/>/>
Организация безопасностисети предприятия с использованием операционной системы Linux
Вступление
Компьютернаясеть — это система разделенного использования информации, которая заключается,как минимум, из двух компьютеров, которые взаимодействуют между собой. Напервое место становится вопрос о защите информации или своего ПК. Защита одиниз важнейших вопросов, которую рассматривается при настройке ПК. Правильныйподход к защите защитит вас от беды, сохранит час и деньги. Необходимо, чтобызлоумышленные пользователи не могли входить в систему, а данные и службы былидоступны том, кто виноват мать к ним доступ. Поскольку большими сетями трудноуправлять, разбивка сети на меньшие части, может полу как наилучшим средствомдля работы со всей системой. Для каждой системы, которая будет поддаватьсяугрозам, необходимо определить заходи защите, а также средства ихосуществления. Нужно решить, какие части системы важнейшие. Необходимо защищатьслужбы и сами данные.Система может быть атакована разными средствами, и защитакак раз и является значением того, которое может состояться и как этопредотвратить.
Атаки можноразделить на несколько категорий:
Физическиеатаки — могут состояться в любой момент часа, когда кто-то получает физическийдоступ к машине. Физическая атака может заключаться, например, в том, чтокто-то, сидя за файловым сервером, перезагружает машину, копирует вашихначальных кодов.
Атаки наслужбы — бывают разные от закидывания сетевых портов запросами на подключение кзасорению почтовому серверу бесполезными сообщениями. В обоих случаях конечныйрезультат заключается в потому, что законные обращения к службам необрабатываются через те, что атака вызывает проблемы возле самой службы или«Зависает» весь сервер. Организаторов таких атак очень сложно выследить,поскольку для атаки системы используют, как правило, поддельны IP-адреса илиукрадены учетные записи.
Атака направа доступа — когда кто-нибудь пытается получить права доступа или добратьсядо специальных учетных записей пользователей в системе, которыми ему неразрешено пользоваться. Это может быть рассержено пользователь, которыйпытается получить права доступа пользователя root (Администратор), чтобыпритворить неприятности, или же кто-то из внешней сети, которая делает попыткиполучить доступ к файлам. Количество атак можно уменьшить, но Администратор,который заботится о защите, виновной предотвращать появление очевидных дыр взащите.
/>Техническое задание
Есть газетнаяредакция «Интранатер Старра», который будет заниматься разработкой публикацийновостей, как в журналах и газетах, так и в Интернете с помощью своего вебсайта. На предприятии работатет около 70 человек. Из них двое будут следить заработоспособностью сети и компьютеров предприятия.
Цель проекта:
Создатьпроект компьютерной сети предприятия.
Обеспечитьбезопасность данным предприятия. В случае потери данных, сделать возможным ихвоссоздание.
Обеспечитьорганизацию возможностью использования сети Интернет.
Рассчитатьстоимость реализации проекта.
Выходные данык проекту
Редакциярасположатся в трех поверхностному дому. Дом после капитального ремонта, так жев доме была продумана проводка кабелей, зачет двойного пола. План дома приведенв дополнении “A}rdblquote
В доме неустановлены компьютеры.
В каждыйкабинет проведен сетевой кабель тип: «крученная пара».
Так же в домбудут размещаться помещения, в которых не будет установлено никакоговычислительного оборудования (например столовая).
Задание проекту
Спроектироватьлокальную сеть. Подобрать топологию и технологию компьютерной сети.
Выбратьоборудование, поддерживающее эту технологию. Распланировать сетевую адресацию.
Организоватьдоступ к сети Интернет.
Определитьустанавливаемое программного обеспечения на рабочие станции и сервера
Сконфигурироватьсервер безопасности под управлением ОС Linux. Продумать настройку безопасностидля рабочих станций.
Протестироватьсозданную конфигурацию
Выполнитьрасчет стоимости реализации проекта
Общиетребования к проекту.
В процессепроектирования сети здания необходимо выполнить следующие востребования:
Выдержатьпропускную способность от компьютеров от 5 Мбіт/сек до 25 Мбит/сек. к серверам.
Продуматьбезопасность сети предприятия.
Продуматьустановку серверов.
Обеспечитьдоступ к сети Интернета.
РаспределитьИнтернет между работниками, по уровню потребности.
Предусмотретьрост локальной сети.
Разместить впомещениях здания:
— на первомэтаже 3 кабинета: гостиная, кабинет охраны, и кабинет секретарей.
— на 2 этажекабинеты: текстовых редакторов, графических редакторов, информационного отдела,бухгалтерия.
— на третьемэтаже 5 кабинетов: директора, главного бухгалтера, главного редактора,помещения для коммутационного оборудования, библиотека.
/>Анализ существующих решении
Обзорустройств защиты
Существуют несколькоспециализированных устройств защиты. Это могут быть специализированы карты,например, Firewall PCI и 3Com Firewall PC Card, которые инсталлируются встандартные шины PCI или PC Card и используются вместо привычных сетевыхадаптеров Fast Ethernet. Выполнение операций по обеспечению безопасностипередается процессору платы брандмауэра, позволяя увеличить производительностьсистемы. Платы-брандмауэры могут функционировать независимо от операционнойсистемы, установленной на клиентском компьютере, и практически неуязвимые дляатак из Интернета, действий конечного пользователя или злоумышленных программ.
Межсетевойэкран «Цитадель МЕ», версия 2.0
Межсетевойэкран «Цитадель МЕ», версия 2.0, является аппаратно-программнымкомплексом, основанным на платформе Intel Pentium II/III и управляемыйспециально разработанной операционной системой. В типичной конфигурации экран«Цитадель МЕ» имеет 4 интерфейса 10/100BaseTX Ethernet. Возможнаподдержка до 16 интерфейсов Ethernet в одном устройстве. Опциональнойвозможностью является установка интерфейсного модуля WAN (V.35 или X.21),поддерживающего SLIP, PPP, HDLC и Frame Relay. На передней панели комплексарасположен LCD дисплей и диагностические индикаторы. С их помощью можнополучить информацию о диагностике, версиях программного и аппаратногообеспечения, IP адреса, статус, конфигурацию, загрузка интерфейсов и т.д. Этооблегчает диагностику возможных проблем, а также позволяет не техническомуперсоналу обеспечить администратора информацией в случае возникновения проблем.Комплекс «Цитадель МЕ» обеспечивает безопасное, надежное иэкономическая взаимодействие сетей Internet и Intranet благодаря могучему игибкому механизму IP-маршрутизации со встроенными функциями пакетнойфильтрации, механизмом адресной трансляции (NAT) и прикладными шлюзами.Использование платформы Intel Pentium и модульной архитектуры на базе шины PCIзащищает ваши инвестиции, обеспечивая переход к новым технологиям путем заменыинтерфейсных модулей и версии управляючої операционной системы.
Комплексмежсетевого экранирования «фпсу-ip»
Программно-аппаратныйкомплекс ФПСУ-IP есть одновременно и организатором VPNs (виртуальных частныхсетей) для информационных систем использующих стек протоколов TCP/IP. Имеетвысокие характеристики производительности (в том числе за счет эффективнойреализации проходного сжатия данных), которые выдвинули данный комплекс вразряд самих передовых решений как по отношению к отечественным, так иимпортным продуктам в области VPNs-организаторов.
Если длядругих средств организации VPNs, выполненных на основе типичных алгоритмов(например, протокол SKIP) характерное достаточно существенное снижение скоростиIP-взаимодействий за счет введения избыточности в каждый передач пакет, то приупотреблении комплекса «ФПСУ-IP» обеспечивается минимальная избыточностьпередаваемой информации, которая обеспечивает даже прирост скорости передачиIP-потоков.
Cisco Pix Firewall
Продуктысерии Cisco PIX
Аппаратнымрешением проблемы обеспечения сетевой безопасности являются продукты серииCisco PIX (Private Internet eXchange). Программное обеспечение Cisco PIXявляется собственной разработкой компании Cisco Systems и не основано накаких-либо клонах Unix, что позволило обойтись минимальными востребованиями кдисковой (в Cisco PIX вместо дисковых накопителей используется флэш-пам'ять) иоперативной памяти, а употребление уникального алгоритма ASA (Adaptive SecurityAlgorithm) обеспечило производительность свыше 64000 одновременные сессии,какая недосягаемая на сегодняшний момент ни одним из брандмауэров на базе Unixили Windows NT.
Возможности:
защита наоснове технологии контроля заключается защита сетевых соединений, позволяетограничить неавторизованных пользователей от доступа к сетевым ресурсам
технологияперехвата соединений на прикладном уровне позволяет обеспечить аутентификациюпользователей с использованием стандартных протоколов TACACS+ и RADIUS
поддерживаетбольше 16,000 одновременных соединений
удобный ипростой менеджер межсетевых экранов обеспечивает легкое администрированиенескольких межсетевых экранов PIX
поддержкапротокола Point-to-Point Tunneling Protocol (PPTP) компании микрософтвер дляреализации виртуальных корпоративных сетей (VPN)
поддержкапротокола Oracle SQL*Net для защиты дополнений клиент/сервер
командныйинтерфейс, свойственный CISCO IOS системе
высокаянадежность благодаря возможности дублирования и горячего резерва
трансляциясетевых адреса (NAT) согласно RFC 1631
трансляцияпортов (PAT) позволяет расширить пул адреса компании — через одну IP адресуможно отображать 64000 адреса (16,384 одновременно)
псевдонимысетевых адреса позволяют отобразить IP адреса, которые перекрываются, в одноадресное пространство
длязарегистрированных IP адреса можно отменить режим трансляции адреса, чтопозволяет пользователям использовать их настоящие адреса
прозрачнаяподдержка всех распространенных TCP/IP сервисов — WWW, FTP, Telnet и вторые
поддержкамультимедийных типов данных с использованием трансляции адреса и без нее,включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, WhitePines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft'sNetShow, VXtreme's Web Theater 2
поддержкадополнений для работы с видеоконференциями, совместимыми из H.323спецификацией, включая Internet Video Phone (Intel) и NetMeeting
возможностьфильтрации потенциально опасных Java апплетов
защищенасистема реального часа
поддержканескольких уровней входа в систему
поддержкапрерываний (trap) SNMP протокола
сбор аудитачерез syslog утилиту
поддержкаManagement Information Base (MIB) для syslog
аудитиспользования URL и обменов по FTP протоколе
поддержкаудаленного вызова процедур (RPC)
программаконтроля почтового траффика позволяет отказаться от размещения внешнегопочтового серверу в демилитаризованной зоне (DMZ)
защита от SYNатак защищает хост от атак типа «отказ в обслуживании»
трансляцияNETBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов
Криптомаршрутизатор
Криптомаршрутизатор(КМ.), является комплексом программно технических средств, который обеспечиваетзащищенную передачу IP-потоков данных в internet/intranet-мережах ипредназначенный для защиты данных Пользователя, которые содержат закрытуюинформацию.
КМ. являетсяузлом криптографической обработки данных в IP-сетях и обеспечивает приемданных, которые отправляются Пользователями, которые работают на одной израбочих станций (РС) ЛВС, шифровки этих данных и их защищенную передачу черезоткрытую IP-сеть на аналогичный КМ., который выполняет расшифрование принятыхданных и их доставку Пользователю-получателю, который работает на РС ЛВС.
Передачаданных осуществляется криптомаршрутизатором по выделенным или коммутированнымтелефонным каналам связи согласно протоколам PPP, SLIP или CSLIP, а также поканалам ЛВС (по протоколе TCP/IP) и каналах сетей пакетной коммутации данных всоответствии с Рекомендациями X.25 ITU-T.
Криптомаршрутизаторобеспечивает шифровку потоков проходячих через него данных в соответствии спротоколом IPSec v.4, что позволяет скрыть на участке открытой IP-сетиинформацию о настоящих субъектах обмена и прикладных протоколах Пользователя,которые используются ими.
Linux Firewall
IP Firewall(ядра 2.0)
Первоепоколение IP firewall для Linux появилось в ядре 1.1. Это была версия BSD ipfwfirewall для Linux (автор Alan Сох). Поддержка firewall другого поколенияпоявилась в ядрах 2.0 (авторы Jos Vos, Pauline Middelink и другие) и с этогомомента стало возможным реально работать из firewall в Linux.
IP FirewallChains (ядра 2.2)
Большинствоаспектов Linux развиваются, чтобы удовлетворить запить пользователей, которыеувеличиваются. IP не firewall исключения. Традиционная версия IP firewallпрекрасна для большинства прикладных программ, но может быть неэффективный,чтобы конфигурировать сложные среды. Чтобы решить эту проблему, был разработанновый метод конфигурации IP firewall и связанных свойств. Этот новый метод былназван «IP Firewall Chains» и был впервые выпущен для общегоиспользования в ядре Linux 2.2. 0.
IP FirewallChains разработан Paul Russell и Michael Neuling. Paul описав IP FirewallChains в IPCHAINS-HOWTO.
IP FirewallChains позволяет Вам разрабатывать классы правил firewall, к которым Вы можетепотом добавлять и удалять компьютеры или сети. Такой подход может улучшатьэффективность firewall в конфигурациях, у которых есть большое количествоправил.
IP FirewallChains поддерживается серией ядер 2.2 и доступный как патч для серии 2.0. *ядер. HOWTO описывает, где получить патч и дает большое количество полезныхсоветов относительно того, как использовать утилиту конфигурации ipchains.
Netfilter итаблицы IP (ядра 2.4)
Приразработке IP Firewall Chains, Paul Russell решил, что IP firewall виноватпроще. Он, став совершенствовать код фильтра и создал пакет, который оказалсямного проще и более могуче. Это netfilter.
Так, что былонеправильно из IP chains? Они значительно улучшили эффективность и управление правиламиfirewall. Али они все одно обрабатывали пакеты очень длинным путем, особенное всвязке с другими возможностями firewall, например, IP masquerade и другимиформами трансляции адреса. Часть этой проблемы существовала потому, что IPmasquerade (маскировка IP) и Network Address Translation (сетевая трансляцияадреса) были разработаны независимо от IP firewall и интегрированы у негопозже.
Однако былидругие проблемы. В частности, набор правил input описывал весь входной потокуровня IP как одно целое. Этот набор влиял как на пакеты, которые предназначеныдля этого компьютера, так и на те, которые будут переданы им дальше. Это былонеправильно потому, что такой подход попутав функцию цепочки input с функциейцепочки forward, который применялся только к вытекающим пакетам. Возникаливесьма замысловатые конфигурации для разной обработки входных и транслируемыхпакетов.
Еще однойпроблемой было те, что механизм фильтрации находился прямо в ядре системы, иизменить логику его работы было невозможно без коренной перебоязкі всего ядра.Так возник netfilter, который позволяет встраивать в ядро дополнительные модулис другой логикой фильтрации и имеет более простую схему настройки.
Ключевымиотличиями стало удаление из ядра кода для маскировки IP то изменение в логикеработы наборов правил input и output. Появился новый расширяемый инструментконфигурации iptables.
В IP chainsнабор правил input применяется ко всем пакетам, полученным компьютером,независимо от того, назначены ли они для локального компьютера или направленына другой компьютер. В netfilter набор правил input применяется только кпакетам, предназначенным для локального компьютера. Цепочка forward теперьприменяется исключительно к пакетам, предназначенным для передачи другомукомпьютеру. В IP Сhains набор правил output применяется ко всем пакетам,вытекающим из компьютера, независимо от того, сгенерировали ли они на локальномкомпьютере. В netfilter этот набор применяется только к пакетам, которыесгенерировали на этом компьютере, и не применяется к пакетам, проходячимтранзитом. Это изменение резко упростило настройку.
