Диплом

ВВЕДЕНИЕ
Межсетевой экран — это устройство контроля доступа в сеть,
предназначенное
для
блокировки
всего
трафика,
за
исключением
разрешенных данных. Этим оно отличается от маршрутизатора, функцией
которого является доставка трафика в пункт назначения в максимально
короткие сроки.
Существует мнение, что маршрутизатор также может играть роль
межсетевого экрана. Однако между этими устройствами существует одно
принципиальное различие: маршрутизатор предназначен для быстрой
маршрутизации трафика, а не для его блокировки. Межсетевой экран
представляет собой средство защиты, которое пропускает определенный
трафик из потока данных, а маршрутизатор является сетевым устройством,
которое можно настроить на блокировку определенного трафика.
Кроме того, межсетевые экраны, как правило, обладают большим
набором настроек. Прохождение трафика на межсетевом экране можно
настраивать по службам, IP-адресам отправителя и получателя, по
идентификаторам пользователей, запрашивающих службу. Межсетевые
экраны
позволяют
осуществлять
централизованное
управление
безопасностью. В одной конфигурации администратор может настроить
разрешенный входящий трафик для всех внутренних систем организации. Это
не устраняет потребность в обновлении и настройке систем, но позволяет
снизить вероятность неправильного конфигурирования одной или нескольких
систем, в результате которого эти системы могут подвергнуться атакам на
некорректно настроенную службу.
Целью выпускного квалификационного проекта является организация и
настройка
программного
межсетевого
экрана
для
муниципального
образовательного учреждения.
4
Исходя из поставленной цели необходимо выполнить следующие
задачи:
- выявить теоретические основы локальных вычислительных сетей;
- изучить сетевые операционные системы
- изучить возможности межсетевого экрана;
- рассмотреть
процесс
установки
и
настройки
программного
межсетевого экрана.
Объектом исследования является программный межсетевой экран.
Предметом исследования является процесс организации и настройки
программного межсетевого экрана для муниципального образовательного
учреждения.
5
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЛОКАЛЬНЫХ
ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ
1.1
Основные типы сетей
Одноранговая сеть (показана на рисунке 1) – это сеть равноправных
компьютеров, каждый из которых имеет уникальное имя (имя компьютера) и
обычно пароль для входа в него во время загрузки ОС. Имя и пароль входа
назначаются владельцем компьютера средствами ОС. Каждый компьютер
такой сети может одновременно являться и сервером, и клиентом сети, хотя
вполне допустимо назначение одного компьютера только сервером, а другого
только клиентом.
Рисунок 1 – Одноранговая сеть
В одноранговых сетях допускается определение различных прав
пользователей по доступу к сетевым ресурсам, но система разграничения прав
не слишком развита. Если каждый ресурс защищен своим паролем, то
пользователю приходится запоминать большое число паролей.
Сейчас считается, что одноранговая сеть наиболее эффективна в
небольших сетях (около 10 компьютеров). При значительном количестве
компьютеров сетевые операции сильно замедлят работу компьютеров и
создадут множество других проблем. Тем не менее, для небольшого офиса
одноранговая сеть – оптимальное решение.
6
Для создания одноранговой сети требуется всего-навсего установить на
персональных компьютерах операционную систему, поддерживающую
одноранговые сети, а затем объединить компьютеры в сеть (то есть снабдить
каждый компьютер сетевой картой и соединить их кабелем; если у вас
компьютеры Macintosh, то даже сетевые карты вставлять не нужно).
Клиент-серверная локальная сеть (показана на рисунке 2) применяются
в тех случаях, когда в сеть должно быть объединено много пользователей и
возможностей одноранговой сети может не хватить. Тогда в сеть включается
специализированный компьютер – сервер.
Рисунок 2 - Клиент-серверная сеть
Сервером называется абонент сети, который предоставляет свои
ресурсы другим абонентам, но сам не использует ресурсы других абонентов,
то есть служит только сети. Выделенный сервер — это сервер, занимающийся
только сетевыми задачами. Невыделенный сервер может заниматься помимо
обслуживания сети и другими задачами. Специфический тип сервера — это
сетевой принтер.
Серверы специально оптимизированы для быстрой обработки сетевых
запросов на разделяемые ресурсы и для управления защитой файлов и
каталогов. При больших размерах сети мощности одного сервера может
оказаться недостаточно, и тогда в сеть включают несколько серверов. Серверы
могут выполнять и некоторые другие задачи: сетевая печать, выход в
7
глобальную сеть, связь с другой локальной сетью, обслуживание электронной
почты и т.д.
Количество пользователей сети на основе сервера может достигать
нескольких тысяч. Одноранговой сетью такого размера просто невозможно
было бы управлять. Кроме того, в сети на основе серверов можно легко менять
количество
подключаемых
компьютеров,
такие
сети
называются
масштабируемыми.
Для обеспечения надежной работы сети при авариях электропитания
применяется бесперебойное электропитание сервера. В данном случае это
гораздо проще, чем при одноранговой сети, где желательно оснащать
источниками бесперебойного питания все компьютеры сети.
С увеличением размеров сети и объема сетевого трафика необходимо
увеличивать количество специализированных серверов. Распределение задач
среди нескольких специализированных серверов гарантирует, что каждая
задача будет выполняться самым эффективным способом из всех возможных.
Принт-сервер – это устройство, позволяющее группе пользователей
проводных и беспроводных сетей совместно использовать принтер дома или в
офисе. Функции принт-сервера – принять запросы на вывод печати, выстроить
их в очередь и согласно ей отправлять на принтер. Таким образом, экономятся
средства на комплектацию каждого компьютера собственным принтером, их
память освобождается для других задач, рационально используется офисное
пространство.
Сервер рабочей группы – многофункциональное аппаратное решение
для группы компьютеров. Объединяет в себе возможности файлового сервера,
сервера приложений, базы данных, принт/факс-сервера, почтового и других, в
зависимости от потребностей. При общем использовании сервер рабочей
группы обязан разграничивать доступ к данным и права пользователей.
