Межсетевые экраны

Две обсуждавшиеся выше программы, Iptables и Turtle Firewall, предоставляют недорогой способ построения простого межсетевого экрана. Однако, если вам требуется сервер динамического конфигурирования хостов (DHCP-сервер), придется устанавливать его отдельно. Далее, если вы хотите использовать SSH для входа в компьютер, понадобится установить еще одну программу. SmoothWall - это межсетевой экран с открытыми исходными текстами, предлагающий мощный экранирующий пакет, в который встроены все перечисленные и многие другие возможности. Он создан компанией, которая предлагает как свободную (с лицензией GPL), так и коммерческую версии (последняя - с некоторыми дополнительными возможностями и улучшенной поддержкой). Это - еще один пример того, как продукт может использовать мощь открытого ПО и приносить компании коммерческую выгоду. Свободная версия называется SmoothWall Express и имеет на момент написания книги номер 2.0; коммерческая версия именуется SmoothWall Corporate Server, ее номер - 3.0.

SmoothWall Express содержит несколько опций, отсутствующих в Iptables, которые большинство организаций хотели бы иметь в полнофункциональном межсетевом экране. Конечно, можно собрать все это вместе из других программ и Iptables, но SmoothWall предлагает все в одной программе в простом для установке пакете. Вот некоторые из его возможностей:

• Поддержка виртуальных собственных сетей: SmoothWall объединяет виртуальные защищенные сети на основе протоколов IPsec со средствами межсетевого экранирования. Это позволяет осуществлять извне (например, из стационарного удаленного филиала или из произвольной точки маршрута коммивояжера) безопасный доступ к локальной сети по шифруемому туннелю (нестатическая виртуальная собственная IP-сеть поддерживается только в корпоративной редакции).
• Клиент и сервер DHCP: Клиент позволяет межсетевому экрану получать динамический IP-адрес для своего внешнего (в ГВС) интерфейса. Это обычная практика для предоставления Интернет-услуг через абонентские цифровые линии или кабельные модемы. Кроме того, межсетевой экран получает возможность действовать в качестве сервера DHCP для внутренней ЛВС, выдавая IP-адреса в соответствии с предварительно заданной политикой. И снова отметим, что можно, конечно, добавить эти возможности к Iptables, но в результате вы получите две программы, которые придется устанавливать и администрировать отдельно.
• Доступ к межсетевому экрану посредством SSH и web-навигатора: Безопасный доступ средствами командной строки и web-навигатора. Turtle Firewall предоставляет для Iptables web-, но не SSH-доступ. В SmoothWall встроены обе возможности без необходимости устанавливать дополнительное программное обеспечение.
• Сервер-посредник web: Возможность настроить web-посредник так, чтобы доступ ко всем web-сайтам осуществлялся через межсетевой экран. Это обеспечивает определенный уровень web-безопасности, так как любая программа, использующая уязвимости, должна будет выполняться на межсетевом экране, а не на локальной машине. Дальнейшего повышения безопасности можно добиться с помощью опции фильтрации информационного наполнения, доступной от SmoothWall Limited.
• Кэширующий web-сервер: Средство запомнить наиболее популярные web-страницы для замены удаленного доступа локальным, что дает выигрыш во времени и в пропускной способности.
• Обнаружение вторжения: SmoothWall предлагает некоторые базовые сетевые средства обнаружения вторжений.
• Графики и отчеты: SmoothWall позволяет получать простые отчеты о работе межсетевого экрана и генерировать графики на основе этих данных.
• Поддержка дополнительных типов соединений: SmoothWall поддерживает многие типы интерфейсов, включая коммутируемый, кабельный, ADSL, ISDN и Ethernet. При использовании Ipchains некоторые из этих интерфейсов требуют дополнительного программного обеспечения и конфигурирования.

Одним из существенных различий между SmoothWall и упомянутыми выше программами является необходимость функционирования SmoothWall на выделенной машине. При установке межсетевой экран SmoothWall очищает жесткий диск и устанавливает собственную операционную систему. (По сути это урезанная версия Linux с повышенной безопасностью, но для обслуживания SmoothWall вам не нужно ничего о ней знать.) Это означает, что вы не сможете запускать на данной машине другие средства или использовать ее для иных целей (по крайней мере без больших трудностей и потенциальной опасности нарушить работу программного обеспечения SmoothWall). Не всех это устроит, но если вы ищете недорогой и быстрый способ построить готовый к немедленной эксплуатации межсетевой экран с множеством возможностей, то SmoothWall - как раз для вас.

Требования SmoothWall к оборудованию

Выше упоминалось, что SmoothWall должен функционировать на выделенной машине, но, к счастью, требования к ней невелики, так как на ней будет выполняться только программное обеспечение межсетевого экрана. Минимальная конфигурация состоит из ПК с процессором, совместимым с Intel Pentium 200 МГц, ОЗУ 32 МБ и 512 МБ дискового пространства. В качестве более оптимальной конфигурации рекомендуется процессор 500 МГц, ОЗУ 64 МБ и диск 2 ГБ. Этим спецификациям соответствуют все машины, за исключением разве что самых старых. Кроме того, нужен привод компакт-дисков и по крайней мере одна сетевая плата (обычно две, если интерфейсом в ГВС служит Ethernet).