Еще однойновостью стало вынесение компонентов работы с маскировкой IP в отдельные модулиядра. Они были переписаны как модули netfilter.
Рассмотримслучай конфигурации, в которой по умолчанию для input, forward и output заданастратегия deny. В IP chains для пропуска всех пакетов было бы нужно шестьправил.
В netfilterэта сложность исчезает полностью. Для сервисов, которые должны проходить черезfirewall, но не завершаются на локальном компьютере, нужные только два правила:в одиночку для прямого и обратного прохода в наборе правил forward.
Обоснованиевыбора программного обеспечения
Таблица № 2.1
Выборпрограммного обеспеченияЧто запускаются ПО Выбрана ОС
GNOME
net filter
А patch Server
FTP Server
DHCP Server
Mysql Server
Dr web Linux: Suse
GNOME
NFS,Firefox
Open Office(Write, Math
Calc, Draw...)
Gimp, Dr Web
C++
Base Date client
XPDF (PDF Viewer)
Samba. Linux: Suse 3d Max 7,Adobe Photoshop, Corel Draw, AutoCAD,Macromedia Flash. Windows XP sp2 eng; /> /> />
Для удобствакомпьютеры разделены по группам (группа создается по комплектущим компьютера) ио маркированных:
1) OPC(Office Personal Computer) Server / n
OPC WS(WorkStation) /n
OPCGWS(Graphical Work Station) /n
n — это номеркомпьютера.
Вместе 3группы OPC Server /n, OPC WS/n, OPC GWS/n
Для серверови рабочих станций был выбран Linux: Suse.
SUSE былвыбран потому что:
Linuxявляется бесплатной ОС
Linux: Suse относительноновый дистрибутив. Fedora — это продолжение знаменитого Linux: RED HAT.
В дистрибутиввходят такие программы как веб Сервер А patch 2, FTP сервер, Open office(аналог MS Office XP), Samba (помогает взаимодействовать Linux из Windows черезлокальную сеть), GIMP(аналог PhotoShop), а также другие полезные программы.
УстанавливаяLinux, снижается процент заражения вирусом и потери данных, поскольку насегодняшний день вирусы в основном пишутся для ОС Windows.
Али все такиодним линуксом не обойтись. Редакции нужны рабочие станций для работы сграфикой. Для этих целей была выбрана операционная система MS Windows XP SP1.MSWindows XP SP1 добре себе зарекомендовал в работе. В нем совмещаются такиепонятия как: стабильность, надежность, безопасность да и он может работать скоммерческой продукцией такой, как Photo Shop, 3d max, Corel Draw и другимипрограммами.
/>
Теоретическиеосновы проектирования локальных сетей
Припроектировании сети необходимо собрать данные о структуре организации. Этиданные должны включать информацию о заключается организацию, методахуправления, планируемом росте, офисных системах, а так именно мнение членоврабочего персонала. Необходимо узнать, кто в данной организации владеет полномочиямина назначение имен, установлении адресации, установку конфигурации ипланирование топологии. Нужно документально зафиксировать существующиеаппаратное и программное обеспечения организации.
Передразработкой сети и установкой аппаратного обеспечения следует определить всеисточники данных и параметры, которые необходимо установить для них. Необходимоиспытать дополнения, которые могут вызывать в сети проблемы, связанные спередачей данных. До заданий, которые могут привести к перегрузке сети, относятся:
— передачаизображения и видеоинформации;
— доступ кцентральной базе;
— загрузкапрограммного обеспечения из удаленного серверу;
— доступ кInternet и другие.
Еще однойзадачей является оценка востребований пользователей. Необходимо принятьсоответствующие действия для удовлетворения информационных востребованийорганизации и ее работников.
Отметка изадание проектирования.
Нам нужнообнаружить цели и задачи, которые стоять перед нами. Для того, чтобы вдальнейшем, мы не столкнутся с проблемой, а для чего это нам нужно, и что мыделаем.
Основные этапы проектирования ЛС
Функции иразмещения серверов.
Проектированиесети розбивается на две части.
Первая частьописывает физическое проектирование сети.
Вторая частьописывает программное проектирование сети.
Документированиефизической и логической структуры сети.
Выбор топологии
Для того,чтобы соединить ПК нашей ЛС нам нужно выбрать топологию подключениякомпьютеров. Одно из наивысших положений в современной индустрии занимаетзвездообразная топология физического соединения. Эта топология обеспечиваетпростоту обслуживания и высокую надежность сети.
Термин «топология»,или «топология сети», характеризует физическое расположение компьютеров,кабелей и других компонентов сети.
Топологиясети обслуживает ее характеристики. В частности, выбор той или другой топологиивлияет:
— на составсетевого оборудования;
— характеристики сетевого оборудования;
— возможностирасширения сети;
— способуправления сетью.
Чтобысовместно использовать ресурсы или выполнять другие сетевые задачи, компьютерыдолжны быть подключенные друг к другу. Для этой цели в большинстве используетсякабель.
Однако простоподключить компьютер к кабелю, который соединяет другие компьютеры, недостаточно. Разные типы кабелей в сочетании с разной сетевой платой, сетевымиоперационными системами и другими компонентами требуют и разного взаимногорасположения компьютеров. Все сети строятся на базовых топологий: Шина, Кольцо,Звезда.
Функции серверов
Откомпьютерных сетей нужный, обеспечение взаимодействия ПК между собой,возможности доступа к ресурсам всех компьютеров, соединенных в сеть.
Длястабильной и качественной работы сети, нужно правильно подобрать, установить инастроить аппаратные и программные средства.
Одноранговыесети и сети на основе серверу объединяет общая отметка — разделение ресурсов.
Нам нужноопределить, нужные нам сервера или можно без них построить нашу сеть.
Пример: длясекретарей повиннен быть доступ к Интернету только для электронной почты, длябухгалтерии — доступ к подключению к удаленной базе данных, у директора полныйбыть доступ к Интернету. Для этого нужно установить сервер, который будетразделять права между пользователями ЛС. Серверы можно разделить на два класса
Серверрабочей группы обслуживает определенную группу пользователей и предлагает имтакие службы, как обработка текстов или совместимый доступ к файлам. Серверырабочих групп следует размещать в промежуточных распределительных станциях(ПРС), по возможности ближе к пользователям, которые используют дополнения этихсерверов. \
Серверорганизации поддерживает всех пользователей сети, предоставляя им разныеслужбы, такие как электронная почта или DNS.
Серверыорганизации должны размещаться в главной распределительной станции (ГРС). Вэтом случае потек данных будет идти только к ГРС, не проходя через остальныхсегментов сети.
Длякорректной работы нашего предприятия нужно 3 вида серверов: файловый, Интернет,сервер управления учетными записями. Али не значат, что нам нужно 3 компьютера,которые будут делать эти три функций. В зависимости от размеров сети нашегопредприятия мы будем давать оценку, сколько компьютеров серверов нампонадобится для корректной работы ЛС. Чем больше сеть, тем более серверов намможет понадобиться для ее корректной работы. Но лишь грамотное деление заданийсерверов между собой может гарантировать качественную работа способность сети.
Файловыйсервер
Файловыйсервер помогает беречь информацию предприятия нескольких ПК в одном месте. Чтопозволяет увеличить безпечу. Потому, что если информация будет разбросана повсему предприятию, тогда ее будет намного сложнее защитить от не нужных глаз Защитить1 ПК (сервер) намного легче, чем 10-30 ПК предприятия.
Сервер доступак Интернету
Сервердоступа к Интернету позволяет исполнителям предприятия получать доступ к сетиИнтернет. Он имеет связь с постановщиком услуг через модем, сетевую карточкуили другие виды подключений. Он виноват следить за тем, чтобы пакеты с вреднойинформацией для нашей сети не попадали из Глобальной Сети «Интернет».
Серверуправления ЛС — этот вид серверу управляет учетными записями, адресами ПК сетии размещения серверов рабочей группы.
При созданииструктурированной кабельной системы выделяют следующие элементы:
— телекоммуникационные монтажные шкафы;
— магистральнаякабельная система;
— помещениедля оборудования;
— рабочиеобласти и входные средства.
Кабельнаясистема.
Кабельнаясистема включает сетевую среду передачи данных, телекоммуникационную розеткуили разъем, коммутационные шнуры в монтажном шкафу и механические неразъемныесоединения.
Длягоризонтальной кабельной системы чаще применяется не экранированная крученнаяпара (UTP, спецификация 10 Base T) категорий 5 или 5е, широко используется вЛВС, поскольку она обеспечивает поддержку современных высокоскоростныхтехнологий передачи данных. Максимальная долгота сегмента составляет 100 м (328футов). Существует несколько спецификаций, которые регулируют количество витковна единицу длины, — в зависимости от назначения кабеля.
Неэкранирована крученная пара определенная в особенном стандарте EIA/TIA 568 — наоснове UTP со стандартами для разных случаев, гарантируя однообразие продукции.UTP 5 — это кабель, способный передавать данные со скоростью до 100 Мбит/с.состоит из четырех витых пар медного провода.
Для созданиясоединения UTP -5 виновный использоваться разъем гнезда типа RJ-45.
Для того,чтобы построить развитую кабельную систему и у той же время упростить роботу сней поможет ряд очень полезных компонентов:
— распределительные стойки и полки — предназначенные для монтажа кабеля. Онипозволяют, централизовано организовать множество соединений и при этом занимаетдостаточно мало места.
— коммутационные панели (patch panels).Існують разные типы панелей расширения.Они поддерживают до 96 портов та скорость передачи до 100 Мбит/с.
— соединители. Одинарные или двойные RJ-45 подключаются к панелям расширения илинастенных розеток. Они обеспечивают скорость передачи до 100 Мбит/с.
— настенныерозетки. К настенным розеткам можно подключить два (и более) соединителя.
Следуетизбегать растягивания, больших изгибов кабеля и огибания углов. Рекомендуетсяоставлять небольшой запас кабеля из обоих концов, для возможного увеличениярасстояния, например, при перекомутації.
Послеустановки кабелей необходимо оформить схему прокладки отрезков кабелей. На этойсхеме также указываются номера помещений, куда проложены кабели. СтандартEIA/TIA требует, чтобы кожному физическому соединению был присвоен уникальныйидентификатор, который виноват быть указанный на кожном физическом краевомблоке или на прикрепленной к нему этикетке.
Магистральнаякабельная система соединяет помещение для коммутационного оборудования. Онавключает отрезки магистрального кабеля, главные и промежуточноекросс-соединение и коммутационные шнуры, которые используются для кроссированиякабелей магистрального канала.
Длямагистральной кабельной системы может использоваться коаксиальный кабель,экранированная и не экранированная крутінь пары, а также многомодовыйоптоволоконный кабель. В основном чаще всех используют віту пару, поскольку онане дорога, поддерживает технологий Ethernet, Fast ethernet и Gygabite Ethernet,надежная в использовании. В случаи обрыва кабеля будет легко обнаружить поломку.
Инфраструктуралокальной сети отвечает стандартам EIA/TIA и основывается на Ethernet коммутации,которая позволить перейти на высшие скорости без изменения физической схемысоединений.
Установкакоммутационного оборудования
Послепрокладки кабелей горизонтальной кабельной системы необходимо сделатьсоединение в помещении для коммутационного оборудования. Оборудование, котороенаходится в этом помещении включает коммутаторов, маршрутизаторы,коммутационные панели и концентраторы.
Помещения длякоммутационного оборудования отвечают стандарту EIA/TIA — они достаточнобольшие, поскольку в будущем возможен рост локальной сети учебной залогу.
Место,выбранное для коммутационного оборудования, отвечает всем востребованиям кэлектропитанию, отоплению, вентиляции. Кроме того, место надежно защищенно отнесанкционированного доступа и отвечает норме всем техники безопасности.
Резервнымпитанием обеспечен каждый сервер, который стоит в сети, а также все сетевыеустройства таковы, как коммутаторы, маршрутизаторы и концентраторы. Для защитыот электропрепятствований и перебоев в электропитании используются источникибесперебойного питания.
Коммутационныепанели
Коммутационныепанели являются устройством для между соединений, с помощью которого отрезкикабелей горизонтальной подсистемы подключаются к сетевым устройствам, таким, какконцентраторы, маршрутизаторы и коммутаторы.
Коммутационныепанели могут устанавливаться или на стену, или в распределенные стойки, или вшкафы, оборудованные внутренними стойками. Наиболее часто для установкикоммутационных панелей используются распределенные стойки, которые обеспечиваютлегкий доступ к оборудованию и из передней и задней панели. Стандартная ширинастоек 19”, а высоты может составлять 39” — 74”.
Кабели вкоммутационной панели необходимо заключать в порядке роста их номеров, которыебыли присвоены им при прокладке от рабочей области к помещению длякоммутационного оборудования. Подобная укладка кабеля позволяет легкодиагностировать и локализовать проблемы.
Технологиилокальной сети
Самойпопулярной технологией локальных сетей является Ethernet. Эта технологияиспользует для обмена данными между сетевыми устройствами метод доступа CSMA/CDи обеспечивает передачу данных со скоростью до 100 Мбит/с.
Существуетнесколько физических стандартов технологии Ethernet, самым популярным из ихявляется 10 BASE-T. Сети стандарта 10 BASE-T имеют звездообразную топологию ииспользуют в качестве физическая среда передачи данных кабель UTP-3-5категорий.
Самымпопулярным стандартом физического уровня сетей Fast Ethernet, есть 100Base-тх,используя в качестве физическая среда передачи данных кабель UTP-5 категории, и100Base-Fх, использующий многомодовое оптоволокно.
В сетяхоснованных на крученный пари можно использовать разные нестандартные проводники,которые позволяют получить новые характеристики и свойства сети. 1000 мегабітнисети — это последующий кабель эволюции сетей на крученный пари. В отличии от 10- 100 мегабітних сетей, в которых используются только 4 проводника с 8, пригигабитном соединении задействованни все 8 проводників. С использованиемсоответсвующего встаткування сетевых карт и коммутатора с поддержкойгигабитного соединения. Скорость передачи данных составляет порядку 80-100мегабайт в секунду что как правило значительно превышает потоки передачи данныхжестких дисков (40-60 мегабайт/сек) установленных в домашние системы.
Наэффективность работы локальных сетей Ethernet негативно влияют следующиефакторы:
— широковещательный характер передачи кадров данных;
— увеличениезадержки распространения кадров при использовании сетевых устройств;
— увеличениечисла коллизий, а, следовательно, и уменьшение пропуской способности сети иростом числа станций в сети;
— методдоступа CSMA/CD, который позволяет одновременно передавать данные лишь однойстанции;
Теориясегментации сети
Назначениеустройств 2-го уровня заключается в обеспечении управления потоком данных, ввыявлении и коррекции ошибок и уменьшении перегрузок сети. На этом уровнеработают такие устройства, как сетевые адаптеры, мосты и коммутаторы.Устройства этого уровня определяют размеры коллизионных доменов. Большой размерколлизионного домена негативно влияет на эффективность работы сети. Используямосты и коммутаторов, можно сегментировать украшаю узором, уменьшив размер коллизионногодомена.
Дляопределения размеров коллизионного домена необходимо знать, сколько хостовфизически подключено к одному порту коммутатора. При микро сегментации размерколлизионного домена ровен двум (порт коммутатора и, например, порт рабочейстанции). В случае использования концентраторов, несколько компьютеровподключаются к одному порту коммутатора, образуют коллизионный домен и делятмежду собой полосу пропускания.