Обычно имеет один процессор, чаще всего используется в небольших фирмах,
где нет нужды в выделении серверов для отдельных задач.
8
Почтовый
сервер,
сервер
электронной
почты,
или
мейл-
сервер использует специальное программное обеспечение, позволяющее
пользователям общаться в сети. Он поддерживает службы электронной почты
и телеконференций, благодаря которым пользователи могут обмениваться
информацией. Чаще всего в локальных сетях применяются программу обмена
сообщениями Microsoft Excel [9].
Сервер DHCP (Dynamic Host Configuration Protocol) запускает
одноименную службу, которая автоматически распределяет IP-адреса между
устройствами, подключенными к одной сети в пределах внутренней среды
Microsoft Windows Server.
Web-сервер (сервер web-приложений) – специально выделенный
компьютер, который отвечает за доступ к сайту кампании пользователей
Интернета, корректное и быстрое отображение статических или динамических
страниц. Web-сервер обязан обеспечить бесперебойную работу Интернетресурса с учетом посещаемости, противостоять сетевым атакам, не допускать
возможности взлома. Чем большую роль играет Интернет-сайт в бизнеспроцессе (например, обеспечивает связь с клиентами, является каналом сбыта
продукции), тем важнее для нее этот сервер.
Файловый сервер - аппаратное решение, позволяющее хранить файлы
необходимые для пользователей сети. В их число могут входить файлы,
используемые совместно большим количеством людей. Обычно эти файлы
содержатся в так называемой общей папке, которая может включать личные
папки отдельных пользователей. Основное преимущество файлового сервера
заключается в том, что все важнейшие файлы содержатся в едином
хранилище, что значительно облегчает резервное копирование данных. Но,
если на файловом сервере происходит какой-либо сбой, пользователи не могут
получить доступ к собственным файлам.
В
локальной
сети
вам
могут
потребоваться
и
другие
специализированные серверы, такие как DNS (Domain Name Service)-сервера.
Эти сервера выполняют разрешение имен, то есть преобразование
9
дружественных имен в соответствующие адреса. Нередко DNS - серверы
устанавливаются и в локальных сетях для предоставления такой же услуги.
1.2 Топологии компьютерных сетей
Существует
несколько
сетевых
топологий,
под
топологией
подразумевается порядок расположения компьютеров и других элементов
локальной сети [10].
Хотя топология в некотором смысле отражает и тип используемых
кабелей, и сетевую архитектуру, это всего лишь модель, и во многих случаях
в локальной сети может использоваться смешение двух различных топологий.
Шинная топология (показана на рисунке 3) предполагает использование
одного кабеля, к которому подключаются все компьютеры сети. Отправляемое
какой-либо
рабочей
станцией
сообщение
распространяется
на
все компьютеры сети. Каждая машина смешно проверяет кому адресовано
сообщение, если сообщение адресовано ей, то обрабатывает его
Рисунок 3 – Топология «шина»
Шина самой своей структурой допускает идентичность сетевого
оборудования компьютеров, а также равноправие всех абонентов. При таком
соединении
компьютеры
могут
передавать
информацию
только
по
очереди, последовательно, потому что линия связи единственная. В
противном случае пакеты передаваемой информации будут искажаться в
результате взаимного наложения (то есть произойдет конфликт, коллизия).
10
Таким образом, в шине реализуется режим полудуплексного обмена: данные
могут передаваться в обоих направлениях, но лишь в различные моменты
времени, а не одновременно (то есть последовательно, а не параллельно).
В топологии шина отсутствует центральный абонент, через которого
передаётся вся информация, что увеличивает надёжность «шины». (При отказе
любого центра перестаёт функционировать вся управляемая им система.)
Добавление новых абонентов в «шину» достаточно простое и обычно
возможно даже во время работы сети. В большинстве случаев при
использовании «шины» нужно минимальное количество соединительного
кабеля по сравнению с другой топологией.
«Шине» не страшны отказы отдельных компьютеров, потому что все
другие компьютеры сети продолжат нормально обмениваться информацией.
Но так как используется только один общий кабель, в случае его обрыва
нарушается работа всей сети. Может показаться, что «шине» обрыв кабеля не
страшен, поскольку в этом случае остаются две полностью работоспособные
«шины».
Топология кольцо (показана на рисунке 4) – это топология, в которой все
узлы соединены каналами связи в неразрывное кольцо, по которому
передаются данные. Выход одного ПК соединяется со входом другого ПК.
Начав движение из одной точки, данные, в конечном счете, попадают на его
начало. Данные в кольце всегда движутся в одном и том же направлении.
Рисунок 4 – Топология «кольцо»
11
Принимающая рабочая станция распознает и получает только
адресованное ей сообщение. В сети с топологией типа физическое кольцо
используется маркерный доступ, который предоставляет станции право на
использование кольца в определенном порядке. Логическая топология данной
сети — логическое кольцо. Данную сеть очень легко создавать и настраивать.
К основному недостатку сетей топологии кольцо относится то, что
повреждение линии связи в одном месте или отказ ПК приводит к
неработоспособности всей сети.
Как правило, в чистом виде топология «кольцо» не применяется из-за
своей
ненадёжности,
поэтому на практике
применяются различные
модификации кольцевой топологии.
Топология звезда (показана на рисунке 5) — базовая топология
компьютерной сети, в которой все компьютеры сети присоединены к
центральному узлу (обычно коммутатор), образуя физический сегмент сети.
Подобный сегмент сети может функционировать как отдельно, так и в составе
сложной сетевой
топологии (как
правило,
«дерево»).
Весь
обмен
информацией идет исключительно через центральный компьютер или агрегат,
на который таким способом возлагается очень большая нагрузка, поэтому
ничем другим, кроме сети, он заниматься не может. Как правило, именно
центральный компьютер или агрегат является самым мощным в сетевом
отношении, и именно на него возлагаются все функции по управлению сетью
и передаче данных.
