Лекции (989962), страница 22
Текст из файла (страница 22)
Правила имеют вид:"через шлюз допускается прохождение пакетов с IP-адресом отправителя 172.18.10.1 (порт 80) и IP-адресомполучателя 192.168.1.1 (порт 21), в четверг с 15.00 до 19.00". Пакеты, не удовлетворяющие правилам фильтрации отбрасываются, а факт их наличия регистрируется в специальном журнале. Поскольку сервисы всети связаны с определенными номерами портов, то закрыв входящие соединения на 23 порт, можно запретить извне управлять компьютерами сегмента по протоколу Telnet, а закрыв исходящие соединения на 80порт можно запретить сотрудникам отдела (сегмента) просматривать Web-страницы.Межсетевые экраны с фильтрацией пакетов просты, и в ряде случаев входят в состав самой операционной системы (например IPChains в OC Linux). Однако межсетевые экраны с фильтрацией пакетовимеют и ряд недостатков:- возможно задавать правила фильтрации по IP-адресам компьютеров, но не по имени пользователя.- подсеть "видна" (маршрутизируется) извне.- при выходе из строя межсетевого экрана подсеть становится незащищенной.Составитель: Ляхевич А.Г., 2000 - 2002 годДля преодоления этих недостатков, в качестве межсетевого экрана используют прокси-сервера (proxyserver).
Прокси-сервер - это сервер посредник. Одно из назначений прокси-сервера - это ускорение работысети, при подключении ее к Internet. Так например, кэширующий прокси-сервер Squid в ОС Linux сохраняетв достаточно большом кэше на диске Web-страницы, просмотренные разными пользователями, так что есликакой-либо пользователь обратится к просмотренной кем-либо ранее странице, то эта страница не будетзаново загружаться через Internet, а будет взята из кэша Squid. Прокси-сервер может использоваться и длясокрытия личности пользователя, путешествующего по Internet.
Для этого пользователь сначала соединяетсяс анонимным прокси-сервером (например в Новой Зеландии), который получает пакеты от пользователя иперенаправляет их дальше от своего имени.Установка прокси-сервера на шлюзе позволяет скрыть структуру подсети от внешней сети иреализовать гибкий межсетевой экран. При запрете продвижения IP-пакетов между интерфейсами шлюза,вся подсеть, с точки зрения внешней сети, представлена только одним IP-адресом – адресом проксисервера. Пользователь внешней сети, который хочет соединиться с компьютером внутри подсети, долженпройти следующую процедуру:• Установить соединение с определенным портом прокси-сервера и указать имя компьютера внутриподсети с которым необходимо соединиться. Для каждого вида сервиса (http, ftp, smtp и т.д.) должнасуществовать своя программа-посредник, "прослушивающая" свой порт. Может существовать и универсальная программа - посредник, обслуживающая несколько сервисов.
Если для какого-то сервиса программы-посредника нет (или она вышла из строя), то данный сервис будет не доступен. При установлении соединения возможно, хотя и не обязательно, проведение аутентификации (подтверждения личности) пользователя по его имени, паролю, IP-адресу. Возможна также регистрация факта и времениподключения в специальном журнале.• Прокси-сервер создает соединение c компьютером внутри подсети, а затем обеспечивает обмен пакетами между внешней сетью и подсетью, подменяя адреса в проходящих через него пакетах. Возможнопротоколирование соединения и фильтрация передаваемых данных (поскольку программа-посредник"понимает" протокол прикладного уровня своего сервиса).Аналогичным образом происходит и соединение подсеть – внешняя сеть.Другой технологией, позволяющей скрыть сеть предприятия, являеется NAT (Network AddressTranslation – трансляция сетевых адресов).
NAT также позволяет компьютерам локальной сети работать сInternet через один IP-адрес. Технология осуществляет подмену IP-адресов отправителя и получателя, впроходящих через шлюз пакетах.Поясним принцип работы NAT на примере. Допустим, имеется локальная сеть из десяти компьютеров.
Все компьютера в сети имеют "серые" адреса 192.168.1.1 – 192.168.1.20, которые изолированы от сетиInternet (не передаются маршрутизаторами Internet) и их не надо согласовывать с InterNIC. На компьютере"А", с IP-адресом 192.168.1.1 имеется модем, сетевой интерфейс которого, при подключении к Internet попротоколу PPP, автоматически получает от провайдера IP-адрес w1.x1.y1.z1. (запись условная). Такимобразом, компьютер "А" имеет два сетевых интерфейса с адресами 192.168.1.1 и w1.x1.y1.z1. и являетсяшлюзом локальная сеть – Internet.IP: w2.x2.y2.z2www.microsoft.comInternetIP: 192.168.1.10Компьютер “Б”Ppp0Сеть192.168.1.0IP: w1.x1.y1.z1ШлюзКомпьютер “А”IP: 192.168.1.1Eth0Рис. Технология NAT.Пусть пользователь компьютера "Б" локальной сети (IP-адрес 192.168.1.10) обращается с помощью Webбраузера Internet Explorer к серверу www.microsoft.com, с IP-адресом w2.x2.y2.z2.