/>Проектирование локальнойсети
Выбортопологии. Для того, чтобы выбрать нужную топологию, я проанализировал 3основные вида
такие какзвезда, кольцо и шина(описание которых находится в разделе «Теоретическая частьпроектирования ЛС > Выбор Топологии»). Я выбрал топологию звезда, посколькуона имеет больше плюсов над всеми другими топологиями. Например, возьмемтопологию шина, в случаи выхода из строя одного фрагмента кабеля, из строявыйдет вся сеть предприятия. Но если сеть относительно большая, то обнаружитьтакой фрагмент будет достаточно трудно. К тому же шина использует коаксиальныйкабель, который может передавать информацию со скоростью 10мб/с максимум(ethernet). При этом нельзя в сеть ставить больше 10 ПК, если ставить больше — скорость значительно упадет. В топологии звезда при выходе из строя одногофрагменту, с сетью ни чего не случится. Увеличивается скорость за счет того,что применяются более новые технологий, такие как Fast Ethernet, GygabiteEthernet, которые на сегодняшний день стали доступны по цене и по качеству работы.
Технологиякомпьютерной сети
Для нашейсети были избраны две технологии: Fast Ethernet и Gygabite Ethernet(1000BASE-T). Они будут реализовываться на крученный паре категории 5Е.
ТехнологияEthernet уже давно используется в локальных сетях и зарекомендовала себя изкрасивой стороны. В случае, если будет нужно перейти из технологий FastEthernet на Gigabyte Ethernet, нужно только поменять коммутаторов Fast Ethernetна коммутаторов с поддержкой Gigabyte Ethernet и переобжати кабель длятехнологий 1000 BASE-T. Технология Fast Ethernet будет использоваться длясоединения рабочих станций в большинстве кабинетов. А Gigabyte Ethernet будетиспользоваться для соединения серверов, и в кабинете графических редакторов.Позволят быстро пересылать объемные видео материалы с очень большой скоростью.
Размещениерабочих станций
I этаж.
В гостинойразмещается 7 рабочих станций.
В кабинетеохраны — 3 рабочих станций
Секретари — 6рабочих станций.
Комната скоммутационным оборудованием.
II этаж
Кабинетграфической редакции — 10 рабочих станций.
Кабинеттекстовой редакций — 10 рабочих станций.
Винформационный отдел — 5 рабочих станций.
Кабинетбухгалтерии — 5 рабочих станций.
Коммутационнаякомната
III этаж
Кабинетдиректора — 2 рабочих станций.
Библиотека — 15 рабочих станций.
КабинетГлавного редактора — 1 робочая станция.
КабинетГлавного бухгалтера — 1 рабочих станция.
ГРС
Все в зданииустановлено 65 рабочих станций.
Размещениесерверов. Короткое описание
Файловыйсервер, будет установлен в комутаційной комнате на третьему этажу.
Он будетберечь данные предприятия.
ИнтернетСервер будет установлен в ГРС. На нем будет установленные и настроена программамаршрутизатор (Firewall), которая будут разделять сеть предприятия от сетиИнтернет, том самим, оберегая нашу сеть от вирусов из Интернета.
Домен,который также является маршрутизатором сети предприятия будет установлен в ПРС(второй этаж). Он будет управлять сетью предприятия, разбивая ее на под сети,записывать в журнал отчеты о труде предприятия. Так именно будет беречь учетныезаписи пользователей предприятия.
Все в зданииустановлено 3 сервера.
Созданиеструктурированной кабельной системы
I этаж.
Гостеваякомната — компьютеры соединены по топологию «звезда». От каждой рабочей станцииидет кабель “витая пара” к switch 11.Switch 11 соединяет этот кабинет из switchS1, который соединяет этаж с сервером “Diplom”.
Кабинетохраны- рабочие станции соединяются с помощью Switch 13. Switch 13 соединенныйс главным switch “S1”.
Рабочиестанции секретарей соединены из switch 12 рабочих станций.
В комнате скоммутационным оборудованием №1 установлен switch S1, который объединяет первыйэтаж и соединяет из коммутационной комнатой №2, какая расположена на другомэтаже.
II этаж
Кабинетграфической редакции — рабочие станции присоединены к switch 24,25.Switch 24,25не соединенные между собой. Для того, что бы увеличить скорость передачи данныхSwitch 24,25 подключается к Switch S3 отдельными кабелями. Switch 24 имеетсоединение с Switch S3 и четырьмя рабочими станциями. Switch 25 имеетподключение с Switch S3 и шестью рабочими. станциями. Это позволить намувеличить скорость между рабочимі станциями графического отділу и серверамісети.
Кабинеттекстовой редакций в нем установлено 2 хаба на 8 портов, которые помогаютсоединить все компьютеры в сетью и соединить их с сервером. Первый хаб называетсяswitch 21, а второй switch 22.
Винформационный отдел 5 рабочих станций подключаются к Switch 23.
Кабинетбухгалтерии — 5 рабочих станций подключаются к Switch 24
В комнате длякоммутацоного обладнення установлено Switch S2,S1 Server “Diplom”. Switch S2нужен, для того, чтобы соединять кабинет текстовой редакции, информационныйотдел и бухгалтерию. Switch S2 нужен для подключения кабинета графическойредакции и серверу.
III этаж.
Общее
В зданиепрокладка кабеля между кабинетами и серверами будет проходить по потолки.Внутри кабинетов кабель будет проходить между полом. Коммутационноеоборудование кабинетов будет устанавливаться в специальных шкафах, чтобы к нимне было несанкционированного доступа.
Помещение дляоборудования
Помещения длякоммутационного оборудования будут оснащены стабилизаторами энергий, подведенорезервное питание от генератора, чтобы в случаи отключения энергий сервераработали в нормальном режиме. На дверях будет установлен уникальный замок, длятого, что бы к серверам не было физического доступа для тіх кто не имеет на этоправ.
Магистральнаякабельная система
Все кабелюбудут прохолить между полом и накладным полом. Позволят нам спрятать кабель отпосторонних глаз, физических повреждений и т.д.
Между этажамикабель будет проходить через спецальный тоннель. Тоннель представляет из себятрубу Ш 10 см. Это нам позволит легко добавлять или замещать магистральныекабели.
Проектированиесетевой адресации
В таблице IPадреса указанны диапазоны адреса с ранетом расширения предприятия.
Таблица № 5.1
Разбиение насети и адресаСеть Описание 20.34.34.0 Для соединения с провайдером 192. 168.1. 0 Для серверов предприятия(2) 192. 168.2. 0 Для рабочих станций предприятия IP адресация IP-Address Описание 10.42.32.12 Proxy Cash Server (Провайдер)
192.168.1.1
192.168.2.1
10.42.0.10
Сервер безопасности,Web server, Файловый сервер
OPC Serv/2 192. 168.1.2 Контролер домена, Файловой Сервер, Mysql Server 192.168.2.12-192.168.2.32 Секретари 192.168.2.33-192.168.2.53 Библиотека 192.168.2.54-192.168.2.64 Информационный отдел 192.168.2.65-192.168.2.75 Охрана 192.168.2.100-192.168.2.115 Администрация предприятия 192.168.2.116-192.168.2.136 Бухгалтера 192.168.2.137-192.168.2.200 Редакция
Для серверовбыли, зарезервировал первых 10 адресsd в каждой сети. В первых, у серверовдолжны быть статические IP адреса, для того что бы каждая рабочая станция использоваласервер для использования функций ЛС. К примеру, таких как доступ к Интернет илик базе данных. Во второе, было сделано для того, что бы эти адреса можно былоспокойно назначать в случаи с расширением серверов.
Для каждойгруппы работников были выделены диапазоны адресов с учетом расширения сети.Например, для охраны выделено 10 адресов, хотя реально используется три адреса.
Но построениесети, это не только IP адреса. Нам так именно понадобится и оборудование,благодаря которому мы сможем реализовать нашу сеть
Документацияна кабельные трассы
В этойтаблице указаны магистральные соединения и соединения между рабочимипомещениями и магистралью.
Switch n-маркировка коммутаторов, которые устанавливаются в рабочих помещениях.
S n — маркировка коммутаторов, которые используются в магистральных соединениях
Индефикаторкабеля в таблице указывается I — J -T:
I — это номерэтажа.
J — это номеркабинета.
T — этономер, который используется, в том случаи, когда из одного кабинета идет дваили больше соединений.
В соединенияхмежду серверами указывается:
I — это номерэтажа.
J — этоуникальный номер или сокращено имя серверу или оборудование.
Таблица 5.2
МАРКИРОВКАКАБЕЛЯСоединение Идентификатор кабеля Кросс соединения Тип кабеля Заключается Первый Этаж Switch 11-S1 1-1-0 Горизонтальный кросс соединения 1.1/порт 1 UTP5e используется Switch 12-S1 1-2-0 Горизонтальный кросс соединения 1.2/порт 2 UTP5e используется Switch 13-S1 1-3-0 Горизонтальный кросс соединения 1.3. 3/порт 3 UTP5e Используется Этаж 2 Switch 21 – Switch 22 2-1-0 Горизонтальный кросс соединения 2.1/порт 1 UTP5e используется Switch 22 –S2 2-1-1 Горизонтальный кросс соединения 2.1/порт 1 UTP5e используется
Switch 23 -
Switch 24 2-2-3 Горизонтальный кросс соединения 6/порт 6 UTP5e используется
/>Системы защиты подуправленнием ОС Linux
Установка иНастройка Firewall
Чтобызапустить Linux IP firewall, нужно построить ядро с поддержкой IP firewall исоответствующие конфигурационные утилиты. В ядрах к серии 2.2, нужноиспользовать утилиту ipfwadm. Ядра 2.2.x имеют третье поколение IP firewall дляLinux, называемое IP Chains. IP chains использует программу ipchains. ЯдраLinux 2.3.15 и старше поддерживают четвертое поколение Linux IP firewall:netfilter. Код пакета netfilter результат больших изменений потока обработкипакетов в Linux. netfilter обеспечивает обратную совместимость из ipfwadm иipchains. Настраивается эта версия командой iptables. Настройка ядра для IPFirewall
Ядро Linuxнужно настроить в поддержку IP firewall. Для этого нужно просто указать параметрыпри настройке ядра, например, командой make menuconfig. И выбрать следующихопций
Networkingoptions -і->
[*] Networkfirewalls
[*] TCP/IPnetworking
[*] IP:firewalling
[*] IP:firewall packet logging
В ядрах серий2.4.0 и старше нужно выбрать намного больше опций:
Networkingoptions -і->
[*] Networkpacket filtering (replaces ipchains)
IP: NetfilterConfiguration -і->
Userspace queueing via NETLINK (EXPERIMENTAL)
IPtables support (required for filtering/masq/NAT)
limitmatch support
MACaddress match support
netfilterMARK match support
Multipleport match support
TOSmatch support
Connectionstate match support
Uncleanmatch support (EXPERIMENTAL)
Ownermatch support (EXPERIMENTAL)
Packetfiltering
REJECTtarget support
MIRRORtarget support (EXPERIMENTAL)
Packetmangling
TOStarget support
MARKtarget support
LOGtarget support
ipchains (2.2-style) support
ipfwadm (2.0-style) support
Утилитаipfwadm (IP Firewall Administration) нужна для управления правилами в ядрах кверсии 2.2.0. Ее синтаксис очень сложен, но я приведу немного наиболее простыхпримеров.
Утилитаipfwadm есть во всех современных дистрибутивах Linux, алі, возможно, неотноситься за умалчиванием. Может быть специальный сетевой пакет, которомунужно поставить отдельно. Найти исходный код можно на ftp.xos.nl в каталоге/pub/linux/ipfwadm.
Утилитаipchains
Аналогичноipfwadm, утилита ipchains может немного озадачивать, пока к ней не привыкнешь.Она обеспечивает всю гибкость ipfwadm с упрощенным синтаксисом и дополнительнообеспечивает механизм наборов или цепочек (“chaining”), что позволяет Вамуправлять многими правилами и связывать их друг с другом. Формирование цепочкиправил в отдельном разделе немного позже.
Командаipchains появилась в дистрибутивах Linux на ядрах серии 2.2. Исходники можновзять на www.rustcorp.com/linux/ipchains. В этот пакет исходниковвходить скрипт ipfwadm-wrapper, что имитирует роботу ipfwadm, используявозможности ipchains. Это существенно упрощает к новой версии firewall.
Утилитаiptables
Синтаксисiptables очень похож на синтаксис ipchains. Разница в поддержке модулейрасширения и ряду нововведений в фильтрации пакетов. Понятно, я приведу примери для iptables, так что Вы сможете уравнять эти две утилиты.
Утилитаiptables входить в пакет netfilter, исходники которого можно скатить изhttp://www.samba.org/netfilter. Она также входить в дистрибутивы Linux на ядре2.4. Правда, поскольку это ядро еще находится в стадии тестирования, я пока невстречал дистрибутивов на нем.
Способыфильтрации
Рассмотрим,как обрабатываются пакеты IP любой машиной, которая может заниматься ихмаршрутизацией:
(1) IP-пакетоткуда-то пришел.
Входной пакетбудет исследован, чтобы определить ли назначен он для процесса на этой машине.
(2) Если ондля этой машины, то обработанный в местном масштабе.
(3) Еслипакет не предназначен для этой машины, будет выполнен поиск по таблицымаршрутизации для соответствующего маршрута, и пакет будет посланий к соответствующемуинтерфейсу или пропущенный, если маршрут не может быть найден.
(4) Пакеты излокальных процессов будут посланы программному обеспечению маршрутизации дляпересылки к соответствующему интерфейсу.
ИсходныйIP-пакет будет исследован, чтобы определить, есть или имеет силу маршрут длянего, если нет, он будет пропущен.
(5) IP-пакеткуда-то отправится.
В этой схемепотек 1-3-5 представляет нашу машину, направляющую данные между компьютером внашей сети Ethernet на другой доступный компьютер через какую-то связь. Потоки1-2 и 4-5 представляют введение данных и исходные потоки сетевой программы,которая работает на нашем локальном компьютере. Потек 4-3-2 представляетпередачу данных по кольцевом внутреннем интерфейсе (loopback connection).
IP firewallядра Linux способен к применению фильтрации на разных стадиях в этом процессе.То есть, Вы можете фильтровать IP-пакеты, которые приходят Вашей машине, те,которые ходят внутри ее и те, которые предназначены для отправления во внешниймир.
В ipfwadm иipchains правило Input применяется к потоку 1, правило Forwarding к потоку 3 иправило Output к потоку 5. В netfilter, точки перехвата изменились так, чтобыправило Input применилось в потоке 2 и правило Output в потоке 4. Это имеетважное значение для того, как Вы структурируете свой набор правил.
Использованиеipfwadm
Командаipfwadm являет собой инструмент конфигурации для другого поколения Linux IPfirewall. Возможно, самый простой способ описывать использование командыipfwadm, это примеры.
Допустимо,что у нас есть сеть небольшой организации, которая использует Linux-машину изfirewall для связи из Internet. Мы позволяем пользователям этой сети обращатьсяк web-серверам в Internet, но не позволяем какой-либо другой трафик.
Мы должныопределить правила пересылка наружу пакетов с исходным адресом в нашей сети ипортом назначения 80, а также пакетов с ответами.
Допустимо,что наша сеть имеет 24-бітну сетевую маску (класс C) и ее сетевая адреса172.16.1.0. Правила будут такими:
# ipfwadm -F-f
# ipfwadm -F-p deny
# ipfwadm -F-я accept -P tcp -S 172.16.1.0/24 -D 0/0 80
# ipfwadm -F-я accept -P tcp -S 0/0 80 -D 172.16.1.0/24
Параметр -Fинструктирует ipfwadm, что мы определяем правило пересылки пакетов(forwarding). Первая команда предлагает ipfwadm очистить все правила.Гарантируют, что мы работаем с известным состоянием, и после добавления правилне окажется, что остались еще какие-то неизвестны нам правила.