Рисунок 5 – Топология «звезда»
12
Рабочая станция, с которой необходимо передать данные, отсылает их
на концентратор. В определённый момент времени только одна машина в сети
может пересылать данные, если на концентратор одновременно приходят два
пакета, обе посылки оказываются не принятыми и отправителям нужно будет
подождать случайный промежуток времени, чтобы возобновить передачу
данных. Этот недостаток отсутствует на сетевом устройстве более высокого
уровня — коммутаторе, который, в отличие от концентратора, подающего
пакет на все порты, подает лишь на определённый порт — получателю.
Одновременно может быть передано несколько пакетов. Сколько — зависит
от коммутатора [8].
1.3 Сетевое аппаратное обеспечение
Сетевой адаптер (Network Interface Card – NIC), является важным
аппаратным
компонентом,
используемым
для
обеспечения
сетевых
подключений. По мере широкого применения на рынке, появляются
различные типы сетевых адаптеров, таких как карта PCIe и сетевая карта
сервера.
Адаптер NIC (показан на рисунке 9) может передавать сигналы на
физическом уровне и доставлять пакеты данных на сетевом уровне.
Независимо от того, на каком уровне находится контроллер сетевого адаптера,
он действует как посредник между компьютером/сервером и сетью передачи
данных.
Рисунок 9 – Сетевой адаптер
13
Технические характеристики сетевой карты должны быть согласованы с
пропускной способностью сети. К примеру, если вы работаете в сети Fast
Ethernet (сеть Ethernet, оснащенная быстродействующими коммутаторами),
где скорость передачи данных составляет 100 Мбит/с, сетевая карта для
Ethernet, рассчитанная на 10 Мбит/с, вам не подойдет. Вскоре вы узнаете, что
большинство
новых
сетевых
интерфейсных
карт
автоматически
переключаются с 10 Мбит/с на 100 Мбит/с (удовлетворяя требованиям как
Ethernet, так и Fast Ethernet) [1].
Концентратор (показан на рисунке 10) – оборудование, применяемое для
объединения нескольких рабочих станций в сеть. Концентратор используется
для усиления сигнала и в некоторых случаях может быть исключен из
структуры сети. Получая сигнал от одной из станций, он транслирует его на
все свои порты. При этом, если один из портов неисправен, он автоматически
отключается.
Рабочая
группа,
которую
необходимо
подключить
к
концентратору, должна иметь определенное территориальное размещение,
схожие производственные функции, использовать однотипное программное
обеспечение и общие информационные хранилища.
Рисунок 10 - Концентратор
Концентраторы используются в сетях с витой парой. Порты
концентратора служат точками соединения сетевых устройств. Компьютеры и
14
прочие устройства подключаются к концентратору с помощью отдельных
кабелей. Концентраторы отличаются друг от друга по форме, размеру и
количеству портов [3].
Если портов концентратора не хватает, к нему можно подсоединить еще
один концентратор (концентраторы соединяются в «гирлянду» посредством
короткого соединительного кабеля).
Повторитель (показан на рисунке 11) – устройство, действующее на
физическом уровне, предназначенное для компенсации затухания в среде
передачи данных путем усиления сигналов в целях увеличения расстояния их
распространения.
Одной
из
разновидностей
повторителей
являются
конверторы среды. Они позволяют преобразовывать сигналы, например, при
соединении витой пары и оптоволоконного кабеля, при переходе из одной
среды передачи в другую.
Рисунок 11 - Повторитель
Шлюз – устройство, оперирующее на верхних уровнях модели OSI
(сеансовом, представления и приложений). Они соединяют сети с разными
несовместимыми сетевыми протоколами путем преобразования протоколов
передаваемых данных из одного протокола в другой (например, из TCP/IP в
IPX).
Мост – устройство, обеспечивающее передачу данных между двумя и
более
сетями.
Разные
сети,
которые
объединены
в
единую
сеть,
называют сетевыми сегментами. Мосты обладают большими возможностями,
15
чем концентраторы и репитеры, и даже используют специальное программное
обеспечение. Мост способен прочитать МАС-адрес.
Разветвитель — пассивное устройство для соединения более двух
кабельных сегментов. Разветвитель выполняется в герметичном корпусе из
поликарбоната,
оснащается
пластиковыми
кабельными
вводами.
Присоединение кабелей производится винтовыми зажимными клемниками.
Модем – устройство, преобразующее цифровые сигналы в аналоговую
форму для передачи их по каналам связи аналогового типа, и наоборот.
Коммутатор (показан на рисунке 12) – применяется для объединения
нескольких рабочих групп локальной сети. Коммутатор работает на канальном
уровне модели OSI. Он не занимается расчетом пути для дальнейшей передачи
сигнала, а только передает данные от одного порта к другому на основании
информации, которую передает. При этом коммутатор транслирует сигналы
не ко всем портам, которые у него есть, а только одному, заранее выбранному.
Рисунок 12 - Коммутатор
Маршрутизатор (показан на рисунке 13) – оборудование для
объединения нескольких рабочих групп локальной сети, осуществляющее
фильтрацию трафика, инициируя сетевые адреса (IP). Маршрутизаторы
работают на сетевом уровне модели OSI. Важнейшей задачей маршрутизатора
является расчёт маршрута передачи данных с наименьшей задержкой времени
и высокой 25 оперативностью. Он использует таблицу маршрутизации - базы
данных, содержащие данные о возможных маршрутах передачи с некоторой
дополнительной информацией – состояние канала, время доставки, полоса
пропускание и пр.
16
Рисунок 13 -Маршрутизатор
Такие
повторители,
интерфейсные
устройства,
маршрутизаторы,
шлюзы,
как
концентраторы,
предлагаются
мосты,
изготовителями
оборудования для решения проблемы межсетевого взаимодействия.
Основное различие между этими устройствами состоит в том, что
повторители действуют на 1-м (физическом) уровне в соответствии с моделью
OSI/ISO, мосты — на 2-м (канальном) уровне, маршрутизаторы — это
устройства, которые действуют на 3-м (сетевом) уровне, а шлюзы — на 4-7-м
уровнях [6].
