LXF98:Сравнение
|
|
|
Содержание |
Оболочки брандмауэров
Излишне разъяснять важность обороны от интернет-вторжений. Крис Хауэллс подобрал несколько программ, призванных нас защитить.
Про наш тест…
Тест проводился в системе Kubuntu 7.04 Feisty Fawn, установленной на Lenovo ThinkPad X60s с 1,5 ГБ RAM и 1,66-ГГц процессором Intel Core Duo. Программы сравнивались по следующим критериям:
- Простота Задача такого рода приложения – облегчить настройку брандмауэра. Поэтому программа должна быть
интуитивно-понятной и, желательно,подвластной человеку, плохо представляющему, что такое брандмауэр.
- Документация Столь критичному участку безопасности сети необходима хорошая документация: пользователь
должен знать, на чем зиждется его защищенность. Мы сравнивали документацию программ по детальности, качеству написания и количеству и качеству предоставленных образцов брандмауэров.
- Функционал Сети имеют обыкновение разрастаться, а инструмент должен поспевать за их ростом, обладая запасом необходимых функций.
Любая оболочка должна «уметь» не только составлять элементарные правила iptables, но и настраивать трансляцию адресов, поддерживать маршрутизацию, подсчитывать трафик и многое другое.
Брандмауэр – современный цифровой аналог крепостного рва и подъемного моста: захватчики не пройдут, друзей – милости просим. Это первая линия Интернет-обороны, и очень важно его установить, независимо от масштабов вашей крепости – крупная ли это сеть или одиночная рабочая станция.
Следует признать, что постройка брандмауэра на Linux – далеко не тривиальная задача. Обычно защиту настраивают при помощи инструмента командной строки iptables, причем требуются немалые познания и понимание различных концепций, связанных с данным вопросом, что достигается лишь чтением изрядного количества документации.
Хорошо, что существуют различные оболочки, значительно упрощающие сборку брандмауэров для Linux-машин, взяв на себя многие мелкие, но трудоемкие операции. Такие оболочки бывают двух типов. Полностью графические решения позволяют настроить брандмауэр выбором различных параметров в графическом интерфейсе.
Второй вид оболочек предоставляет вам самостоятельно описать брандмауэр с помощью особого языка программирования, синтаксис которого несколько отличен от традиционных команд iptables. После этого программа настройки брандмауэра конвертирует написанные правила в конфигурацию iptables, которую можно загружать и контролировать, как обычно.
Подобные программы умеют составлять не только простые правила iptables. Технология трансляции адресов (Network Address Translation, NAT) позволяет скрыть многочисленные частные IP-адреса за одним общим IP-адресом (подробности см. http://www.ietf.org/rfc/rfc1918.txt). Вам может также понадобиться помощь в пробросе портов, шейпинге и учете трафика.
В общем, имеете ли вы дело со скромным настольным ПК, или с обширной сетью – найдутся программы, призванные обеспечить вашу безопасность.