Второеправило устанавливает нашу заданную за умалчиванием стратегию пересылки. Мысообщаем, что ядро должно отбрасывать пересылку всех IP-пакетов, кроме тихнув,какие мы позже развязный. Это очень важен момент, потому что здесь определяетсячастица всех пакетов, которые не подходят какому-либо правилу.
Третьякоманда позволяет нашим пакетам выходить из системы, а четвертое правилопозволяет приходить ответам.
Параметры:
-F — определяет правило пересылки (Forwarding).
-а accept — добавляетправило со стратегией «accept», что позволяет принимать все пакеты,которые отвечают этому правилу.
-P tcp — правило применимое к TCP-пакетам (не трогает пакеты UDP или ICMP).
-S172.16.1.0/24 — исходный адрес должен иметь маску подсети в 24 битая и адрессети 172.16.1.0.
-D 0/0 80 — адрес назначения должен иметь нулевые биты (0.0.0.0). Это отвечает любомуадресу. Число 80 определяет порт назначения, в этом случае WWW. Вы можете такжеиспользовать любую запись из файла /etc/services для определения порта например, -D 0/0 www.
Таблица 5.1Распространены значения бит сетевой маски Сетевая маска Биты 255.0. 0.0 8 255. 255.0. 0 16 255. 255. 255.0 24 255. 255. 255.128 25 255. 255. 255.192 26 255. 255. 255.224 27 255. 255. 255.240 28 255. 255. 255.248 29 255. 255. 255.252 30
Обзорпараметров ipfwadm
Командаipfwadm имеет много параметров. В общем виде синтаксис таков:
ipfwadmcategory command parameters [options]
Категории(Categories)
Категориизадают тип правил, которые настраивают, потому категория в команде допустиматолько одна:
-I — Правиловведение (Input)
-O — Правиловыводу (Output)
-F — Правилапересылка (Forwarding)
Команды
Применяютсятолько к правилам в заданной категории. Команда сообщает Firewall, какоедействие стоит выполнить.
-а [policy]
Прибавитьправило
Вставитьправило
-d [policy]
Удалитьправило
-p policy
Установитьзаданную за умалчиванием стратегию
-l Показатьвсе существующие правила
-f Стеретьвсе существующие правила
Стратегииявляют собой следующее:
accept
Пропускатьвсе пакеты для приема, передачи или транзитные (forward)
deny
Блокироватьвсе пакеты для приема, передачи или транзитные (forward)
reject
Блокироватьвсе пакеты для приема, передачи или транзитные (forward) и послать компьютеру,что послав пакет ICMP-сообщения об ошибке
Использованиеipchains
Есть дваспособа использования ipchains
использоватьскрипт ipfwadm-wrapper, что является заменой ipfwadm. Имеет такой же синтаксис,как и ipfwadm.
использоватьipchains и использовать новый синтаксис.
Синтаксискоманды ipchains
Синтаксискоманды ipchains простой. В общем виде он выглядит так:
ipchainscommand rule-specification options
Команды
С помощьюкоманд можно управлять правилами и наборами правил для ipchains. Рассмотрим ихобстоятельно:
-A chain
Добавляетодно или большее количество правил до конца назначенной цепочки. Если имямашины задано для источника или адресата, и оно отвечает нескольким IP-адресам,правило будет прибавлено для каждого адреса.
-I chainrulenum
Добавляетодно или большее количество правил в кочан назначенной цепочки. Если имя машинызадано для источника или адресата, и оно отвечает нескольким IP-адресам,правило будет прибавлено для каждого адреса.
-D chain
Удаляет одноили несколько правил из определенной цепочки, которая отвечает заданнойспецификации правил.
-D chainrulenum
Удаляетправило, которое находится в позиции rulenum определенной цепочки. Первоеправило в цепочке занимает первую позицию (не нулевую!).
-R chainrulenum
Замещаетправило, которое находится в позиции rulenum определенной цепочки.
-C chain
Проверяетпакет спецификацией правила по заданной цепочке. Эта команда повернет сообщение,которое описывает, как пакет обработан цепочкой. Это очень удобно длятестирования Вашей конфигурации firewall, и ми рассмотрим это обстоятельнонемного позже.
-L [chain]
Перечисляетправила определенной цепочки или всех цепочек, если никакая конкретная цепочкане заданий.
-F [chain]
Удаляетправила определенной цепочки или всех цепочек, если никакая конкретная цепочкане заданий.
-Z [chain]
Обнуляетпакеты и счетчики для определенной цепочки или всех цепочек, если никакаяконкретная цепочка не заданий.
-N chain
Создает новуюцепочку с заданным именем. Таким способом создаются задают пользователемцепочки.
-X [chain]
Удаляетопределенную користувальницький цепочку или все цепочки, если никакаяконкретная цепочка не заданий. На удаляет цепочку, что, не повинное быть ссылокиз других цепочек, иначе она не будет изъята.
-P chainpolicy
Задаетстратегию за умалчиванием для отмеченной цепочки. Допустимые стратегии: ACCEPT,DENY, REJECT, REDIR или RETURN. ACCEPT, DENY и REJECT имеют те же значения, какдля традиционной реализации IP firewall. REDIR определяет, что пакет виноватбыть переназначенный к порту на машине из firewall. RETURN вынуждает IPfirewall вернуться к цепочке, правило которой вызывало эту ситуацию, ипредлагает продлить ее обработку из следующего правила.
Параметрыопределения правил
Параметрыipchains создают правила, определяя, какие типы пакетов отвечают критериям.Если каждой йз этих параметров опущений из спецификации правила, онпредусматривается за умалчиванием.
-p[!]protocol
Указывает протокол,который отвечает правилу. Допустимо имена протоколов tcp, udp, icmp или all.Можно задать номер протокола для протоколов, которые здесь не определены.Например, 4 для протокола ipip. Если задан префикс!, правило превращается внегативное, и принимаются все пакеты, которые не отвечают этому протоколу.Значение за умалчиванием: all.
-s[!]address[/mask] [!] [port] Указывает исходная адреса и порт, из которогопришел пакет. Адреса может задавать имя машины, имя сети или IP-адреса. Опцияmask задает сетевую маску. Она может быть задана в обычной форме (например,/255.255.255.0) или в новой (например, /24). Опция port задает порт TCP илиUDP, или тип пакетов ICMP. Вы можете задать спецификацию порта только, еслизадали параметр -p с одним из протоколов tcp, udp или icmp. Порты могут бытьопределены как диапазон, определяя верхние и нижние границі йз двоеточием какразделитель. Например, 20:25 определяет порты с 20 по 25 включительно. Символ!превращает правило в полную его противоположность.
-d[!]address[/mask] [!] [port]
Задает адресаи порт назначения. Во всем другому аналогичный параметру -s.
-j target Указывает,что делать при срабатывании правила. Допустимые действия: ACCEPT, DENY, REJECT,REDIR и RETURN. Раньше я уже описав значение каждого действия. Вы можете такжезадать имя обусловленной пользователем цепочки, в которой продлится обработка.Если этот параметр опущений, будут только изменены данные пакетов и счетчиков,но ничего йз этим пакетом сделано не будет.
-и[!]interface-name
Задаетинтерфейс, из которого пришел пакет, или через какой пакет будет передан.Символ! переворачивает результат сравнения. Если имя интерфейса кончается на +,ему будут отвечать все интерфейсы, имена которых начинаются на заданий строка.Например, -ые ppp+ совпадает со всеми PPP-интерфейсами, а -ые! eth+ отвечаетвсем интерфейсам, кроме Ethernet.
[!] –f Указывает,что это правило применяется к первому фрагменту фрагментированного пакета.
Опции
Опцииipchains имеет больше широкое значение. они предоставляют доступ к тайнымсвойствам этой программы.
-b Генерируетсразу два правила. Первое точно отвечает заданным параметрам, вторую делаеттеми же именно, но прямо противоположными параметрами.
-v Предлагаетipchains выдавать подробную информацию.
-n Предлагаетipchains использовать IP-адреса и порты, не пытаясь превратить их в имена.-l
Включаетпротокол ядра о соответствии пакетов. Любой пакет, который отвечает правилу,будет запротоколирован ядром, используя его функцию printk(), чтообрабатывается программой sysklogd. Это удобно для выявления необычных пакетов.
-о[maxsize] ВынуждаетIP chains копировать все подходящим правилам пакеты в устройство “netlink”.Параметр maxsize ограничивает число байтов из кожного пакета, которые будутпереданы на устройство netlink. Эта опция имеет большое значение длярозроблювачів, но может эксплуатироваться пакетами користувальницьких программв будущем.
-m markvalue
Все пакеты,которые удовлетворяют правилам, повинны быть обозначенные. Метка есть 32-бітнимчмслом без знака. Пока эта опция ничего не делает, но в будущем она можетопределять, как пакет будет обработан другим программным обеспечением типа кодамаршрутизации. Если метка начинается из + или -, ее значение буедт прибавленоили відняте из существующие.
-t andmaskxormask
Позволяетуправление битами TOS (“type of service”) в заглавии IP любого пакета, которыйудовлетворяет правилам. Биты типа сервиса используются интеллектуальнымимаршрутизаторами для расположения пакетов перед отправлением в соответствии сих приоритетом. andmask и xormask задают разрядные маски, которые будутиспользованы в логических операциях AND и OR с битами типа сервиса. Этопродвинуто свойство, которое более обстоятельно описано в IPCHAINS-HOWTO.
-x Любыечисла у вывода ipchains будут точными (округление не используется).
-в Задаетправило, которое будет отвечать любому пакету TCP с установленным битому SYN инеустановленными битами ACK и FIN. Это используется, чтобы фильтроватьTCP-запросы.
Пример: Опятьдопустим, что ми имеем сеть в нашей организации, и используем Linux firewallдля предоставления доступу к нашим серверам WWW из Internet, но при этом хотимблокировать любой другой трафик.
ipchains:
# ipchains -Fforward
# ipchains -Pforward DENY
# ipchains -Aforward -s 0/0 80 -d 172.16.1.0/24 -p tcp -у -j DENY
# ipchains -Aforward -s 172.16.1.0/24 -d 0/0 80 -p tcp -b -j ACCEPT
Если митеперь хотим прибавить правила, какие предоставят только пассивный режимдоступа к FTP-серверу снаружи сети, ми прибавим правила:
# ipchains -Aforward -s 0/0 20 -d 172.16.1.0/24 -p tcp -у -j DENY
# ipchains -Aforward -s 172.16.1.0/24 -d 0/0 20 -p tcp -b -j ACCEPT
# ipchains -Aforward -s 0/0 21 -d 172.16.1.0/24 -p tcp -у -j DENY
# ipchains -Aforward -s 172.16.1.0/24 -d 0/0 21 -p tcp -b -j ACCEPT
Чтобыперечислить наши правила в команде ipchains, используется параметр -L argument.Точно как из ipfwadm, там могут быть заданы аргументы, которые позволятьдетализировать вывод. В самом простом случае ipchains выведет что-то вроде бы:
# ipchains -L-n
Chain input(policy ACCEPT):
Chain forward(policy DENY):target prot opt source destination ports DENY TCP -y---- 0.0. 0.0/0 172.16. 1.0/24 80 -> * ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 80 -> * ACCEPT TCP ------ 172.16. 1.0/24 0.0. 0.0/0 * -> 20 ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 20 -> * ACCEPT TCP ------ 172.16. 1.0/24 0.0. 0.0/0 * -> 21 ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 21 -> *
Если Вы неуказали имя цепочки, ipchains выведет все правила йз всех цепочек. В нашемпримере параметр -n сообщает ipchains, чтобы той не превратил бу-яку адресу илипорт во имя.
Netfilter Обратнаясовместимость из ipfwadm и ipchains
Прекраснаягибкость Linux netfilter иллюстрируется способностью наследовать интерфейсовipfwadm и ipchains. Эмуляция делает переход к новому поколению программногообеспечения firewall немного проще.
Два модуляядра из netfilter с именами ipfwadm.o и ipchains.o обеспечивают обратнуюсовместимость из ipfwadm и ipchains. Можно загрузить одновременно только одиниз этих модулей и использовать его только при условии, что модуль ip_tables.oне загруженный. Когда соответствующий модуль загружен, netfilter работаетаналогично заданной реализации firewall.
Чтобыnetfilter копировал интерфейс ipchains скомандуйте:
# rmmodip_tables
# modprobeipchains
# ipchains
Использованиеiptables
Утилитаiptables используется для настройки правил netfilter. Синтаксис заимствован вipchains, но имеет важное отличие: он расширился. Значат, что функциональныевозможности могут быть расширены без перекомпиляции пакета. Для этогоиспользуются поділювані библиотеки. Есть стандартные расширения, ряд которых мив настоящий момент выучим.
Передиспользованием команды iptables Вы должны загрузить модуль ядра netfilter, чтопозволяет ей работать. Проще всего сделать это командой modprobe: # modprobeip_tables
Командаiptables используется для настройки IP filter и Network Address Translation.Для этого используются две таблицы: filter и nat. Если не задана опция -t,используется таблица filter. Доступные пять убудованих цепочек (наборовправил): INPUT и FORWARD для таблицы filter, PREROUTING и POSTROUTING длятаблицы nat и OUTPUT для всех таблиц.
Как и раньше,ми допускаем, что есть сеть какой-то организации, на Linux-машине запущенfirewall. Все внутренние пользователи имеют доступ к WWW-серверам в Internet,но и только.
Если сетьиспользует сетевую маску у 24 бита (класс C) и имеет адресу сети 172.16.1.0,нужно использовать правила iptables:
# modprobeip_tables
# iptables -FFORWARD
# iptables -PFORWARD DROP
# iptables -AFORWARD -m tcp -p tcp -s 0/0 -іsport 80 -d 172.16.1.0/24 / -іsyn -j DROP
# iptables -AFORWARD -m tcp -p tcp -s 172.16.1.0/24 -іsport / 80 -d 0/0 -j ACCEPT
# iptables -AFORWARD -m tcp -p tcp -d 172.16.1.0/24 -іdport 80 -s 0/0 -j / ACCEPT
В этомпримере iptables работает точно как команда ipchains. Вся разница в том, чтонужно предварительно загрузить модуль ip_tables.o. Обратите внимание, чтоiptables не поддерживает опцию -b, так что ми должны отдельно задать правилодля кожного направления.
Типы пакетовICMP
Каждая изкоманд конфигурации firewall позволяет определять типы пакетов ICMP. В отличиеот портов TCP и UDP, нет никакого удобного файла конфигурации, котораяперечисляет типы пакетов и их значения. Типы пакетов ICMP определены в RFC-1700(Assigned Numbers RFC). Они также перечислены в одном из стандартныхбиблиотечных файлов C. Файл /usr/include/netinet/ip_icmp.h, что принадлежитобычной библиотеке GNU и используется C-программистами при написании сетевогопрограммного обеспечения, которое работает йз протоколом ICMP, также определяеттипы пакетов ICMP. Для удобства я они отображены в таблице 9-2. Интерфейскоманды iptables позволяет определять типы ICMP по их именам, так что я укажу иэти имена. Позже они придадуться.