1.4 Сетевая модель OSI
Сетевая модель — это модель взаимодействия сетевых протоколов. А
протоколы в свою очередь, это стандарты, которые определяют каким
образом, будут обмениваться данными различные программы [4].
OSI расшифровывается как Open System Interconnection. На русском
языке это звучит следующим образом: Сетевая модель взаимодействия
открытых систем (эталонная модель). Эту модель можно смело назвать
стандартом. Именно этой модели придерживаются производители сетевых
устройств, когда разрабатывают новые продукты.
Модель OSI (Open System Interconnection) – это семиуровневая сетевая
иерархия, которую разработала Международная организация по стандартам
(ISO). Данная эталонная модель также иногда называется стеком OSI.
17
Сетевая модель определяет взаимодействие сетевых протоколов.
Последние, в свою очередь, определяют то, как различные программы будут
обмениваться данными.
В модели OSI (показана на рисунке 14) средства взаимодействия делятся
на семь уровней: прикладной, представления, сеансовый, транспортный,
сетевой, канальный и физический. Каждый уровень имеет дело с совершенно
определенным аспектом взаимодействия сетевых устройств. Благодаря этому
общая задача передачи данных расчленяется на отдельные, легко обозримые
задачи [2].
Рисунок 14 - Модель OSI
Физический уровень (physical layer) — первый уровень сетевой модели
OSI. Это нижний уровень модели OSI — физическая и электрическая среда
для передачи данных. Физический уровень описывает способы передачи бит
(а не пакетов данных) через физические среды линий связи, соединяющие
18
сетевые устройства. На этом уровне описываются параметры сигналов, такие
как амплитуда, частота, фаза, используемая модуляция, манипуляция.
Решаются вопросы, связанные с синхронизацией, избавлением от помех,
скоростью передачи данных.
Физический уровень имеет дело с передачей битов по физическим
каналам связи, таким, например, как коаксиальный кабель, витая пара,
оптоволоконный кабель или радиоканал. К этому уровню имеют отношение
характеристики физических сред передачи данных, такие как полоса
пропускания, помехозащищенность, волновое сопротивление и другие.
На этом же уровне определяются характеристики электрических
сигналов, передающих дискретную информацию, например, крутизна
фронтов импульсов, уровни напряжения или тока передаваемого сигнала, тип
кодирования,
скорость
передачи
сигналов.
Кроме
этого,
здесь
стандартизуются типы разъемов и назначение каждого контакта.
Функции физического уровня реализуются во всех устройствах,
подключенных к сети. Со стороны компьютера функции физического уровня
выполняются сетевым адаптером или последовательным портом. Сетевой
адаптер работает на физическом и канальном уровнях. К физическому уровню
относится та часть функций сетевого адаптера, которая связана с приемом и
передачей сигналов по линии связи, а получение доступа к разделяемой среде
передачи, распознавание МАС-адреса компьютера — это уже функция
канального уровня.
Осуществляют передачу электрических или оптических сигналов в
кабель или в радиоэфир и, соответственно, их приём и преобразование в биты
данных в соответствии с методами кодирования цифровых сигналов.
На этом уровне также работают концентраторы, повторители сигнала и
медиаконверторы.
Канальный уровень (Data Link layer) — уровень сетевой модели OSI,
предназначенный для обмена данными между узлам находящимся в том же
сегменте локальной сети, путем передачи специальных блоков данных,
19
которые называются кадрами (frame). В процессе формирования кадров
данные снабжаются служебной информацией (заголовком), необходимой для
корректной доставки получателю, и, в соответствии с правилами доступа к
среде передачи, отправляются на физический уровень. Таким образом
канальный уровень обеспечивает создание, передачу и прием кадров данных.
Канальный уровень отвечает за доставку кадров между устройствами,
подключенными к одному сетевому сегменту. Кадры канального уровня не
пересекают границ сетевого сегмента. Кадры передаются последовательно с
обработкой кадров подтверждения, отсылаемых обратно получателем.
Этот уровень обслуживает запросы сетевого уровня и использует сервис
физического уровня для приема и передачи пакетов.
Сетевой уровень (Network layer) — 3-й уровень сетевой модели OSI,
предназначается для определения пути передачи данных. Отвечает за
трансляцию логических
кратчайших
адресов и
имён
в физические,
маршрутов, коммутацию и маршрутизацию,
определение
отслеживание
неполадок и заторов в сети.
Основная задача сетевого уровня модели OSI (или уровня сетевого
взаимодействия протокола TCP/IP) — доставка пакетов от одного узлаотправителя к узлу-получателю не зависимо от того к какой локальной сети
принадлежат узлы. Если на канальном уровне передача информации между
узлами сети возможна только в пределах одной логической сети, то сетевой
уровень определяет правила доставки данных между логическими сетями,
формирование логических адресов сетевых устройств, определение, выбор и
поддержание маршрутной информации.
Если на канальном уровне адресация узлов осуществлялась при помощи
физического МАС-адреса сетевого устройства, то на сетевом уровне
появляются логические адреса — IP адреса сетевого устройства (интерфейса).
IP-адреса интерфейсов одной IP-сети имеют общую часть, которая называется
адресом или номером IP-сети и специфическую для каждого интерфейса часть,
называемую адресом, или номером, данного интерфейса в данной IP-сети.
20
Транспортный уровень (Transport layer) — 4-й уровень сетевой модели
OSI, предназначен для доставки данных. При этом неважно, какие данные
передаются, откуда и куда, то есть, он предоставляет сам механизм передачи.
Блоки данных он разделяет на фрагменты, размеры которых зависят от
протокола: короткие объединяет в один, а длинные разбивает. Протоколы
этого уровня предназначены для взаимодействия типа точка-точка.
