КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Принципы работы межсетевых экранов
|
|
|
|
Теоретическая часть
ФИЛЬТРАЦИЯ ПАКЕТОВ
Примерный перечень вопросов для самостоятельного контроля
Варианты индивидуальных заданий
Табл.3.1. Варианты индивидуальных заданий для настройки NAT.
| № расч. | Адрес локального хоста | Адрес удалённого хоста | Port mapping |
| 1. | 192.168.11.100 | 192.168.11.1 | 1111 —> 22 |
| 2. | 192.168.12.100 | 192.168.12.1 | 2222 —> 22 |
| 3. | 192.168.13.100 | 192.168.13.1 | 3333 —> 22 |
| 4. | 192.168.14.100 | 192.168.14.1 | 4444 —> 22 |
| 5. | 192.168.15.100 | 192.168.15.1 | 5555 —> 22 |
| 6. | 192.168.16.100 | 192.168.16.1 | 6666 —> 22 |
| 7. | 192.168.17.100 | 192.168.17.1 | 7777 —> 22 |
| 8. | 192.168.18.100 | 192.168.18.1 | 8888 —> 22 |
| 9. | 192.168.19.100 | 192.168.19.1 | 9999 —> 22 |
| 10. | 192.168.20.100 | 192.168.20.1 | 1010 —> 22 |
3.2.3. Содержание отчёта
Отчёт о проделанной работе должен содержать следующее:
1. Тема, цель работы, номер варианта и содержание индивидуального задания.
2. Схему собранной сети с указанием ОС и всех IP адресов.
3. Схему прохождения генерируемых в работе пакетов по цепочкам.
4. Алгоритм (последовательность действий) настройки NAT с описанием выполненных действий и команд.
5. Выводы о работе.
1. Что такое NAT и port mapping (опишите общие принципы работы NAT и port mapping)?
2. Какие существуют базовые концепции трансляции адресов?
3. Какие задачи можно решить с использованием NAT?
4. Какие существуют недостатки использования NAT?
5. Что такое NAT Traversal? Какие существуют недостатки у NAT Traversal?
6. Что такое цепь обработки пакетов? Какие существуют таблицы и цепочки (дать краткую характеристику каждой цепочки и таблицы)?
7. Почему действие SNAT используется только в цепочке POSTROUTING?
8. Почему действие DNAT нельзя применять в цепочке POSTROUTING?
9. Влияет ли применение NAT и port mapping на безопасность ЛВС? Почему?
10. Изменится ли контрольная сумма пакета после NAT? Изменится ли контрольная сумма пакета после mapping?
|
|
|
Литература
1. Бруй В.В., Карлов С.В. LINUX-сервер: пошаговые инструкции инсталляции и настройки. – Москва, 2003. – 572 с.
2. Единая система документации ОС МСВС.
3. Интернет-Университет Информационных Технологий. http://www.INTUIT.ru
4. Колисниченко Д.Н. Linux-сервер своими руками. СПб., 2002. – 576с.
5. Мохаммед Д.К. RedHat Linux 6 Server. – Москва, 2001. – 560с.
6. Немет Э., Снайдер Г., Хейн Т.Р. Руководство администратора Linux, 2-е издание. – Москва, 2007. – 1072с.
7. Стахнов А.А. Сетевое администрирование Linux. – СПб., 2004. – 480с.
Цель: приобрести навыки по работе с инструментами, производящими фильтрацию пакетов.
Фильтрацию пакетов производят специальные программные или программно-аппаратные комплексы, называемые файерволами (firewall), межсетевыми экранами (МЭ, МСЭ) или брандмауэрами.
МСЭ (firewall) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения о её распространении в (из) АС.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней и наоборот путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные (рисунок 4.1).
Рис. 4.1 Типовое место МСЭ в сети
Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, данные которого может контролировать межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов – пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).
Работа МСЭ аналогична работе NAT, за исключением выполняемых над пакетом действий, – NAT производит трансляцию адресов, а МСЭ – фильтрацию пакетов, пропуская разрешённые и блокируя запрещённые.
|
|
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 1172; Нарушение авторских прав?; Мы поможем в написании вашей работы!