Таблица №5.4
Типы пакетовICMPНомер типа Позначення iptables Опис echo-reply Echo Reply 3 destination-unreachable Destination Unreachable 4 source-quench Source Quench 5 redirect Redirect 8 echo-request Echo Request 11 time-exceeded Time Exceeded 12 parameter-problem Parameter Problem 13 timestamp-request Timestamp Request 14 timestamp-reply Timestamp Reply 15 none Information Request 16 none Information Reply 17 address-mask-request Address Mask Request 18 address-mask-reply Address Mask Reply
Управлениебитами TOS
Биты типаобслуживания (Type Of Service, TOS) являют собой набор из четырехбитных флаговв заглавии IP-пакета. Когда каждой йз этих флажков установок, маршрутизаторымогут обрабатывать пакет иначе, чем пакет без TOS-набора битов. Каждый изчетырех битов имеет разную цель, и только один из TOS-битов может бытьустановлен в один момент часа, так что комбинации не позволяются. Флаги названытипом обслуживания потому, что они дают возможность прикладной программе, котораяпередает данные, сообщить сети тип необходимого мережного обслуживания.
Доступныеклассы обслуживания сети:
Minimum delay
Используется,когда час доставки пакета из исходного компьютера на компьютер адресата (часожидания), больше всего важно. Провайдер выбирает самый быстрый канал связи длядоставки таких пакетов.
Maximumthroughput
Используется,когда объем данных в любом периоде часа важен. Есть много типов сетевыхприкладных программ, для которых час ожидания не очень важно, но сетеваяпроизводительность критическая. Для таких пакетов рекомендуются каналы скрасивой пропускной способностью, например, спутниковые.
Maximumreliability
Используется,когда важно иметь некоторую уверенность, что данные достичь адресата безповторной передачи. IP-протокол может быть передан по большому количествуосновных сред передачи. У той час как SLIP и PPP красивые для передачи обычныепротоколы, они не настолько надежные, как X.25 network. Для таких пакетоввыбираются сами надежные каналы связи.
Minimum cost
Используется,когда важно минимизировать стоимость передачи данных. Аренда спутниковогоканала передачи вообще менее дорога, чем аренда оптоволоконного кабеля, так чтопровайдер может иметь разные каналы и направлять трафик по канале болееподешево.
ЗаданиеTOS-битов с помощью ipfwadm или ipchains
Командыipfwadm и ipchains имеют справа с TOS-битами. В обоих случаях определяетсяправило, которое отвечает пакетам с конкретным TOS-битом, и используетепараметр -t, чтобы определить изменение, что желаем сделать.
Измененияопределяются, используя двухразрядные маски. Первая йз этих разрядных масокиспользуется в логической операции AND с полем параметров IP-пакета, вторая воперации OR. Если это звучит сложно, я дам рецепты, чтобы обеспечить каждый изтипов обслуживания немедленно.
Разрядныемаски определяются, используя восьмиразрядные шестнадцатеричные значения.ipfwadm и ipchains используют одинаковый синтаксис:
-t andmaskxormask Наиболее полезные приложения для масок приведены вместе с их значениямив таблице 5.3.
Таблица 5.3
ИспользованиеTOS-битовTOS ANDmask XORmask Использование, которое рекомендует Minimum Delay 0x01 0x10 ftp, telnet, ssh Maximum Throughput 0x01 0x08 ftp-данные, www Maximum Reliability 0x01 0x04 snmp, dns Minimum Cost 0x01 0x02 nntp, smtp
УстановкаTOS-битов с помощью iptables
Командаiptables позволяет определять правила для сбора данных с заданными TOS-битами,используя параметр -m tos и устанавливать биты с помощью параметра -j TOS. Можноустанавливать TOS-битые только на правилах цепочек FORWARD и OUTPUT.Соответствие и установка происходит совсем независимо. Мы можем конфигурироватьмного интересных правил. Например, конфигурировать правило для отклоненияпакетов с задаными TOS-битами или для установки TOS-битов в пакетах изкакого-то конкретного компьютера. В отличие от ipfwadm и ipchains, iptablesиспользует больше простой подход, явно определяя почему TOS-битые должныотвечать, или какие TOS-битые должны быть установленные. Для битов заданыимена, что куда лучшее запоминание их числовых масок
Синтаксис длязадания соответствию TOS-битов в правилах:
-m tos -іtosmnemonic [other-args] -j target
Синтаксис дляустановки TOS-битов в правилах:
[other-args]-j TOS -іset mnemonic
Проверкаконфигурации Firewall
Общаяпроцедура теста следующая:
Выберите типfirewall для использования: ipfwadm, ipchains или iptables.
Разработайтеряд тестов, которые определят, работает ли ваш firewall так, как нужно. Дляэтих тестов возможно использовать любой источник или адресов отправителя, так чтовыберите комбинации адрес, которые должны быть принятые и другие, которыедолжны быть отброшенные. Если принимать или отбрасывать только некоторыедиапазоны адрес, красивой идеей будет проверить адреса по обе стороны границідиапазона: по одному внутри границі и внешне. Будет гарантировать, что имеемправильные границі, потому что иногда просто определить неправильную маскуподсети в конфигурации. Если фильтровать в соответствии с протоколом и номеромпорта, тесте должны также проверить все важны комбинации этих параметров.Например, если допускаете принимать только TCP-пакеты, проверьте, чтоUDP-пакеты отклоняются.
Разработайтеправила для ipfwadm, ipchains или iptables, чтобы выполнить каждый тест.Вероятно, стоит записать все правила в скрипт, так что Вы можете проверять иперепроверять усе без проблем по мере исправления ошибок или изменений проекта.Тесте используют почти той же синтаксис, поскольку определяют правила, но какпараметры берут немного другие значения. Например, исходный параметр адреса вспецификации правила определяет исходная адреса, из которого виновный прийтипакет, который будет отвечать этому правилу. Исходный параметр адреса всинтаксисе теста, напротив определяет исходная адреса тестового пакета, которыйбудет сгенерирован. Для ipfwadm должны использовать опцию -c, чтобы определить,что эта команда является тестом, у той час как для ipchains и iptables должныиспользовать опцию -C. Во всех случаях мы должны всегда определять исходнуюадресу, адреса получателя, протокол и интерфейс, которые нужно использовать длятеста. Другие параметры, типа номера порта или битов TOS, являютсяфакультативными.
Выполнитекаждую команду теста и обратите внимание на вывод. Вывод кожного теста будетодним словом, что указывает конечного адресата пакета после его прохождениячерез firewall. Для ipchains и iptables определенные пользователем цепочкибудут проверены в добавление к убудованого.
Уравняетевывод кожного теста с желаемым результатом. Если есть разногласия, Вы будетедолжны анализировать набор правил, чтобы определить, где вы сделали ошибку.Если Вы записали команды теста в файл скрипта, Вы сможете легко повторновыполнить тест после исправления ошибок в конфигурации firewall. Гарантируют,что активная конфигурация, что Вы проверяете фактически, отбивает набор командв скрипте конфигурации. внешние TCP-соединения с нашими web-серверами. Ничегобольше не должно работать прямо. Начнем с передачи, которая точно виноватаработать (из нашей локальной сети):
# ipchains -Cforward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 accepted
Заметьте, чтов параметрах нужно передать и путь для описания пакета. Вывод команды указываетна те, что пакет был принят для пересылки, которая есть именно том, на что минадеялись.
Теперьпопробуйте другой тест, в этот раз с исходным адресом, который не принадлежитнашей сети. Этот виноват быть отклоненный:
# ipchains -Cforward -p tcp -s 172.16.2.0 1025 -d 44.136.8.2 80 -ые eth0 denied
Попробуйтенемного больше тестов, в этот раз с теми же деталями, что и в первом тесте, нос разными протоколами. они должны быть отклоненные:
# ipchains -Cforward -p udp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 denied
# ipchains -Cforward -p icmp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 denied
Попробуйтедругой порт адресата, опять ожидая, что этот пакет виноват быть отклоненный:
# ipchains -Cforward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 23 -ые eth0 denied
Полнаяпроверка справа тяжелая и длинное, часом настолько же тяжелое, как и разработкаправильной конфигурации firewall, но заті защита будет действительно надежной!
Для iptablesвключили использование набора правил FORWARD через расхождение в реализациинабора правил INPUT в netfilter. Это имеет значение: такое отличие значит, чтони одно йз правил не защищает firewall главный компьютер непосредственно. Точноподражать приклада из ipchains, ми скопировали каждое из наших правил в INPUT.Для ясности, ми пропустили все входные пакеты (datagrams), полученные из нашеговнешнего интерфейса.
#!/bin/bash
############################################################
# IPTABLESVERSION
# This sampleconfiguration is for а single host firewall configuration
# with noservices supported by the firewall machine itself.
############################################################
# USERCONFIGURABLE SECTION
# The nameand location of the ipchains utility.
IPTABLES=iptables
# The path tothe ipchains executable.
PATH="/sbin"
# Ourinternal network address space and its supporting network device.
OURNET=«172.29.16.0/24»
OURBCAST=«172.29.16.255»
OURDEV=«eth0»
# The outsideaddress and the network device that supports it.
ANYADDR=«0/0»
ANYDEV=«eth1»
# The TCPservices we wish to allow to pass — "" empty means all ports
# note: commaseparated
TCPIN=«smtp,www»
TCPOUT=«smtp,www,ftp,ftp-data,irc»
# The UDPservices we wish to allow to pass — "" empty means all ports
# note: commaseparated
UDPIN=«domain»
UDPOUT=«domain»
# The ICMPservices we wish to allow to pass — "" empty means all types
# ref:/usr/include/netinet/ip_icmp.h for type numbers
# note: commaseparated
ICMPIN=«0,3,11»
ICMPOUT=«8,3,11»
# Logging;uncomment the following line to enable logging of datagrams
# that areblocked by the firewall.
# LOGGING=1
# END USERCONFIGURABLE SECTION
############################################################
# Flush theInput table rules
$IPTABLES -FFORWARD
# We want todeny incoming access by default.
$IPTABLES -PFORWARD deny
# Drop alldatagrams destined for this host received from outside.
$IPTABLES -AINPUT -ые $ANYDEV -j DROP
# SPOOFING
# We shouldnot accept any datagrams with а source address matching ours
# from theoutside, so we deny them.
$IPTABLES -AFORWARD -s $OURNET -ые $ANYDEV -j DROP
# SMURF
# DisallowICMP to our broadcast address to prevent «Smurf» style attack.
$IPTABLES -AFORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET -j DENY
# We shouldaccept fragments, in iptables we must do this explicitly.
$IPTABLES -AFORWARD -f -j ACCEPT
# TCP
# We willaccept all TCP datagrams belonging to an existing connection
# (i.e.having the ACK bit set) for the TCP ports we're allowing through.
# This shouldcatch more than 95 % of all valid TCP packets.
$IPTABLES -AFORWARD -m multiport -p tcp -d $OURNET -іdports $TCPIN /
! -іtcp-flagsSYN,ACK ACK -j ACCEPT
$IPTABLES -AFORWARD -m multiport -p tcp -s $OURNET -іsports $TCPIN /
! -іtcp-flagsSYN,ACK ACK -j ACCEPT
# TCP — INCOMING CONNECTIONS
# We willaccept connection requests from the outside only on the
# allowed TCPports.
$IPTABLES -AFORWARD -m multiport -p tcp -ые $ANYDEV -d $OURNET $TCPIN /
-іsyn -jACCEPT
# TCP — OUTGOING CONNECTIONS
# We willaccept all outgoing tcp connection requests on the allowed /
TCP ports.
$IPTABLES -AFORWARD -m multiport -p tcp -ые $OURDEV -d $ANYADDR /
-іdports$TCPOUT -іsyn -j ACCEPT
# UDP — INCOMING
# We willallow UDP datagrams in on the allowed ports and back.
$IPTABLES -AFORWARD -m multiport -p udp -ые $ANYDEV -d $OURNET /
-іdports$UDPIN -j ACCEPT
$IPTABLES -AFORWARD -m multiport -p udp -ые $ANYDEV -s $OURNET /
-іsports$UDPIN -j ACCEPT
# UDP — OUTGOING
# We willallow UDP datagrams out to the allowed ports and back.
$IPTABLES -AFORWARD -m multiport -p udp -ые $OURDEV -d $ANYADDR /
-іdports$UDPOUT -j ACCEPT
$IPTABLES -AFORWARD -m multiport -p udp -ые $OURDEV -s $ANYADDR /
-іsports$UDPOUT -j ACCEPT
# ICMP — INCOMING
# We willallow ICMP datagrams in of the allowed types.
$IPTABLES -AFORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET /
-іdports$ICMPIN -j ACCEPT
# ICMP — OUTGOING
# We willallow ICMP datagrams out of the allowed types.
$IPTABLES -AFORWARD -m multiport -p icmp -ые $OURDEV -d $ANYADDR /
-іdports$ICMPOUT -j ACCEPT
# DEFAULT andLOGGING
# Allremaining datagrams fall through to the default
# rule andare dropped. They will be logged if you've
# configuredthe LOGGING variable above.
#
if ["$LOGGING" ] then
# Log barredTCP
$IPTABLES -AFORWARD -m tcp -p tcp -j LOG
# Log barredUDP
$IPTABLES -AFORWARD -m udp -p udp -j LOG
# Log barredICMP
$IPTABLES -AFORWARD -m udp -p icmp -j LOG
fi
#
# end.
Во многихпростых случаях все, что нужно сделать для конкретного применения этогоприклада, это поправить на кочану файла блок, обозначенный “USER CONFIGURABLEsection” для указания, какие протоколы и пакеты нужно пропускать. Для большесложных конфигураций нужно поправить этот раздел целиком.
Настройка IPAccounting Поскольку IP accounting очень тесно связан из IP firewall, для ихнастройки используется одна программа. В зависимости от реализации это ipfwadm,ipchains или iptables. Синтаксис команды очень похож на используемый призадании правил firewall.
Общийсинтаксис для IP accounting из ipfwadm:
# ipfwadm -A[direction] [command] [parameters]
Появилсяновый параметр direction. Он принимает значение in, out или both. Все значениясчитаются с точками зрения linux-машины, так что in задает входной трафик, outзадает выходной трафик, а both оба типа сразу.
Общийсинтаксис для ipchains и iptables:
# ipchains -Achain rule-specification
# iptables -Achain rule-specification
Командыipchains и iptables позволяют Вам определять направление в стиле, большепохожем на определение правил. IP Firewall Chains не позволяет настроитьправила для обоих направлений сразу, но позволяет настроить правила в набореforward, чего старая реализация не умела.
Команды оченьпохожи на свои аналоги для правил firewall за исключением того, что стратегииздесь не применяются. Ми можем добавлять, вставлять, удалять и пересматриватьсписок правил учета. В случае ipchains и iptables, все имеющие силу правиласчитаются правилами для учета, и бу-яка команда, которая не определяет опцию-j, выполняет только учет.
Параметрыспецификации правила для учета IP такие же, как и для IP firewall.
Учет поадресам
Давайте напримере покажем, как бы мы использовали учет IP.
Допустимо, унас есть Linux-роутер, что обслуживает два департамента Virtual Brewery. Онимеет два устройства Ethernet, eth0 и eth1, по одному на департамент, и одноустройство PPP, ppp0, для связи через быстродействующую последовательную связьс университетским местечком Groucho Marx University.
Длясоставления счетов мы хотим знать общее количество трафика, сгенерированногокаждым из отделов по последовательной связи, и для цели управления мы хотимзнать общий трафик между двумя отделами.