В случае с коммутацией каналов транспортный уровень отвечает за
установление поддержание и разъединение соединений. Если в сети
реализована коммутация пакетов, то транспортный уровень реализует методы,
гарантирующие
правильный
порядок
поступления
данных,
а
также
устранение дублирования данных, полученных из сети, для обработки к
верхним уровням сигнализации. Такая обработка становится необходимой,
когда исходной сообщение разбивается на пакеты. Кроме того, транспортный
уровень в отличие от нижележащих уровней сигнализации выполняет
сквозной контроль целостности данных от источника к получателю.
Транспортный уровень проверять ошибки в исходном сообщении после его
сборки из полученных из сети пакетов.
В
целом,
задачи
транспортного
уровня
схожи
с
задачами канального и сетевого уровней. Целью введения транспортного
уровня при разработке модели OSI являлось создание прочной базы для
нижележащих уровней. Основное отличие между уровнями 2 и 3 с одной
стороны и уровнем 4 с другой заключается в том, что транспортный уровень
выполняет свои задачи на участке между источником и передатчиком, в то
время как сетевой и канальный уровни – только на отдельных сегментах сети.
Сеансовый уровень (Session layer) — 5-й уровень сетевой модели OSI,
отвечает
за
поддержание
сеанса
связи,
позволяя
приложениям
взаимодействовать между собой длительное время. Уровень управляет
созданием/завершением сеанса, обменом информацией, синхронизацией
задач, определением права на передачу данных и поддержанием сеанса в
периоды неактивности приложений. Синхронизация передачи обеспечивается
21
помещением в поток данных контрольных точек, начиная с которых
возобновляется процесс при нарушении взаимодействия. Сеансы передачи
составляются из запросов и ответов, которые осуществляются между
приложениями. В случае потери соединения этот протокол может попытаться
его восстановить. Если соединение не используется длительное время, то
протокол сеансового уровня может его закрыть и открыть заново. Он
позволяет производить передачу в дуплексном или в полудуплексном
режимах и обеспечивает наличие контрольных точек в потоке обмена
сообщениями.
Представительский уровень (Open Systems Interconnection) служит для
распознавания типа и форматирования данных перед их отправкой
к прикладному уровню для отображения, дальнейшей обработки и т.п.
Представительский уровень облегчает работу прикладному уровню и снимает
с него ряд задач. Типичными функциями для представительского уровня
являются изменение кодировки данных, последовательно-параллельное
(параллельно-последовательное)
преобразование,
а
также
сжатие
и
расширение данных. Под перекодированием понимается изменение способа
представления данных из вида удобного для их обработки к виду, удобному
для их передачи. Вторая задача обусловлена тем, что обычно для обработки и
хранения данных, биты передаются параллельно (обычно по шинам с числом
линий кратным 8), а передавать информацию на дальние расстояния удобнее
в последовательном виде - когда биты идут один за другим. Сжатие данных
позволяет уменьшить их объем. Это достигается за счет использования
различных алгоритмов или кодеков.
Прикладной уровень (Application Layer) ответственен за прямой доступ
к лежащим в основе процессам, которые управляют коммуникацией и делают
ее доступной для пользователей. На этом уровне происходит соприкосновение
социальной и информационной сетей, начинается и заканчивается отправка
сообщений через сеть передачи данных.
22
Приложения, протоколы и службы Прикладного уровня позволяют
пользователям взаимодействовать с сетями данных понятным и эффективным
способом [5].
1.5 Сетевые операционные системы
Серверная операционная система – это специальное программное
обеспечение, которое используется в качестве платформы для запуска
многопользовательских компьютерных программ, приложений, сетевых
программ, а также для решения важных вычислительных задач для бизнеса.
Этот тип операционной системы (ОС) часто поставляется в комплекте с
наиболее распространенными типами приложений, развернутыми в модели
клиент-сервер — этот термин используется для обозначения обмена
информацией между компьютерами [6].
Часто используемые приложения в клиент-серверной модели управляют
операциями по совместному использованию файлов и принтеров в сети,
хостингу и обслуживанию web-страниц через Интернет, использованию служб
удаленного доступа, отправке и получению электронной почты. Серверная
операционная
система
является
платформой,
которая
обеспечивает
выполнение каждой из этих операций.
Наличие
и
функциональность
административных
инструментов,
предназначенных для управления серверной операционной систем имеет
важное значение, так как операционная система, создаваемые для серверов,
как правило, не настолько удобны в настройке и эксплуатации по сравнению
операционной системой для локальных компьютеров.
Крайне важное значение имеет стабильность работы оборудования,
функционирующего под управлением серверной операционной системы.
Также очень важны возможности установки и работы под выбранной для
сервера ОС
необходимых для решения задач организации программ
23
сторонних производителей, например, таких, как обработка электронной
почты организации [8].
Сейчас сетевое программное обеспечение стало более сложным и
поддерживает множество различных сервисов, то есть один сервер может
обеспечивать как удаленный доступ, так и Web-сервисы, а также служить
маршрутизатором
между
двумя
IP-подсетями.
Интерфейс
сетевых
операционных систем тоже стал более дружественным по отношению к
системным администраторам.
Для обмена информацией между сетевым клиентом и сервером
клиентские компьютеры должны быть снабжены программным обеспечением,
которое «настраивает» их на работу в сети. Такое программное обеспечение
называется сетевым клиентским программным обеспечением.
Когда компьютер обращается к файлу на локальном жестком диске или
к принтеру, подключенному напрямую, запрос отправляется процессору
компьютера. Процессор выполняет запрос и либо открывает указанный файл,
либо отправляет на принтер задание для печати. Все эти операции
осуществляются локально. Сетевое клиентское программное обеспечение,
установленное
операцию,
на
клиентском
благодаря
которой
компьютере,
компьютер
выполняет
считает
специальную
сетевые
ресурсы
локальными.
Этот процесс осуществляется компонентом сетевого клиентского
программного
обеспечения,
который
называется
редиректором.
Он
перехватывает любые запросы, выполненные на компьютере, например
требование открыть определенный файл или распечатать данные на принтере.
