Межсетевые экраны

Создание виртуальной собственной сети с помощью межсетевого экрана SmoothWall

SmoothWall можно использовать для организации безопасного соединения с другой сетью посредством создания туннеля с шифрованием по спецификациям IPsec.

1. Чтобы сконфигурировать на межсетевом экране функции виртуальных собственных сетей, щелкните мышью на элементе VPN основного меню. В нем находятся два подменю (рис. 3.9).
   • Control: это основной экран, где вы можете начинать и завершать сеансы конфигурирования виртуальных собственных сетей, а также получать информацию об их состоянии.
   • Connections: здесь весьма несложным образом конфигурируются новые соединения. На SmoothWall Express (свободная версия с лицензией GPL) обе стороны должны иметь статические, общедоступные IP-адреса. Чтобы создать профиль нового соединения, перейдите на вкладку Connections основной вкладки VPN (рис. 3.10).
     

     
     Рис. 3.9. Экран SmoothWall VPN Control
     

     
     Рис. 3.10. Экран VPN Connections
2. Введите имя соединения, по возможности - мнемоничное.
3. Определите "левую" (Left) и "правую" (Right) стороны соединения. (Эти имена никак не связаны с направлением, но используются просто для ссылок на разные концы соединения. Локальная сторона обычно считается левой.) Введите IP-адрес и подсеть для локального SmoothWall на левой стороне, а также IP-адрес и подсеть удаленного SmoothWall на правой стороне.
4. Ниже вводится общий секрет, используемый для организации шифрования. Это секрет должен быть одинаковым на обоих соединяемых межсетевых экранах. Он должен быть защищенным и не передаваться небезопасным образом (например, по электронной почте). Сделайте текст секрета длиной не менее 20 символов, включите в него символы верхнего и нижнего регистров и специальные символы, чтобы сделать виртуальную собственную сеть как можно более защищенной.
5. Можно щелкнуть мышью в поле сжатия (Compression), чтобы снизить интенсивность потоков данных через виртуальную собственную сеть. Но помните, что это создает дополнительную нагрузку на процессор, которая способна превысить выигрыш от сжатия передаваемых данных и в итоге привести к замедлению работы сети.
6. Не забудьте щелкнуть мышью в поле активизации (Enable), а затем - на кнопке Add, чтобы добавить новое соединение. Теперь вы увидите его на основной странице VPN Control. Оно полностью готово к работе, если канал, с которым ассоциировано соединение, находится в работоспособном состоянии.
7. Можно экспортировать настройки виртуальной собственной сети на другой экземпляр SmoothWall, чтобы облегчить конфигурирование и избежать ошибок ввода при конфигурировании дополнительных оконечных точек. Щелкните мышью на кнопке Export. Будет создан файл с именем vpnconfig.dat, который можно перенести на удаленную машину, зайти на ту же страницу и выбрать Import. SmoothWall автоматически переставит записи для удаленного конца. Теперь ваша виртуальная собственная сеть готова к работе. Повторите этот процесс для всех производственных площадок, безопасное взаимодействие с которыми вы хотите обеспечить.

Дополнительные приложения SmoothWall

В этом разделе представлен лишь поверхностный обзор основных функций SmoothWall. Существуют другие, продвинутые функции, описанные в документации, прилагаемой к SmoothWall. Детали настройки других специальных служб, таких как web-сервер-посредник или динамический сервис имен, можно найти в справочнике администратора. Все три файла документации в PDF-формате помещены в каталог SmoothWall на компакт-диске, прилагаемом к этой книге. Если вы располагаете свободной машиной, которую можете выделить исключительно для нужд межсетевого экранирования, то SmoothWall Express позволит вам выйти за рамки простой экранирующей функциональности и снабдить свою сеть полноценным защитным устройством.

Межсетевые экраны на платформе Windows

Ни один из межсетевых экранов, описанных в этой лекции, не работает на платформе Windows. С прискорбием приходится констатировать дефицит качественного программного обеспечения межсетевых экранов с открытыми исходными текстами для Windows. Поскольку сами исходные тексты Windows не являются открытыми, программистам нелегко создать столь сложный продукт, каковым является межсетевой экран, требующий доступа к коду уровня операционной системы. С добавлением базового межсетевого экрана в Windows XP, у программистов стало еще меньше мотивации разрабатывать альтернативные решения с открытыми исходными текстами. Это печально, так как межсетевой экран в XP хорош для индивидуальных пользователей, но не годится для решения задач корпоративного экранирования. Имеются коммерческие варианты продуктов для Windows от таких компаний, как Checkpoint, однако даже они отходят от ориентации исключительно на Windows из-за проблем безопасности данной платформы. Если требуется межсетевой экран на платформе Windows, то вам, вероятно, следует искать коммерческое решение, поскольку хорошего межсетевого экрана с открытыми исходными текстами для Windows нет. Это подчеркивает ограничения и проблемы операционных систем с закрытыми исходными текстами.