(запись условная).Поскольку IP-адрес w2.x2.y2.z2. не относится к локальной сети, то на шлюз (компьютер "А") будетнаправлен IP-пакет со следующими данными:Составитель: Ляхевич А.Г., 2000 - 2002 год• IP-адрес приемника: w2.x2.y2.z2 (www.microsoft.com)• IP-адрес источника: 192.168.1.10 (компьютер "Б")• Порт приемника: TCP-порт 80(порт сервера Microsoft, протокол http)• Порт источника: TCP-порт 1025 (порт компьютера "Б")Этот IP-пакет перенаправляется протоколу NAT, который преобразовывает адреса исходящего пакетаследующим образом.• IP-адрес приемника: w2.x2.y2.z2 (www.microsoft.com)• IP-адрес источника: w1.x1.y1.z1 (компьютер "А")• Порт приемника: TCP-порт 80(порт сервера Microsoft, протокол http)• Порт источника: TCP-порт 5000 (порт компьютера "А")При этом протокол NAT сохраняет в своей таблице преобразованных адресов запись:"Адрес {192.168.1.10, порт 1025} заменен на адрес {w1.x1.y1.z1, порт 5000}".Преобразованный IP-пакет отправляется по Интернету.
Пакет, посылаемый в ответ на этот пакет,принимается протоколом NAT. Полученный пакет содержит следующие адресные данные.• IP-адрес приемника: w1.x1.y1.z1 (компьютер "А")• IP-адрес источника: w2.x2.y2.z2 (www.microsoft.com)• Порт приемника: TCP-порт 5000 (порт компьютера "А")• Порт источника: TCP-порт 80(порт сервера Microsoft, протокол http)Протокол NAT проверяет свою таблицу преобразованных адресов, после чего делает обратную замену:• IP-адрес приемника: 192.168.1.10 (компьютер "Б")• IP-адрес источника: w2.x2.y2.z2 (www.microsoft.com)• Порт приемника: TCP-порт 1025 (порт компьютера "Б")• Порт источника: TCP-порт 80(порт сервера Microsoft, протокол http)Преобразованный пакет направляется в локальную сеть.Таким образом, протокол NAT подменяет адрес в IP-пакете, передавая его от своего имени, и пользуясьномером порта для того, чтобы "запомнить" какому компьютеру надо будет вернуть ответ на этот пакет.Шлюз не может одновременно создать с одного и того же своего порта два соединения с 80 портом сервераwww.microsoft.com, т.к.
для создания сокета необходимо, чтобы хотя бы один из параметров " IP-адресотправителя, номер порта отправителя" – "IP-адрес получателя, номер порта получателя" у двух сетевыхсоединений не совпадали. Поэтому, если к серверу www.microsoft.com одновременно обратятся двакомпьютера локальной сети, то пакеты одного из них будут отправлены с порта 5000 (как в примере), апакеты другого – будут отправлены, например, с порта 5001. При получении ответа от сервераwww.microsoft.com, пакеты, поступившие на порт 5000, будут переправлены первому компьютеру, а пакеты,поступившие на порт 5001 – второму компьютеру.При использовании NAT возникает следующая проблема: пакеты, содержащие IP-адрес только взаголовке пакета, правильно преобразовываются протоколом NAT, однако пакеты, содержащие IP-адрес вполе данных, могут неправильно преобразовываться при помощи NAT. Например, протокол FTP хранит IPадрес в заголовке FTP для команды FTP PORT. Заголовок FTP, как и любой протокол прикладного уровня,хранится в поле данных IP-пакета.
Если NAT не сможет правильно преобразовать IP-адрес из заголовка FTPи откорректировать поле данных, то могут возникнуть неполадки связи. Для устранения этой проблемысуществуют редакторы NAT, работающие с заголовками прикладных протоколов. Не для всех протоколовнеобходим редактор NAT, например для протокола HTTP он не нужен. В ОС Windows 2000 реализованыредакторы NAT для следующих протоколов: FTP, ICMP, PPTP, NetBIOS через TCP/IP, RPC, Direct Play,H.323, Регистрация ILS на основе LDAP.
Однако для зашифрованного трафика использование редактораNAT не предусмотрено, что следует учитывать при использовании NAT.Составитель: Ляхевич А.Г., 2000 - 2002 годЛекция 4. Расчет корректности конфигурации локальной сети.В данной лекции разговор пойдет о сетях Ethernet и Fast Ethernet, как наиболее распространенных, однаконекоторые из рассмотренных ограничений будут справедливы и в других сетях (естественно, с другимизначениями параметров).4.1. Расчет корректности конфигурации сети Ethernet.Для того, чтобы сеть Ethernet могла функционировать корректно, ее конфигурация должна удовлетворятьопределенным требованиям, которые включают в себя:1) Ограничение на максимальную/минимальную длину кабеля.Основным недостатком любого типа кабеля является затухание сигнала в кабеле.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