Для ответа навопрос, сколько данных каждый отдел передает по PPP, мы могли бы использоватьправило, что напоминает:
# ipfwadm -Aboth -я -W ppp0 -S 172.16.3.0/24 -b
# ipfwadm -Aboth -я -W ppp0 -S 172.16.4.0/24 -b
или:
# ipchains -Ainput -ые ppp0 -d 172.16.3.0/24
# ipchains -Aoutput -ые ppp0 -s 172.16.3.0/24
# ipchains -Ainput -ые ppp0 -d 172.16.4.0/24
# ipchains -Aoutput -ые ppp0 -s 172.16.4.0/24
или изiptables:
# iptables -AFORWARD -ые ppp0 -d 172.16.3.0/24
# iptables -AFORWARD -o ppp0 -s 172.16.3.0/24
# iptables -AFORWARD -ые ppp0 -d 172.16.4.0/24
# iptables -AFORWARD -o ppp0 -s 172.16.4.0/24
Перваяполовина кожного набора правил задает подсчет всех данных, переданных поинтерфейсе ppp0 с исходным адресом или адресом назначения 172.16.3.0/24. Здесьполезная опция -b в ipfwadm и iptables. Вторая половина кожного набора правилзадает то же, но для второй сети Ethernet.
Для ответа навопрос, сколько трафика проходить между департаментами, нужно правило, котороевыглядит таким способом:
# ipfwadm -A both-я -S 172.16.3.0/24 -D 172.16.4.0/24 -b
или:
# ipchains -Aforward -s 172.16.3.0/24 -d 172.16.4.0/24 -b
или:
# iptables -AFORWARD -s 172.16.3.0/24 -d 172.16.4.0/24
Эти правилабудут уважать все пакеты с исходными адресами сети одному департаменту иадресом назначения в сети другого.
Учет попортам сервисов
Допустимо, мыхотим также знати, какой именно трафик преобладает на связи через PPP.Например, нужно выяснить, сколько данных проходить по протоколам FTP, smtp иWorld Wide Web.
Для сбора этойинформации пригоден такой скрипт с правилами:
#!/bin/sh
# CollectFTP, smtp and www volume statistics for data carried on our
# PPP linkusing ipfwadm
#
ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 ftp ftp-data
ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 smtp
ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 www
или:
#!/bin/sh
# Collectftp, smtp and www volume statistics for data carried on our
# PPP linkusing ipchains
#
ipchains -Ainput -ые ppp0 -p tcp -s 0/0 ftp-data:ftp
ipchains -Aoutput -ые ppp0 -p tcp -d 0/0 ftp-data:ftp
ipchains -Ainput -ые ppp0 -p tcp -s 0/0 smtp
ipchains -Aoutput -ые ppp0 -p tcp -d 0/0 smtp
ipchains -Ainput -ые ppp0 -p tcp -s 0/0 www
ipchains -Aoutput -ые ppp0 -p tcp -d 0/0 www
или:
#!/bin/sh
# Collectftp, smtp and www volume statistics for data carried on our
# PPP linkusing iptables.
#
iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport ftp-data:ftp
iptables -AFORWARD -o ppp0 -m tcp -p tcp -іdport ftp-data:ftp
iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport smtp
iptables -AFORWARD -o ppp0 -m tcp -p tcp -іdport smtp
iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport www
iptables -AFORWARD -o ppp0 -m tcp -p tcp -іdport www
Здесь естьпару интересных свойств. Во-первых, мы определили протокол. Когда мы определяемпорты в наших правилах, мы должны также определить протокол потому, что TCP иUDP имеют отдельные наборы портов. Потому что все эти услуги основаны на TCP,мы определяем именно этот протокол. По-другу, мы определили два сервиса, ftp иftp-data в одной команде ipfwadm позволяет определять одиночные порты,диапазоны портов или произвольные списки портов. Команда ipchains позволяетопределять любой одиночный порт или диапазон портов. Запись«ftp-data:ftp» означает «порты из ftp-data (20) по ftp (21)»,так можно кодировать порты в ipchains и iptables. Когда вы имеете список портовв правиле учета, значат, что любые данные для кожного из портов в списке будутприбавлены к общему количеству для этой записи. Поскольку FTP использует двапорта, команды и данные, ми прибавили их вместе к общему трафику FTP. Наконец,мы определили исходную адресу как 0/0, что отвечает всем адресам и нужноipfwadm и ipchains для определения портов.
Теперь насинтересует соотношение полезного трафика по FTP, SMTP и World Wide Web к трафикупо другим протоколам. Для этого зададим такие правила:
# ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www
# ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767
Если вы ужеисследовали ваш файл /etc/services, вы увидите, что вторую правило покрываетвсе порты за исключением (ftp, ftp-data, smtp и www).
Как сделатьэто с командами ipchains или iptables, ведь они позволяют только один параметрв спецификации порта? Мы можем эксплуатировать обусловленные пользователями цепочкив учете так именно легко, как в правилах firewall. Рассмотрим следующий подход:
# ipchains -Na-essent
# ipchains -Na-noness
# ipchains -Aa-essent -j ACCEPT
# ipchains -Aa-noness -j ACCEPT
# ipchains -Aforward -ые ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent
# ipchains -Aforward -ые ppp0 -p tcp -s 0/0 smtp -j a-essent
# ipchains -Aforward -ые ppp0 -p tcp -s 0/0 www -j a-essent
# ipchains -Aforward -j a-noness
Здесь мысоздаем два обусловленных пользователей цепочки: a-essent, где мы фиксируемданные для полезного трафика и a-noness, где мы собираем данные для всегодругого. Потом прибавим правила к цепочке forward, которые отвечают полезнымсервисам и задают переход в цепочку a-essent, что только считает трафик. Последнееправило в нашей цепочке forward задает переход к цепочке a-noness, где тожеесть только одно правило, которое считает трафик. Правило, что переходить кцепочке a-noness, не будет достигнуто бути^-яким пакетом из полезных сервисов,поскольку они будут приняты в их собственной цепочке. Наши счетчики дляполезных и других услуг будут доступны только в правилах внутри тихнув цепочек.Это только один подход, что вы могли бы обрати. Реализация того же подхода дляiptables:
# iptables -Na-essent
# iptables -Na-noness
# iptables -Aa-essent -j ACCEPT
# iptables -Aa-noness -j ACCEPT
# iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport ftp-data:ftp -j a-essent
# iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport smtp -j a-essent
# iptables -AFORWARD -ые ppp0 -m tcp -p tcp -іsport www -j a-essent
# iptables -AFORWARD -j a-noness
Это выглядитдостаточно простительно. К сожалению, маленькая, но неминуемая проблема припопытке делать учет сервисным типом. Мы обсуждали в одном из предыдущих главроли MTU в работе с сетями TCP/IP. MTU определяет наибольший пакет, которыйбудет передан на сетевое устройство. Когда пакет получен маршрутизатором, иэтот пакет больше, чем MTU интерфейса, который виноват его передать,маршрутизатор выполняет фрагментацию (fragmentation). Маршрутизатор разбиваетбольшой пакет на маленькие части не больше, чем MTU интерфейса, и потомпередает эти части. Маршрутизатор формирует новые заглавия для пакетов, которыевышли, по которых получатель сможет возобновить исходный пакет. К сожалению, втечение фрагментации значение порта будет затеряно для всего, кроме первогофрагмента. Значат, что учет IP не может правильно считать фрагментированныепакеты, а только первые фрагменты или нефрагментированные пакеты. Естьмаленькая хитрость ipfwadm, что позволяет считать пакеты, даже не зная портдругого и следующего фрагментов. Первая версия программного обеспечения Linuxaccounting назначала фрагментам поддельный номер порта 0xFFFF, что мы моглиперехватывать для учета. Мы фиксируем вторые и следующие фрагменты, используяправило:
# ipfwadm -Aboth -я -W ppp0 -P tcp -S 0/0 0xFFFF
Реализация IPchains имеет немного больше сложные решения, но результат той же. Прииспользовании команды ipchains нужно использовать правило: # ipchains -Aforward -ые ppp0 -p tcp -f
Для iptablesподойдет правило: # iptables -A FORWARD -ые ppp0 -m tcp -p tcp -f
Это правилоне будет сообщать нам, какой первобытный порт для этих данных, но по крайнеймере ми способные видеть, сколько из наших данных является фрагментами.
В ядрах 2.2вы можете выбирать при настройке ядра опцию, которая разрешает эту проблему,если ваша Linux-машина действует как одиночная точка доступа к сети. Если вывключили при построении ядра опцию IP: always defragment, все пакеты будутповторно собраны маршрутизатором Linux перед маршрутизацией и передачей. Этаоперация выполняется перед firewall, и учетный блок видит пакеты. Такимобразом, фрагментов просто не будет. В ядрах 2.4 откомпилируйте и загрузитеnetfilter с модулем forward-fragment.
Учет попакетам ICMP
Протокол ICMPне использует сервисные номера портов, так что сбор статистики по нему труднее.ICMP использует ряд разных типов пакетов. Многие из их безобидные и нормальные,у той час, как другие появляются только при специальных обстоятельствах. Иногдапытаются обвалити систему, посылая огромное число пакетов ICMP. Эта атаканазывается ping flooding. Против такой атаки красивый IP firewall, а IPaccounting позволить узнать, кто это сделал.
ICMP неиспользует порты в отличие от TCP и UDP. Вместо их используются типы сообщенийICMP. Ми можем создать правила, чтобы учитывать каждый тип сообщений ICMP. Дляэтого нужно определить тип сообщения ICMP вместо номера порта в командеipfwadm. Типы сообщений перечисленные в разделе «Типы пакетов ICMP»главы 9.
Для сбораданных о передаче пакетов ICMP по всем типам сообщений используйте правило:
# ipfwadm -Aboth -я -P icmp -S 0/0 8
# ipfwadm -Aboth -я -P icmp -S 0/0 0
# ipfwadm -Aboth -я -P icmp -S 0/0 0xff
# ipchains -Aforward -p icmp -s 0/0 8
# ipchains -Aforward -p icmp -s 0/0 0
# ipchains -Aforward -p icmp -s 0/0 -f
или вiptables:
# iptables -AFORWARD -m icmp -p icmp -іsports echo-request
# iptables -AFORWARD -m icmp -p icmp -іsports echo-reply
# iptables -AFORWARD -m icmp -p icmp -f
Первоеправило собирает информацию относительно пакетов ICMP Echo Request (pingrequests), вторую правило собирает информацию относительно пакетов ICMP EchoReply (ping replies). Третье правило собирает информацию относительнофрагментированных пакетов ICMP. Этот прием подобен описанному дляфрагментированных пакетов TCP и UDP.
Если определяемисточники й/або адресата в ваших правилах, возможно следить, откуда приходятпакеты, изнутри сети или внешне.
Учет попротоколам
Допустимо,нам интересно, какие протоколы используются нашим трафиком: TCP, UDP или ICMP.Здесь нам поможет правило:
# ipfwadm -Aboth -я -W ppp0 -P tcp -D 0/0
# ipfwadm -Aboth -я -W ppp0 -P udp -D 0/0
# ipfwadm -Aboth -я -W ppp0 -P icmp -D 0/0
или:
# ipchains -Aforward -ые ppp0 -p tcp -d 0/0
# ipchains -Aforward -ые ppp0 -p udp -d 0/0
# ipchains -Aforward -ые ppp0 -p icmp -d 0/0
или:
# iptables -AFORWARD -ые ppp0 -m tcp -p tcp
# iptables -AFORWARD -o ppp0 -m tcp -p tcp
# iptables -AFORWARD -ые ppp0 -m udp -p udp
# iptables -AFORWARD -o ppp0 -m udp -p udp
# iptables -AFORWARD -o ppp0 -m icmp -p icmp
С этимиправилами трафик через интерфейс ppp0 будет проанализирован, чтобы определитьтип протокола: TCP, UDP или IMCP, и соответствующие счетчики будутмодифицированы для кожного пакета.
Использованиерезультатов IP Accounting
Чтобыпересматривать собранные данные о трафике и конфигурированные правила, мииспользуем команды настройки firewall. Пакеты и счетчики байтов для кожного изнаших правил будут перечисленный в выводе.
Командыipfwadm, ipchains и iptables отличаются по тому, как обрабатываются собираютданные, что, так что ми рассмотрим их независимо.
Пересмотрданных с помощью ipfwadm
Командаipfwadm позволяет смотреть собранные данные о трафике таким способом:
# ipfwadm -A-l
IP accountingrules
pkts bytesdir prot sourcedestination ports
9833 2345Ki/o all 172.16.3.0/24 anywheren/a
56527 33M i/oall 172.16.4.0/24 anywheren/a
Это сообщаетнам число пакетов направление, которое представляет каждое. Если ми используемрасширенный исходный формат с опцией -ое (не показаний здесь, потому что выводслишком широкий для страницы), ми также одержимый список опций и именаинтерфейсов. Большинство полей в выводе понятные, так что я объясню тольконекоторые:
dir Направление,в котором применяется правило. Ожидаемые здесь значения: in, out или i/o (обанаправлению).
prot Протокол,для которого применяются правила.opt. Кодируется форма параметров,использованных при вызове ipfwadm.
ifname Имяинтерфейса, к которому применяется правило.
ifaddress
Адресаинтерфейса, к которому применяется правило.
Заумалчиванием ipfwadm отображает счетчики пакетов и байтов в сокращенной форме,округленной к ближайшей тысяче (K) или миллиону (M). Можно задать вывод точныхчисел без округления:
# ipfwadm -A-l -ое –х Пересмотр данных с помощью ipchains
Командаipchains не будет отображать данные учета (счетчики пакетов и байтов), если незаданий параметр -v:
# ipchains -L–v очно как из ipfwadm мы можем отображать счетчики пакетов и байтов точно,используя опцию -х:
# ipchains -L-v –х Пересмотр данных с помощью iptables
Командаiptables вести себя очень похоже на ipchains. Опять мы должны использовать -vдля пересмотра результатов учета трафика:
# iptables -L–v Как и с командой ipchains можно использовать -х для показа точных данных.
Перезапусксчетчиков
Счетчики дляIP accounting могут переполниться. Если они переполняються, Вы будете иметьтрудности с определением их реальных значений. Чтобы не было этой проблемы, Выдолжны периодически протоколировать их показания и потом сбрасывать счетчики внуль, чтобы начать собирать информацию для следующего интервала учета.
Командыipfwadm и ipchains позволяют сделать это просто:
# ipfwadm -A –zили: # ipchains –Z или: # iptables -Z
Вы можетедаже совмещать вывод списка и обнуление, чтобы гарантировать что никакие данныеучета не затеряны между этими действиями:
# ipfwadm -A-l –z или: # ipchains -L –Z или: # iptables -L -Z -v
Эти командысначала отобразят все данные из счетчиков, потом немедленно обнулят счетчики иначнут учет сначала. Если Вы регулярно собираете статистику, имеет смыслнаписать скрипт с соответствующими командами и вызывать его через cron.
/>Инструкции администратору
Для групп компьютеровсоздать 3 вида образов дисков:
для группы компьютеровсерверов serv/n (n – номер компьютера)
для группы компьютероврабочих станций WS/n
для группы компьютеровработы с графикой GWS/n
Позволятбыстрее возобновлять систему в случаи выхода из строя
Данныекаждого работника хранятся на сервере ОРС serv/1 и периодическисинхронизируются на OPC serv/2
На каждомсервере создать RAID 0 (в дальнейшем планируется переход на RAID 5.
На сервереOPC serv/2 установить DHCP сервер, который раздает автоматически IP-адреса дляпользователей сети.
Сервер OPCserv/2 сделать колером домену.
Сервер OPCserv/2 сделать маршрутизатором, WEB и FTP сервером.