Если редиректор обнаруживает, что пользователь хочет обратиться к
удаленному файлу на сервере или распечатать на сетевом принтере, запрос
отправляется на сетевой сервер. Если запрашивается доступ к локальному
файлу (на жестком диске компьютера), редиректор передает запрос
процессору компьютера, и этот запрос будет обработан локально.
24
1.6 Возможности межсетевых экранов
В то время как базовая функциональность межсетевых экранов обоих
типов осталась прежней (что является причиной большинства «слабых мест»
этих устройств), сегодня на рынке присутствуют гибридные межсетевые
экраны.
Практически
невозможно
найти
межсетевой
экран,
функционирование которого построено исключительно на прикладном уровне
или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком,
так как оно позволяет администраторам, отвечающим за безопасность,
настраивать устройство для работы в конкретных условиях.
Политика сетевой безопасности каждой организации должна включать
две составляющие:
- политика доступа к сетевым сервисам;
- политика реализации межсетевых экранов.
Политика доступа к сетевым сервисам должна быть уточнением общей
политики организации в отношении защиты информационных ресурсов в
организации. Для того чтобы межсетевой экран успешно защищал ресурсы
организации, политика доступа пользователей к сетевым сервисам должна
быть реалистичной. Таковой считается политика, при которой найден
гармоничный баланс между защитой сети организации от известных рисков и
необходимостью доступа пользователей к сетевым сервисам. В соответствии
с принятой политикой доступа к сетевым сервисам определяется список
сервисов Интернета, к которым пользователи должны иметь ограниченный
доступ. Задаются также ограничения на методы доступа, необходимые для
того, чтобы пользователи не могли обращаться к запрещенным сервисам
Интернета обходными путями [7].
Межсетевой экран может реализовать ряд политик доступа к сервисам.
Но обычно политика доступа к сетевым сервисам основана на одном из
следующих принципов:
25
- запретить доступ из Интернета во внутреннюю сеть и разрешить
доступ из внутренней сети в Интернет;
- разрешить ограниченный доступ во внутреннюю сеть из Интернета,
обеспечивая работу только отдельных авторизованных систем,
например информационных и почтовых серверов [5].
В
соответствии
с
политикой
реализации
межсетевых
экранов
определяются правила доступа к ресурсам внутренней сети. Прежде всего
необходимо установить, насколько «доверительной» или «подозрительной»
должна быть система защиты. Иными словами, правила доступа к внутренним
ресурсам должны базироваться на одном из следующих принципов:
- запрещать все, что не разрешено в явной форме;
- разрешать все, что не запрещено в явной форме.
Эффективность защиты внутренней сети с помощью межсетевых
экранов зависит не только от выбранной политики доступа к сетевым сервисам
и ресурсам внутренней сети, но и от рациональности выбора и использования
основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам охватывают
следующие сферы:
- фильтрация на сетевом уровне;
- фильтрация на прикладном уровне;
- настройка правил фильтрации и администрирование;
- средства сетевой аутентификации;
- внедрение журналов и учет.
Большинство компонентов межсетевых экранов можно отнести к одной
из трех категорий:
- фильтрующие маршрутизаторы;
- шлюзы сетевого уровня;
- шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые компоненты реальных
межсетевых экранов. Лишь немногие межсетевые экраны включают только
26
одну из перечисленных категорий. Тем не менее, эти категории отражают
ключевые возможности, отличающие межсетевые экраны друг от друга.
Для защиты корпоративной или локальной сети применяются
следующие основные схемы организации межсетевых экранов:
- межсетевой экран - фильтрующий маршрутизатор;
- межсетевой экран на основе двупортового шлюза;
- межсетевой экран на основе экранированного шлюза;
- межсетевой экран - экранированная подсеть.
Для защиты информационных ресурсов и обеспечения оптимальной
работы распределенных корпоративных информационных систем необходимо
применение комплексной системы информационной безопасности, которая
позволит эффективно использовать достоинства межсетевых экранов и
компенсировать их недостатки с помощью других средств безопасности.
Полнофункциональная защита корпоративной сети должна обеспечить:
- безопасное взаимодействие пользователей
и информационных
ресурсов с внешними сетями;
- технологически единый комплекс мер защиты для распределенных и
сегментированных локальных сетей подразделений предприятия;
- наличие иерархической системы защиты, предоставляющей средства
обеспечения безопасности для различных по степени закрытости
сегментов корпоративной сети.
Характер современной обработки данных в корпоративных системах
интернет требует наличия у межсетевых экранов следующих основных
качеств:
- мобильность
и
масштабируемость
относительно
различных
аппаратно-программных платформ;
- возможность интеграции с аппаратно-программными средствами
других производителей;
- простота установки, конфигурирования и эксплуатации;
27
- управление
в
соответствии
с
централизованной
политикой
безопасности.
В зависимости от масштабов организации и принятой на предприятии
политики безопасности могут применяться различные межсетевые экраны.
Для небольших предприятий, использующих до десятка узлов, подойдут
межсетевые экраны с удобным графическим интерфейсом, допускающие
локальное конфигурирование без применения централизованного управления.
Для крупных предприятий предпочтительнее системы с консолями и
менеджерами управления, которые обеспечивают оперативное управление
локальными межсетевыми экранами, поддержку виртуальных частных сетей.
Увеличение
потоков
информации, передаваемых
по
Интернету
компаниями и частными пользователями, а также потребность в организации
удаленного доступа к корпоративным сетям являются причинами постоянного
совершенствования технологий подключения корпоративных сетей к
Интернету.
Следует отметить, что в настоящее время ни одна из технологий
подключения, обладая высокими характеристиками по производительности, в
стандартной конфигурации не может обеспечить полнофункциональной
защиты корпоративной сети. Решение данной задачи становится возможным
только при использовании технологии межсетевых экранов, организующей
безопасное взаимодействие с внешней средой. Также межсетевые экраны
позволяют организовать комплексную защиту корпоративной сети от
несанкционированного доступа, основанную как на традиционной (IPпакетной) фильтрации контролируемых потоков данных, осуществляемой
большинством ОС семейства Windows и UNIX, так и на семантической
(контентной), доступной только коммерческим специальным решениям.
