Linux - ipchains, iptables, для FreeBSD - ipwf. По-моему, одним из самых простых и распространенных брандмауэров UNIX является пакет TCP Wrappers. Он читает файлы hosts.deny (запрет) и hosts.allow (разрешение) при попытке доступа к службам, указанным в inetd.conf (если пакет уже установлен, в inetd.conf возникает, например in.telnetd - значит telnet работает под защитой TCP Wrapper). TCP Wrapper поддерживает ведение системного журнала событий (лог). Так же в него входит несколько дополнительных утилит: tcpdchk -проверка конфигурационных файлов, tcpdmatch - проверка правил (например, что произойдет, если что-либо изменить). Но это довольно урезанный брандмауэр, который вряд ли можно рассматривать даже как полнофункциональный пакетный фильтр. Более весомыми утилитами являются iptables и ipwf. IPWF представляет собой "обычный" пакетный фильтр, позволяющий обрабатывать как входящие, так и исходящие пакеты.
Процесс пересылки данных между компьютерами в сети
Взаимодействие через Интернет в конечном счете осуществляется между двумя компьютерами, отправителем и получателем, или, более точно, между сетевой платой на одном компьютере и сетевой платой на другом. Во время сеанса связи, который организуется между двумя компьютерами, они часто меняются ролями. Когда данные посылаются с одного компьютера на другой, они должны пройти по Интернету. Поскольку Интернет - это разнообразие хостов и адресов, данные на самом деле проходят сквозь ряд других компьютеров на пути к указанному удаленному компьютеру. TCP/IP - это набор протоколов, который делает все это возможным. Для того, чтобы компьютеры, находящиеся в Интернете, знали, куда отправить данные, эти данные должны быть соответствующим образом адресованы.
Важно понимать, что когда вы посылаете что-либо, например, электронное письмо, кому-то в сети Интернет, письмо не передается как единый документ. В действительности TCP/IP разбивает его на более управляемые части, называемые пакетами. Отдельные пакеты затем посылаются по Интернету на указанный удаленный компьютер. Не каждый пакет пойдет одним и тем же путем. На самом деле пакеты, составляющие ваше электронное письмо, могут проходить по многим различным маршрутам по дороге к указанному удаленному хосту, где они в конце концов будут получены и вновь собраны стеком TCP/IP. В итоге, письмо поступит в программу работы с электронной почтой получателя для просмотра.
Каждому компьютеру, соединяющемуся с Интернетом, присваивается уникальный IP-адрес. Такой адрес определяет положение исходного компьютера в Интернете. Указание адресов места отправления и назначения каждого пакета необходимо для осуществления доставки каждого пакета.
Когда прибывает пакет данных, удаленный компьютер внимательно изучает его. Если пакет адресован этому компьютеру, он принимается и обрабатывается, в противном случае он игнорируется.
Присвоение IP-адресов незаметно для большинства пользователей, поскольку большинство провайдеров использует протокол, известный как DHCP, или протокол динамической установки параметров хоста. DHCP автоматически присваивает IP-адрес вашему компьютеру каждый раз, когда вы включаете в сеть ваш компьютер, подключенный к сети Интернет. Если вы используете коммутируемое соединение, ваш IP-адрес присваивается каждый раз в процессе организации такого соединения.
Еще о TCP/IP
TCP/IP - это на самом деле набор многих протоколов, которые работают вместе для обеспечения взаимодействия в больших и малых сетях. TCP и IP – это два протокола в общем наборе TCP/IP. TCP/IP является используемым по умолчанию протоколом для Windows 98, Me, 2000 и ХР и автоматически устанавливается, когда стандарт plug-and-play обнаружит на компьютере сетевую карту или модем.
Сети TCP/IP, такие, как Интернет, находят компьютеры с помощью комбинации IP-адреса и МАС-адреса удаленного компьютера. Как и МАС-адрес, каждый IP должен быть уникален.
IP-адрес - это 32-битный адрес, состоящий из комбинации нулей и единиц. Однако, поскольку люди испытывают затруднения при запоминании 32-битовых номеров, IP-адреса преобразуются в десятичное представление с разделительными точками, состоящее из четырех десятичных чисел, каждое из которых отделяется точкой. Например, IP-адрес 10000011 01101111 равнозначен адресу 131.111.7.27.
IР-адреса могут присваиваться компьютеру статически или динамически. Статический адрес специально присваивается компьютеру и никогда не изменяется. Статические IP-адреса достаточно редко используются для соединений с Интернетом. Обычно поставщики услуг доступа в Интернет используют присвоение динамических IP-адресов.
(... продолжение)
Обсудить статью на форуме
Дата обновления 10.01.2005
| Главная страница | Форум | Мир протоколов | RFC | Безопасность | Технологии |
| Интерфейсы | Инструменты | Библиотека | Вопросы и ответы | Авторы | Отзывы |
Copyright © 1999-2005. BiLiM Systems.
|