Рекомендациичто к возобновлению рабочих станций в будущем при сбоях в их работе:
Установить OSLinux Suse
На файловомсервере (192.168.1.2) есть *.IMG файл диска
Запуститепрограмму True Image и возобновить раздел на диске
ЗагрузитьLinux
Зайти в менюSetup (Командой setup) там выбрать раздел сеть и выбрать настройку интерфейсаeth0.
Длявозобновления Ос Linux нужно возобновить 2 раздела HDA1 и HDA3
HDA4 лучше нетрогать на нем берегутся данные пользователей.
5)IP-addressуказать автоматически (опция dhcp), dns:192.168.1.1
6)Настроитьавторизацию через домен (имя домена stareditor)
На каждойрабочей станций из линукс HDD разбитый таким образом
HDA1 = 1Gbfilesystem=EXT3 “/boot”HDA3 = 26 Gb EXT3 “/”
HDA2 = 400 mb“SWAP” HDA4 = 60 Gb EXT3 “/usr”
II)OS WindowsXP Professional SP1
загрузитьTrue image
Зайти нафайловый сервер (192.168.1. 2), запустить IMG файл диска. К серверу можноподключится тремя способами первый через FTP, второй через сеть ms windows итретий через nfs. Зайти в каталог //secure/recovery/img/windows/win.img
Дальше зайтив Windows и настроить подключение к домену
На каждойрабочей станций из Windows HDD разбитый таким образом
HDA1 = 1Gbfilesystem=NTFS “Loader” HDA3 = 50 Gb NTFS “TEMP”
HDA2 = 50gbfilesystem=NTFS“Win&APPS” HDA4 = 60 Gb EXT3 “/usr”
Рекомендациичто к возобновлению серверу
Его можновозобновить через Образ как привычные WS.
В случаи есликонфигураций серверу не будут работать можно настроить его заново в ручную
Установка теНастройки Серверу
Для установкисерверу нам будет нужно дистрибутив Linux FC4.
Компьютер OPCserv/2 или OPC serv/1.
Передустановкой Linux нужно убедится, что вы устанавливаете на первый диск.
Приучреждении Linux нужно создать такие разделы:
1 раздел 1 gbс файловой системой EXT3 как загрузочный роздел “/boot”.
Второй раздел50 gb filesystem= EXT3 как корень“/”.
Третий раздел70 gb filesystem= EXT3 Jounal FS как теку “/usr”.
Послеустановке в BIOS включить RAID- массив.
Приконфигурация FTP сервера установит порт 921.
На папкиустановит следующие политики безопасности:
Вход разрешентолько авторизированым пользователям. При входе пользователи заходят в своикаталоги или папки группы.
Вход разрешентолько для сети 192.168.2.0.
Приконфигурации Web серверу:
При входечерез порт 4510 проводить авторизацию. И вслучаи успешной авторизаций датьдоступ к программе работающей с базой данной через HTTP. Для входа на 80 портвыдать страницу предприятия. Доступ открыт для всех только на чтение.
Установкадемона rc.iptables
rc.iptables-это нашь скрипт который является службой и мы хотим, что бы он автоматическизагружался при загрузке линукса.
Для этогонадо зделать следущие действия:
Копируем фаилrc.iptables в каталог /etc/init.d
Это делаетсяследущие командой Copy /temp/rc.iptables /etc/init.d/
Или выделяемданный фаил в Midnight Comander (команда MC) и нажимаем F5.
/>Тестирование конфигурации
После того,как разработали соответствующую конфигурацию firewall, важно убедиться, что онаделает именно то, что нужно. О тестировать конфигурацию сервера можно двумясредствами:
Одно средствозаключается в том, чтобы использовать тестовый компьютер вне вашей сети дляпопытки проникнуть через firewall. Но это может выполняться медленно и бытьограниченно только теми адресами, какие Вы можете использовать.
Большебыстрый и простой метод, доступный в реализации Linux firewall: позволяет Вамвручную генерировать тесты и выполнять их через firewall именно так, будто Выпроверяли их с фактическими пакетами. Все варианты поддержки firewall ядромLinux (ipfwadm, ipchains и iptables) обеспечивают поддержку для этого стилятестирования. Реализация включает использование соответствующей команды check.
Для того чтобы протестировать свою конфигурацию первым способом были настроены несколькосерверов которые будут использовать следующие порты 21(FTP-File TransportProtocol), 80(HTTP-A patch web server),111 (SHTTP-A patch web serve) 20(SSH — изъято подключение).
На сетевойинтерфейс eth0 подключены следующие IP-адреса:
eth0 — 192.168.1.1/24
eth0:1 — 192.168.2.1/24
eth0:2 — 192.168.3.1/24
Для того чтобы протестировать первым средством понадобится рабочая станция из которой нужнопытаться зайти на сервер. Для тестирования на ней будет установлено:
Операционнаясистема Linux и Windows 2000 pro
Интернетобозреватель (Internet Explorer,Fire Fox или любой другой).
Сетеваякарточка, которая поддерживает технологию Ethernet.
После тогокак сервер и рабочая станция будут настроены приступить к тестированиюнастроек.
1.Выставитьна рабочей станции IP -адресу 192.168.1.2/24 и пытаться пройти через будь какойпорт кроме портов 20,21,22,smb для этой сети
Должныработать только порты файловых серверов и доступ к ним виновный быть только изсетей предприятия.
Проверка:Загружаем программу для сканирования портов и начинаем сканировать по адресу192.168.1.1 после чего нам выдается список открытых портов. Для того, чтобыудостовериться в работе программы сканирования портов мы пытаемся зайти на 80порт который виноват быть закрытый для сети.
2.Выставляемна рабочей станции адрес 192.168.2.2 для нас должно открыться порты FTP, HTTPSSH. Повторяем процедуру со сканером портов и пытаемся подключится на серверSamba, через сетевое окружение. Для этой под сети Samba должен быть закрыт.
/>Экономикческая часть
Сравнительныйтехнико-экономический анализ предлагаемого проекта и выбранного аналога.
Цельюсоздания проекта является создание проекта компьютерной сети для газетнойредакции, которая занимается разработкой публикаций новостей, как в журналах игазетах, так и в Интернете с помощью своего Веб сайта. Данная сеть обеспечиваетбезопасность данных предприятия в случае потери и делает возможным ихвоссоздание, возможным использование сети Internet.
Компьютернаясеть расположена в 3х этажном здании. Задание на проектирование включает:
локальнуюсеть, подбор топологии и технологии компьютерной сети;
выбороборудования, подготавливающего эту технологию включает:
рабочуюстанцию;
коммутатор(switch);
сервер;
соединениемежду этажами (tunel);
распланировкусетевой адресации;
витую пару(кабель).
Необходимообеспечить установку программного обеспечения на рабочие станции и сервера.
Факторы,определяющие целесообразность внедрения проекта
В дипломномпроекте разработана сеть предприятия и ее безопасность при помощи разработкиследующих программ:
— установкинастройки Firewall (защита системы от возможных физических атак). Каждыйработник осведомлен о том, что он обязан закончить сеанс, или перейти в режим“Блокировки компьютера”. На серверах ведется журнал по запросам из внешней ивнутренней сети и при повышенных потоках одинаковых запросов (повторов) содного ІР адреса, система производит блокировку ІР или ддиапазона ІР, ноАдминистратор сети должен следить за системным журналом. Блокировканежелательных запросов происходит вручную. С этим поможет Firewall. Системареализует также функцию атак на право доступа. Системная политика каждый месяцбудет просить, чтобы сотрудники предприятия меняли свой пароль, причемповторить пароль у них не получиться, любой сотрудник осведомлен онеразглашении служебной информации. Все документы подлежат физическомууничтожению.
Источники финансирования проекта
Приразработке проекта вычислительной сети были задействованы собственные источникифинансирования.
Аналогами разрабатываемой вычислительной сети являются
— продуктысерии CISCO PIX(Private internet exchange)
— программноеобеспечение CISCO PIX является собственной разработкой компании CISCO Systems ине основано, на каких либо клонах “UNIX”.
Организационное обеспечение проекта
Цель проекта
Цельюразрабатываемого проекта является создание вычислительной сети и обеспечение еебезопасности для функционирующей редакции журнала.
Результатывнедрения проекта
В проектеразработана вычислительная сеть с использованием и установкой программногообеспечения и установкой необходимого оборудования для сети. В результатевнедрения сети была повышена производительность труда сотрудников редакции,обеспечена надежность сохранения качества информации, повышена оперативностьпередачи информации.
Этапывыполнения проекта
В результатевыполнения проекта были выполнены следующие этапы:
разработкаконцепции – при выполнении данного этапа была собрана необходимая информация осоставе программного обеспечения и необходимого оборудования для проектируемойвычислительной сети;
разработкапроекта – на данном этапе было установлено программное обеспечение, установленои отлажена работа необходимого оборудования для сети;
реализацияпроекта – реализация проекта является этапом действующего функционированиявычислительной сети редакции журнала, обеспечение ее безопасности;
завершениепроекта – завершение проекта включает реализацию программного продукта и еговнедрение.
Cостав работпроекта, их продолжительность
Описаниеэтого этапа можно представить виде таблицы (таблица 5.1).
Таблица 7.1
Состав работпроекта и их продолжительность№ кода работы Наименование работы Т (дней) 1 Сбор данных и анализ существующего положения 13 2 Утверждение концепции 2 3
Установление деловых контактов, изучение целей, мотивов,
требований 3 4 Развитие концепции, планирование наглядной области других элементов проекта 4 5 Разработка и утверждение общего плана 7 6 Организация выполнения работ 3 7 Детальное проектирование и технические спецификации 8 8 Руководство и координация работ, корректировка основных показателей проекта 1 9 Эксплутационные испытания конечного продукта проекта 50 10 Подготовка документов и сдача проекта заказчику 4 11 Оценка результатов проекта и подведение итогов 1 12 Оценка итоговых документов и закрытие проекта 3 13 Установление потребности в результатах 1 14 Информационный контроль выполнения работ 3 15 Подтверждение окончания работ 2 16 Подготовка кадров к эксплуатации проекта 2 Всего 107
Расчет показателей экономической эффективности проекта
Расчеттекущих затрат Текущие затраты рассчитываются для базового и проектируемоговариантов протекания календарного года. Текущие затраты включают в себяследующие составляющие:
— затраты наоплату труда персонала;
— затраты нафункционирование проектируемого объекта (затраты машинного времени,материальные затраты);
— накладныерасходы;
— другиезатраты;
Затраты наоплату труда персонала
а) Годовойфонд основной заработной платы персоналу:(9.1) где Чі – количество специалистовi-й категории (люд), Зі – годовой фонд оплаты работы специалиста i-й категории(грн).Для базового варианта Ч = 2, где один выполняет работу программиста, адругой работу аналитика, годовой фонд оплаты труда рассчитывается из условия,что специалист работает 95(программист) и 60(2 программиста) рабочих 6(4)часовых смен с оплатой 10 грн/час.
Такимобразом:
Збосн=(1•95•6•10)+(2•60•4•10)=10500 (грн.);
Дляпроектного варианта Ч = 2, где один выполняет работу программиста, а другойработу аналитика, годовой фонд оплаты труда рассчитывается с условием, чтоспециалист работает 50 (программист) и 30(аналитик) рабочих 6(4) часовых смен соплатой 10 грн/час. Таким образом:
Збосн=(1•50•6•10)+(1•30•4•10)=4200 (грн.);
б) Годовойфонд дополнительной заработной платы:
Здоп=Зосн•Кдоп(8.2)
где Кдоп =0.1-коефициент дополнительной заработной платы.
Для базовогои проектного вариантов:
Збдоп=10500•0.1=1050(грн.).
Збдоп=4200•0.1=420 (грн.).
в) Начислениена социальное страхование
социальноестрахование на случай пенсионного обеспечения (31,8%);
социальноестрахование на случай временной потери трудоспособности(2,9%);
социальноестрахование по безработице (1,3%)
социальнострахование от несчастных случаев и профессиональных заболеваний (условнопринимается 2,0%).
Такимобразом, примем кнач=0,38, тогда для базового и проектного вариантовсоответственно:
/>
/>
Общие затратына оплату труда составляют:
/>(9.4)
Тогда:
/>
Затраты нафункционирование проектируемого объекта укрупнено состоят из:
/>(9.5)
где ЗМВ –стоимость машинного времени при функционировании проектируемого объекта (грн.);
ЗМАТ –стоимость материалов при эксплуатации проектируемого объекта (грн.).
Стоимостьмашинного времени:
/> (9.6)
где Т–машинное время, необходимое для эксплуатации проектируемого объекта (часы);
См –стоимость одного часа работы вычислительного комплекса (грн.).
Тогда:
/>
Стоимостьзатратных материалов:
/> (9.7)
где Зі –количество і-го вида материала (шт., кг и т.д.);
Сі-стоимость(рыночная стоимость) і-го вида материала (грн.).
Тогда:
/>
Таким образомзатраты на функционирования проектируемого объекта укрупнено составят:
/>
/> (9.8)
где Кнакл –коэффициент определяющий величину накладных расходов.
Примем Кнакл= 0,8, тогда для базового и проектного вариантов соответственно:
/>
Другиекоммерческие затраты могут составить 1% -5% от суммы всех текущих затрат:
/> (9.9)
где Кпр –коэффициент, что определяет величину других затрат.
ПримемКпр=0,02, тогда:
/>
В результатетекущие затраты составляют:
/>(8.10)
Для базовоговарианта расчета:
/>
Дляпроектного варианта расчета:
/>
Расчетодноразовых затрат на проект
Дляпотребителя проекта одноразовыми будут все затраты, которые он должен понести всвязи с переходом на эксплуатацию продукта, что возник в рамках проекта. Вобщем виде эти затраты можно выразить формулой:
/> (9.11)
где Кпр-затраты на разработку проекта (грн.);
Ксо- затратына специальное оборудование (грн.). Затраты на компьютеры и компьютерноеоборудование определяются на основании их рыночной стоимости, наладку (10-15%от рыночной стоимости). Затраты на вспомогательное оборудование определяютсякак 10-12% стоимости компьютеров. То есть примем Ксо= 2500 (грн.);
Ксоп-сопутствующие одноразовые затраты (грн.).
/> (9.12)
где Ктр-затраты на доставку спроектированного изделия до места эксплуатации(грн.)(может быть принято в границах 2%-6% от цены изделия);
Км- затратына установку, монтаж, настройку изделия (грн.);
Кпр- другиезатраты (демонтаж заменяемого изделия и т.п.) (грн.);
Квис- этасоставляющая присутствует в расчетах, если заменяемое изделие или его частьможет быть реализована (продана) (грн.). В таком случае Квис=0.
Коб- затратына обучение персонала, который будет обслуживать внедряемое изделие, а так жеавторский присмотр.
Такимобразом, сопутствующие одноразовые затраты равняются:
/>
Следовательноодноразовые затраты на проект по формуле (6.16):
/>
Расчетодноразовых затрат на проектирование
Для расчетазатрат на этапе проектирования необходимо определить продолжительность каждогоэтапа, начиная с разработки технического задания (ТЗ) и до внедрения проекту,включая авторский присмотр. Эту информацию целесообразно свести в таблицу.
Таблица 7.2
Этапыпроектирования№ этапа Название этапа Исполнитель Т(дни) 1 Техническое задание (ТЗ) разработчик 16 2 Эскизный проект разработчик 13 3 Технический проект (ТП) разработчик 15 4 Рабочий проект (РП) разработчик 50 5 Внедрение проекта (ВП) разработчик 10
Трудоемкостьразработки ТП может быть определена, как сумма величин трудоемкости исполненияотдельных этапов проекта:
/> (8.13)
где /> — трудоемкостьразработки технического задания проекта;
/> - трудоемкостьразработки эскизного проекта;
/> — трудоемкостьразработки технического проекта;
/> — трудоемкостьразработки рабочего проекта;
/> — трудоемкостьвнедрения проекта;
/> - трудоемкостьавторского присмотра.