28
2 ОРГАНИЗАЦИЯ И НАСТРОЙКА ПРОГРАММНОГО
МЕЖСЕТЕВОГО ЭКРАНА ДЛЯ МУНИЦИПАЛЬНОГО
ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
2.1 Постановка задачи
В
качестве
объекта
организации
автоматизированной
системы,
предназначенной для мониторинга и диагностики мною был выбран
Майкопский
государственный
гуманитарно-технический
колледж
Адыгейского государственного университета, расположенный по адресу
город Майкоп, ул. Солнечная, дом 60.
В трех учебных корпусах колледжа функционирует 58 учебных
кабинета,
14
компьютерных
классов,
10
лабораторий.
Количество
компьютеров, используемых в процессе обучения составляет 300. Все они
объединены в локальную сеть и подключены к скоростному Интернету.
Коэффициент обеспеченности компьютерами составляет 8,2 студента на один
компьютер.
В
образовательном
процессе
используется
современное
инновационное оборудование – мультимедиа проекторы, интерактивные
электронные доски.
Мною были проанализированы различные программные межсетевые
экраны для локальных вычислительных сетей, и проведен опрос знакомых мне
специалистов организующих работу сетей других организаций. Я выбрал
подходящий мне программный межсетевой экран: Kerio Control.
Kerio Control - это программный межсетевой экран, разработанный
компаниями Kerio Technologies и Tiny Software. Основными функциями
программы являются: организация безопасного пользовательского доступа в
Интернет, надежная сетевая защита локальной вычислительной сети,
экономия трафика и рабочего времени сотрудников за счёт ограничения
нецелевого доступа к различным категориям веб-контента.
Kerio Control проводит глубокий анализ сетевых пакетов, обладает
расширенными возможностям для маршрутизации в сети, поддерживает IPv4
29
и IPv6. Тонкая настройка позволяет управлять входящим и исходящим
трафиком, разрешать соединения только с заданными URL, приложениями,
типом трафика, категориями данных и в указанное время суток.
Особенности Kerio Control:
- многоязычный интерфейс;
- возможность работы с несколькими сетевыми интерфейсами, в том
числе одновременно с несколькими внутренними (lan) и внешними
(wan) интерфейсами, инструменты балансировки нагрузки;
- полная поддержка ipv6;
- реализация
собственной
технологии
vpn,
превосходящей
по
производительности ipsec/l2tp, туннелирование нескольких лвс.
- гибкая настройка правил трафика;
- гибкие инструменты по фильтрации обращений по протоколам http,
https, ftp, пиринговых сетей;
- назначение различных прав доступа отдельным пользователям,
использование служб каталогов, в т.ч. active directory в качестве
источника базы данных пользователей;
- инструменты распознавания внешних угроз: сканирования портов,
угадывания паролей, ddos-атак, фильтрация входящих соединений по
геолокационному признаку, спуфинг;
- резервирование полосы пропускания канала, qos;
- блокировка сайтов в зависимости от категории (нужна отдельная
лицензия);
- расшифровка входящего https;
- прокси-сервер с настраиваемым кэшем;
- встроенный антивирус bitdefender - сканирование на лету http, ftp,
электронной почты;
- сервер dhcp;
- клиент динамического dns;
- сбор статистики и её отображение в виде журналов, диаграмм.
30
2.2 Установка и настройка программного межсетевого экрана
Для начала нужно скачать образ межсетевого экрана Kerio Control с
официально сайта, последняя версия 9.3.6 от 31 мая 2021 года (рисунок 15).
Рисунок 12 – Образ межсетевого экрана на официальном сайте
После скачивания образа нужно проверить наличие компонента
Hyper-V на системе. Для этого нужно зайти во вкладку добавление
компонентов и проверить наличие галочки напротив компонента Hyper-V
(рисунок 16), если ее нет, то нужно произвести установку данного компонента.
31
Рисунок 16 – Компонент Hyper-V
После установки компонента Hyper-V нужно перейти в диспетчер
Hyper-V (рисунок 17) для создания виртуальной машины, на которой будет
работать Kerio Control.
Рисунок 17 – Диспетчер Hyper-V
32
Теперь нужно создать виртуальную машину, для этого нужно нажать на
вкладку Действие-Создать-Виртуальная машина, чтобы перейти в Мастер
создания виртуальной машины (рисунок 18).
Рисунок 18 – Мастер создания виртуальной машины
В мастере создания виртуальной машины необходимо будет указать
имя, поколение, выделенную память, настройку сети и подключить
виртуальный жесткий диск. Нужно выбрать подходящие ресурсы для работы
виртуальной машины. Kerio Control имеет следующие минимальные
требования:
- аппаратное обеспечение поддерживаемое Linux ядром;
- 8 ГБ памяти с включенным файлом подкачки (лучше 16 ГБ);
- не менее 240 ГБ дискового пространства;
- 2 сетевых интерфейса Ethernet;
- 4-ядерный ЦП (лучше 8-ядерный).
33
В параметрах установки надо выбрать скачанный образ системы Kerio
Control (рисунок 19).
Рисунок 19 – Выбор образа системы в параметрах установки
После создания и запуска виртуальной машины нужно установить образ
системы на виртуальную машину. В ходе установки нужно задать язык
системы и подтвердить автоматическое разбиение диска на разделы. После
успешной установки появится сообщение с дальнейшими действиями
(рисунок 20).
34
Рисунок 20 – Сообщение об успешной установки
В результате успешной установки появится данное сообщение в
котором указан ip-адрес по которому нужно продолжить настройку (рисунок
21).
Рисунок 21 – IP-адрес для дальнейшей настройки
35
Перейдя по данному адресу появится окно с просьбой установить пароль
для администратора (рисунок 22).
Рисунок 22 – Окно с вводом пароля администратора
После установки пароля появится окно входа в панель Kerio Control
(рисунок 23).
