НАСТРОЙКА FIREWALL АЛЕКСАНДР ПРИХОДЬКО Спецвыпуск: Хакер, номер #071, стр. 071-098-1 (SANPRIH@MAIL.RU) Прежде чем начать устанавливать и настраивать «стены», тебе необходимо определиться, на базе какой программы ты это будешь делать. Уже много раз писалось и переписывалось в нашем журнале про способы защиты сети от внешнего вторжения. По большому счету, принцип работы всех «горящих стен» одинаков (я имею в виду программные продукты). При настройке «стены» создаются правила, в соответствии с правилами «стена» либо пропускает пакеты внутрь/наружу твоей сети, либо отбрасывает. Мы рассмотрим построение «стены» на примере программного продукта фирмы Kerio. Достаточно демократичный по цене продукт, обеспечивающий потребности небольшой сети. Если у твоей конторы нет денег на покупку сервера для установки файрвола, то хочу тебя обрадовать - на базе обыкновенного четвертого пня с 512 метрами памяти, ты сможешь построить файрвол, который легко справится с сеткой до 100 машин. Ну, операционку лучше поставить, конечно, серверную. Еще кое-что о приправах. Фирма Kerio написала софтину, которая интегрируется в Active Directory. Это говорит о том, что если установить файрвол на комп, который является членом домена, то при настройке он легко засосет базу данных пользователей. И при создании пользователя в домене, он автоматом получит доступ к инету (при правильной настройке). Однако мы опять вступаем на тонкую стезю религии. Я, например, предпочитаю полностью контролировать все процессы в сети, и поэтому мы сейчас начнем устанавливать файрвол на комп, который не только не является членом домена, но и лежит в совершенно другой группе. При такой постановке вопроса нам придется всех пользователей заводить руками на файрволе. В принципе, нам все равно пришлось бы заводить пользователей отдельно на файрволе, так как продукт фирмы Kerio не дружит с кириллицей, а все пользователи в Active Directory заведены в русской раскладке. Начинаем. Установку операционки пропустим. Дадим имя компьютеру и рабочей группе, куда мы положим комп, одинаковое - FENCE. Так как компьютер затачиваем под файрвол, пристрелим все ненужные сервисы и произведем установку по минимуму. Ничего лишнего нам не нужно. Теперь еще одну штуку мы чуть не забыли. Файрвол имеет две сетевые карты: одна подключена к локальной сети и имеет адрес, который мы указываем всем клиентам, как адрес прокси-сервера, вторая сетевая карта подключена к провайдеру и имеет IP-адрес, выданный тебе провайдером с маской и адресом DNS-сервера. Дабы при настройке файрвола мы не путались в сетевых картах, мы переименуем сетевое подключение, идущее к провайдеру в «Internet Connection», а сетевое подключение, идущее в локальную сеть, оставим с именем по умолчанию «Local Area Connection». Начинаем установку. Как обычно, к нам на помощь спешит визард. Долго жмем на кнопку «Next», пока не попадаем на экран выбора установки. Здесь, конечно, выбираем тип установки «Custom». Далее, если не планируешь использовать через свой файрвол VPN-туннели, можешь сбросить эту галочку. Ну и если на досуге не будешь читать хелп на чешском языке, исключаешь и его при установке. «Next». |