Трудоемкостьэтапов проектирования устанавливается на фактических затратах времени(календарного) в чел/дн на всех работах, выполнимых в рамках этих этапов. Тоесть:
Tn =16+13+15+50+10 = 104 (чел/дн).
Расчетодноразовых затрат может быть представлен в виде сметы затрат (таблица 7.3).
Таблица 7.3
Смета затрат№ п/п Наименование статьи Сумма в гривнах Алгоритм расчета 1 Расходы в материалахи комплектующих (приобретение оборудования) 416457
/>, где Ni – количество i-го материала, Ci – рыночная цена i-го материала 2
Затраты на машинное время:
1.Общий труд – 104 чел/дн.
2.Затраты на м/ч – 77 ч
3.Стоимость м/ч – 1,8 грн/ч 77х1,8 = 138,6
/>,
Q – время использования машинного времени на i-том этапе проекта, Ci – цена 1 часа работы ПВМ на i-том этапе проекта 3
Основная зароботная плата участников проекта
1. Программист 50 дней по 6 ч
2. Аналитик 30 дней по 6 ч
50х6х10 = 3000
30х4х10 = 1200 Исходя из трудоемкости разработки, количества специалистов и должностных окладов 4 Дополнительная заработная плата участников проекта 420 10% от п.3 5 Начисления на социальное страхование 1596 38,0% от п.3 6 Накладные расходы 1612,8 80% от п.4 + п.5 7 Итого производственная себестоимость 419811,6
/> 8 Другие коммерческие расходы 83962,32 20% от п.7 9 Итого 503773,92
/>
Определение начальной цены товара, которое возникает в результатереализации проектного решения
Послеустановления внешних факторов, которые действуют на ценообразование(потребители, рыночная среда, государство, участники канала движения товаров),определение цели ценообразования (сбыт, потоковая прибыль, выживает, качество)нужно выбрать метод (способ) установления начальной цены товара.
Дляопределения начальной цены проекта применим затратный метод, который основан наориентацию цены на затраты производства. Суть его в том, что к подсчитаннымзатратам производства прибавляют какой-нибудь фиксированный процент прибыли.
Данный методупотребляется:
как параллельс другими методами;
при установленииначальной цены на принципиально новую продукцию, когда ее невозможносопоставить с той, что выпускается;
приустановлении цен на продукции, которая изготовляется по разовым заказам и наопытные образцы;
приопределении цен на товары, на которые спрос хронически превышает предложение.
Определимначальную цену проекта. Для этого прибавим к затратам производства (п.9 табл.8.3) 30% фиксированной прибыли. Итак, имеем:
Ц =503773+(503773*0,3) = 654905 грн.
Расчетпоказателей экономической эффективности проекта
Годоваяэкономия на потоковых затратах составляется по формуле:
Эг = (Рб –Рп) + ΔП,
Эг = (10500 –4200) + 151132,176 = 157432,176 (грн).
Определиможидаемый экономический эффект по формуле:
Эо = Эр – Ен* Кп,
Где Эр — годовая экономия на потоковых затратах (грн);
Кп –одноразовые затраты на проект (грн);
Ен — нормативный коэффициент эффективности одноразовых затрат (может быть заданхозяйствующим субъектом, или принимается на равные процентные ставки надепозитных счетах банка и т.п.). Примем Ен = 0,3.
Эр = 151132 –0,3*419699 = 25222 (грн).
Рассчитаемкоэффициент эффективности одноразовых затрат по формуле:
Ер = Эг / Кп,
Если Ер >=Ен, то проект эффективный.
Ер = 157432 /419699 = 0,4;
Ер > Ен,это говорит о целесообразности разработанных проектных решений.
Итак, мывидим, что Ер >= Ен. Таким образом проект является эффективным.
Рассчитаемсрок окупаемости одноразовых затрат проекта по формуле:
Токр = Кп /Эг,
Токр = 419699/ 157432 = 2,6 года.
Технико-экономическиепоказатели проекта
Таблица 7.4
– Основныетехнико-экономические показатели проекта.№ п/п Наименование показателя Единица измерения Значение показателя 1 Результаты проекта (объем реализации работ, услуг) грн 832914 2 Трудоемкость проекта чел/дн 107 3 Цена проектного решения (продукта) грн 654905 4 Одноразовые затраты грн 419699 5 Себестоимость продукта грн 419811 6 Годовая экономия грн 26080 7 Годовой экономический эффект грн 22167.127 8
Коэффициент экономической
эффективности одноразовых затрат Ен 0,3 Ер 0,4 9 Срок окупаемости одноразовых затрат месяцев 2,6 года
Охрана трудаи безопастность жизнедеятельности
Описаниеотдела.Данная исследовательская работа проведена для анализа и разработкиструктур контроллеров АЦП? которые применяются для тензометрическоговзвешивания железнодорожных составов. Для проведения исследований по даннойтеме в основном используются средства вычислительной техники. Для разработчиковарендуется помещение размерами Зх 6 метров, которое имеет два наружных окна.Окна оборудованы форточками для осуществления циркуляции воздуха в помещении.Отдел проектирования состоит из 3-х операторов и 1 диспетчера.
Помещениеотдела проектирования и исследований
/>
Рисунок 8.1
Применение ВТпозволяет существенно улучшить условия труда и увеличить объём выполняемыхработ, но всё-таки, несмотря на то, что работа оператора ЭВМ относится ккатегории «лёгкая Г» работе исходя из ГОСТ 19.605-74 по охране трудана рабочем месте, пользователи могут столкнуться с воздействием физических ипсихофизиологических опасных и вредных факторов, описанных в ГОСТ 12.0.003-83.
Анализ возможных опасных и вредных производственных факторов,создаваемых в помещениях ПЭО и влияющих на работающих
Основнымифакторами, влияющими на условия труда сотрудников вычислительных центров, и,соответственно, дополнительным вредным воздействием целой группы факторов,существенно снижающими производительность их труда, являются:
повышеннаятемпература, связанная с выделением тепла от ЭВМ;
шум (работапринтеров и вентиляции);
возможностьнеудовлетворительного освещения;
возможностьпоражения электрическим током (питание 220В);
воздействиеэлектромагнитных излучений терминала;
пожарнаяопасность.
Визуальныедисплейные терминалы ВДТ являются в настоящее время основным средством длявзаимосвязи человека с ЭВМ. Ускоренное внедрение ЭВМ (персональные иколлективного пользования) практически во все области деятельности и ведёт кпоявлению большого количества рабочих мест с ВДТ. Они широко распространяютсякак на производстве в различных системах контроля и управления, так и в разных административно-общественныхзданиях,где размешаются вычислительные центры организаций и институтов, читальные исправочные залы библиотек, дисплейные классы школ, техникумов и другиханалогичных объектов.
Исследованияусловий труда как на крупных, так и небольших вычислительных центрах Украиныпоказало, что на большинстве из них пользователи ЭВМ 3 работают принеблагоприятном микроклимате труда нагревающею тела, повышенной влажностивоздуха, повышенном шуме, нерациональном освещении.
В периодработы с ВДТ на электронно-лучевых трубках (ЭЛТ) на организм пользователявоздействует целый ряд факторов физической природы, но все они находятся впределах и значительно ниже номинальных величин в соответствии с действующими внастоящее время нормативными документами. Патологические изменения зрительногоанализатора (катаракта и миопия), как следствие производственной деятельности,у пользователей ВТ практически не встречаются. Учитывая специфику зрительнойработы с ВДТ, первоочередной задачей является обеспечение необходимых условийвизуальной работы пользователя ЭВМ за счет наилучшего распределения яркостей вподе зрения работающего и максимально возможного уменьшения ослепленности отпрямой и отраженной блескости и ограничения от постоянной пульсации изображенияна ВТ и других мешающих и усиливающих общее и зрительное утомление факторов. Сэтой целью следует прежде всего правильно выбрать помещение и расположениерабочих мест с ВТ.
Системаосвещения может быть общей и общей локализованной. Выбор типа светильника посветораспределению и способ размещения светильников в помещении зависит отвысоты помещения, расположения РМ в помещении и от количества РМ. РМ с ВТследует размещать рядами, параллельными стене с окнами, таким образом, чтобыплоскость экрана ВТ была перпендикулярна плоскости окон. Светильники должнырасполагаться над проходами между рядами РМ сплошной линией или с разрывами взависимости от количества светильников в линии, необходимых для обеспечения наРМ нормируемых освещённостей (табл.8.1.).
В периодвыполнения трудового процесса у программистов значительно снижена общаямышечная активность при локальном напряжении кистей рук. Для снижениямонотонности в работе перерывы для отдыха необходимо сопровождатьгимнастическими упражнениями для поддержания общего мышечного тонуса, а такжепрофилактики костно-мышечных нарушений в поясничном отделе позвоночника.
Таблица 8.1
Уровеньосвещенности в помещениях с ВДГХарактеристика дисплеев и зрительной работы
Нормируемые освещенности (лк) в
плоскости стола, клавиатуры (Е), экрана
(Б») при системах: Вид дисплея
Группа
напряженност
и зрительной
работы (по
табл.) Общее комбинированное Е, не менее Е,
Е, не
менее В т.ч. Е от общ. Е, Одноцветный (яркий знак на темном фоне)
П
I 300 400 150-100 200-150 400 500 300 400 150-100 200-150
Графический многоцветный и
одноцветный (яркие линии на
темном фоне) Любая - - 400 200 100-75
Анализируяполученные данные, разработан комплекс мероприятий для сохраненияработоспособности и по профилактике общих и зрительных нарушений.
Запыленностьвоздуха находится на допустимом уровне, давление воздуха в исследуемомпомещении относительно атмосферного не отличается.
Междуорганизмом человека и внешней средой происходит непрерывный процесс тепловогообмена, при этом в результате терморегуляции температура тела сохраняетсяпостоянной.
Влажностьвоздуха находится в пределах нормы и не вызывает пересыхание слизистых оболочекдыхательных путей.
Подвижностьвоздуха способствует теплоотдаче, что является положительным фактором привысоких температурах, но отрицательным при низких. Поэтому проектомпредусмотрено применение механической и естественной вентиляции (инфильтрациявоздуха через оконные проемы).
ГОСТ12.1.005-76 устанавливает оптимальные и допустимые метеорологические условиярабочей зоны в помещении.
Согласно ГОСТ12.1.005-76 лёгкие физические работы — это работы, производимые сидя, связанныес работой, не требующей систематического физического напряжения или поднятия ипереноса тяжести: энергозатраты -150 ккал/час, в соответствии с этимопределением работы, выполняемые оператором ЭВМ на рабочем месте с ВТ, можносчитать лёгкими.
На основаниивыше указанных стандартов для поддержания температуры и влажности воздуха висследуемом помещении в рамках оптимальных значений целесообразно применитькондиционирование воздуха.
Рациональновыбранная освещённость рабочего места является одним из важнейших факторовпредупреждения травматизма и профессиональных заболеваний. Правильноорганизованное освещение создаёт благоприятные условия труда, не утомляетглаза, повышает производительность труда.
Освещение нарабочем месте достаточное для нормальной зрительной работы с рукописным ипечатным текстами. Нормирование искусственного освещения осуществляется СНиП-11.4.79:1.7.
В помещенияхоператора ЭВМ (без дисплеев) уровень шума не превышает 65 дБ. В проектенаиболее рациональной мерой защиты от шума принято шумопоглощение, т.е.покрытие стен и потолков помещения звукопоглощающими минеральными плитками.
Безопасностьработ с радиоэлектронным оборудованием и содержание его в исправном состояниирегламентируется правилами техники безопасности и производственной санитарии вэлектронной промышленности, правилами технической эксплуатации электроустановокпотребителями. Степень поражения электрическим током в основном зависит отэлектрического сопротивления тела, которое в свою очередь зависит от:
состояниякожи (целости, чистоты, влажности);
площадисоприкосновения и плотности контакта;
значения ирода электрического тока и приложенного напряжения;
временипрохождения тока.
ГОСТ12.1.038-82 нормирует предельно допустимые уровни напряжения прикосновения ипрохождения тока по линии рука-рука и рука-нога, при продолжительностивоздействия не более 10 минут в сутки.
Мониторсоответстветствует определенным стандартам и требованиям. Стандарт ГОСТ 27954 — 88 на видеомониторы персональных ЭВМ. Требования этого стандарта обязательныдля любого монитора продаваемого на Украине. В соответствии с последнимирекомендациями, в проекте для защиты от вредных излучений от ЭЛТ будутприменяться защитные экраны (фильтры) двух типов:
толстое стекло,легированное ионами тяжелых металлов: -обеспечивает защиту от излучения ЭМП(В4, Н4, С4, УФО);
- толстоестекло с тонким проводящим покрытием и с заземляющим проводником: — ослабляетизлучение электростатического поля и ЭПМ.
Применениежидкокристаллических дисплеев позволяет экономить место для работы, а такжеубрать составляющую электромагнитных излучений от ВДТ.
Кроме того, сцелью оптимизации ионизации воздуха в помещении ПЭО рекомендуется установитьбиополярный коронный аэроионизатор с транспортом аэроионов воздушным потоком.Это приведет к улучшению дыхания операторов ЭВМ.
Согласно ГОСТ12.1.004-85 характерный аварийный пожароопасный режим электротехническогоизделия — это такой режим работы, при котором нарушается соответствиеноминальных параметров и нормальных условий в эксплуатации изделия или егосоставных частей приводящее к выходу из строя и создающее условия возникновениявозгорания. При анализе пожарной безопасности на рабочем месте нужно исходитьиз того, что опасность возникновения пожара определяется, в основном, причинамиэлектрического характера. К ним относятся:
короткоезамыкание;
перегрузка.
Ток короткогозамыкания достигает больших значений, а сопровождающее тепловое и динамическоевоздействие может вызвать разрушение электрооборудования, воспламенениеизоляции. Во избежание короткого замыкания в аппаратуре применяют, как правило,плавкие предохранители. Розетки применены с заземлением. Для огнетушениявозможного пожара в помещении находяться огнетушители углекислотные (ОУ-2). Вцелях увеличения пожарной безопасности в помещениях установлена пожарнаясигнализация.
/>Выводы
В рамкахдипломного проекта была спроектирована локальная сеть, в которой использовалисьразные технологии построения сетей. Было проанализировано разные способы защитесети от атак. Сделан анализ программных и аппаратных средств защиты.
Был созданпроект компьютерной сети предприятия в котором были продуманы и избранытопология подключения, размещения серверов и рабочих станций, было избранопрограммное обеспечение которое сможет выполнять все функции необходимые дляработы предприятия. Для соединения компьютеров была избрана топология расширеназвезда, она является самой надежной и проверенной на сегодняшний день. Былиизбраны технологии Fast Ethernet и Gigabyte Ethernet. Эти технологии позволяютпередачу данных на скорости 100 и 1000 мегабайт в секунду.
Для созданиябезопасности сети, была продумана конфигурация сервера на котором будетиспользоваться брандмауэр “NetFilter”, который будет позволять отказывать вдоступе. Брандмауэр будет также создавать системные отчеты в которых будетзаписываться все неудачные попытки подключения к серверу. В сети предприятиябудет использоваться разбивка на разные Ip сети, помогут разделить серверы ирабочие станции и намного осложнить проникновение Хакеров в сеть предприятия.