36
Рисунок 23 – Окно входа в панель Kerio Control
После входа в панель впервую очередь нужно настроить интерфейсы для
доступа в интернет. Мною были настроены следующие интерфейсы:
- Internet – интерфейс имеющий доступ в сторону провайдера.
провайдер в данном учреждении предоставляет доступ по
статическому ip-адресу, поэтому дополнительных настроек не
потребовалось;
- Local – интерфейс смотрящий в сторону локальной сети;
- BUH – интерфейс имеющий доступ в изолированную сеть
учреждения;
- Service – резервный интерфейс находящийся на материнской
плате сервера, использующийся для доступа к серверу в случае
поломки дополнительной сетевой карты.
На рисунке 24 показаны настроенные интерфейсы.
37
Рисунок 24 – Настроенные интерфейсы
Следующим
шагом
мною
был
настроен
DHCP-сервер
для
автоматической раздачи IP-адресов клиентам локальной сети. Для этого мною
использовалась сеть 10.200.0.0 с маской 255.255.0.0. Было принято решение
разделить сетевое пространство на следующие группы:
- учебные, имеющие сеть 10.200.X.0 с маской 255.255.255.0, где X номер кабинета;
- служебные, имеющие сеть 10.200.10.0 с маской 255.255.255.0.
- не определенные – это хосты которые не авторизованны в сети
учреждения и не должны иметь доступ во внутреннюю сеть.
На рисунке 25 показана реализованные группы IP-адресов.
38
Рисунок 25 – Группы IP-адресов
Следующим шагом мною была настроена полоса пропускания, для
оптимизации использования сетевой среды. Хосты входящие в группу
учебных кабинетов имеют огриничение в 10 Мб/с для того чтобы хосты
входящие в группу служебные не испытывали просадку по скорости.
На рисунке 26 показана настроенная полоса пропускания.
39
Рисунок 26 – Полоса пропускания
Дальше мною было решено настроить фильтрацию содержимого для
ограничения учебных хостов к социальным сетям и сайтов с играми. Так же
был настроен фильтр применяемый к неизвестным хостам, при попытке зайти
на любую страницу их будет перенаправлять на страницу заглушку с
требованием обратиться к системному администратору для авторизации
компьютера в сети. На рисунке 27 показан фильтр содержимого.
Рисунок 27 – Фильтр содержимого
40
Последним шагов в настроке межсетевого экрана является настройка
правил трафика. Мною были реализованы следующие правила:
- преобразование всех локальных ip-адресов в глобальный;
- преобразование служебных локальных ip-адресов в адрес для
доступа к закрытому сегменту сети под названием BUH;
- правило разрешающее доступ к серверу с адресов глобальной сети
по порту 10505 вместо стандартного 3389;
- правило запрещающее хостам состоящих в учебной группе
использовать VPN, для предотвращения попыток обхода фильтра
содержимого.
На рисунке 28 показаны настроенные правила трафика.
Рисунок 28 – Правила трафика
41
ЗАКЛЮЧЕНИЕ
Интенсивное развитие ресурсов компьютерных сетей, появление новых
технологий поиска информации привлекают все большее внимание к сети
Интернет со стороны частных лиц и различных организаций. Многие
организации принимают решения по интеграции своих локальных и
корпоративных сетей в Интернет. Использование Интернета в коммерческих
целях,
а
также
при
передаче
информации,
содержащей
сведения
конфиденциального характера, влечет за собой необходимость построения
эффективной системы защиты данных. Использование ресурсов сети
Интернет обладает неоспоримыми достоинствами, но, как и многие другие
новые технологии, имеет и свои недостатки. Развитие ресурсов привело к
многократному увеличению количества не только пользователей, но и атак на
компьютеры,
подключенные
к
Интернету.
Ежегодные
потери
из-за
недостаточного уровня защищенности компьютеров оцениваются десятками
миллионов долларов. Поэтому при подключении к Интернету локальной или
корпоративной
сети
необходимо
позаботиться
об
обеспечении
ее
информационной безопасности.
Основным элементом обеспечения информационной безопасности,
блокирующей несанкционированный доступ в корпоративную сеть, является
межсетевой экран.
В дипломном проекте в соответствии с поставленной целью был
организован и настроен программный межсетевой экран для муниципального
образовательного учреждения.
Были выполнены следующие задачи:
- выявить теоретические основы локальных вычислительных сетей;
- изучить сетевые операционные системы
- изучить возможности межсетевого экрана;
- рассмотреть
процесс
установки
и
настройки
программного
межсетевого экрана.
42
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1
Борщев А. В. Применение имитационного моделирования в России/
А.В. Борщев. -М.: Альтек, 2021. -356с.
2
Буранов А. Н. Доступ в Интернет. Вестник связи/ А.Н. Буранов. -
СПБ.: БХВ, 2020. -484с.
3
Кожарко И.С. Классификация информационно-вычислительных
сетей/ И.С. Кожарко. -М.: Нотел, 2019. -348с.
4
Лунгу М. А. Угрозы безопасности для информационной системы
Учебного Заведения/ С.А. Мартыненко, 2020. -218с.
5
Максимов В. И. Межсетевые экраны. Способы организации защиты/
О.И. Кутузов. -СПБ.: НТ-пресс, 2019. -275с.
6
Нардюжев
В.
И.
Модели
и
алгоритмы
информационно-
вычислительной системы компьютерного тестирования/ В.И. Нардюжев, -М.:
Прометей, 2020. -340с.
7
Невский А. Ю. Практическое применение межсетевых экранов/ Г.И.
Савин. -М.: Фазис, 2020. -420с.
8
Олифер В. Г. Компьютерные сети. Принципы, технологии,
протоколы/ В.Г. Олифер. -СПБ.: Питер. 2021. -740с.
9
Самарский А. А. Передача сообщений в сетях данных/ А.А.
Самарский. -СПБ.: Физматлит, 2020. -180с.
10 Шаповаленко С. В. Интернет как основа/ С.В. Шаповаленко. -М.:
Альтекс, 2019. -180с.
43