прозрачная поддержка всех распространенных TCP/IP сервисов - WWW, FTP, Telnet и вторые
поддержка мультимедийных типов данных с использованием трансляции адреса и без нее, включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2
поддержка дополнений для работы с видеоконференциями, совместимыми из H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting
возможность фильтрации потенциально опасных Java апплетов
защищена система реального часа
поддержка нескольких уровней входа в систему
поддержка прерываний (trap) SNMP протокола
сбор аудита через syslog утилиту
поддержка Management Information Base (MIB) для syslog
аудит использования URL и обменов по FTP протоколе
поддержка удаленного вызова процедур (RPC)
программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового серверу в демилитаризованной зоне (DMZ)
защита от SYN атак защищает хост от атак типа «отказ в обслуживании»
трансляция NETBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов
Криптомаршрутизатор
Криптомаршрутизатор (КМ.), является комплексом программно технических средств, который обеспечивает защищенную передачу IP-потоков данных в internet/intranet-мережах и предназначенный для защиты данных Пользователя, которые содержат закрытую информацию.
КМ. является узлом криптографической обработки данных в IP-сетях и обеспечивает прием данных, которые отправляются Пользователями, которые работают на одной из рабочих станций (РС) ЛВС, шифровки этих данных и их защищенную передачу через открытую IP-сеть на аналогичный КМ., который выполняет расшифрование принятых данных и их доставку Пользователю-получателю, который работает на РС ЛВС.
Передача данных осуществляется криптомаршрутизатором по выделенным или коммутированным телефонным каналам связи согласно протоколам PPP, SLIP или CSLIP, а также по каналам ЛВС (по протоколе TCP/IP) и каналах сетей пакетной коммутации данных в соответствии с Рекомендациями X.25 ITU-T.
Криптомаршрутизатор обеспечивает шифровку потоков проходячих через него данных в соответствии с протоколом IPSec v.4, что позволяет скрыть на участке открытой IP-сети информацию о настоящих субъектах обмена и прикладных протоколах Пользователя, которые используются ими.
IP Firewall (ядра 2.0)
Первое поколение IP firewall для Linux появилось в ядре 1.1. Это была версия BSD ipfw firewall для Linux (автор Alan Сох). Поддержка firewall другого поколения появилась в ядрах 2.0 (авторы Jos Vos, Pauline Middelink и другие) и с этого момента стало возможным реально работать из firewall в Linux.
IP Firewall Chains (ядра 2.2)
Большинство аспектов Linux развиваются, чтобы удовлетворить запить пользователей, которые увеличиваются. IP не firewall исключения. Традиционная версия IP firewall прекрасна для большинства прикладных программ, но может быть неэффективный, чтобы конфигурировать сложные среды. Чтобы решить эту проблему, был разработан новый метод конфигурации IP firewall и связанных свойств. Этот новый метод был назван "IP Firewall Chains" и был впервые выпущен для общего использования в ядре Linux 2.2. 0.
IP Firewall Chains разработан Paul Russell и Michael Neuling. Paul описав IP Firewall Chains в IPCHAINS-HOWTO.
IP Firewall Chains позволяет Вам разрабатывать классы правил firewall, к которым Вы можете потом добавлять и удалять компьютеры или сети. Такой подход может улучшать эффективность firewall в конфигурациях, у которых есть большое количество правил.
IP Firewall Chains поддерживается серией ядер 2.2 и доступный как патч для серии 2.0. * ядер. HOWTO описывает, где получить патч и дает большое количество полезных советов относительно того, как использовать утилиту конфигурации ipchains.
Netfilter и таблицы IP (ядра 2.4)
При разработке IP Firewall Chains, Paul Russell решил, что IP firewall виноват проще. Он, став совершенствовать код фильтра и создал пакет, который оказался много проще и более могуче. Это netfilter.
Так, что было неправильно из IP chains? Они значительно улучшили эффективность и управление правилами firewall. Али они все одно обрабатывали пакеты очень длинным путем, особенное в связке с другими возможностями firewall, например, IP masquerade и другими формами трансляции адреса. Часть этой проблемы существовала потому, что IP masquerade (маскировка IP) и Network Address Translation (сетевая трансляция адреса) были разработаны независимо от IP firewall и интегрированы у него позже.
Однако были другие проблемы. В частности, набор правил input описывал весь входной поток уровня IP как одно целое. Этот набор влиял как на пакеты, которые предназначены для этого компьютера, так и на те, которые будут переданы им дальше. Это было неправильно потому, что такой подход попутав функцию цепочки input с функцией цепочки forward, который применялся только к вытекающим пакетам. Возникали весьма замысловатые конфигурации для разной обработки входных и транслируемых пакетов.
Еще одной проблемой было те, что механизм фильтрации находился прямо в ядре системы, и изменить логику его работы было невозможно без коренной перебоязкі всего ядра. Так возник netfilter, который позволяет встраивать в ядро дополнительные модули с другой логикой фильтрации и имеет более простую схему настройки.
Ключевыми отличиями стало удаление из ядра кода для маскировки IP то изменение в логике работы наборов правил input и output. Появился новый расширяемый инструмент конфигурации iptables.
В IP chains набор правил input применяется ко всем пакетам, полученным компьютером, независимо от того, назначены ли они для локального компьютера или направлены на другой компьютер. В netfilter набор правил input применяется только к пакетам, предназначенным для локального компьютера. Цепочка forward теперь применяется исключительно к пакетам, предназначенным для передачи другому компьютеру. В IP Сhains набор правил output применяется ко всем пакетам, вытекающим из компьютера, независимо от того, сгенерировали ли они на локальном компьютере. В netfilter этот набор применяется только к пакетам, которые сгенерировали на этом компьютере, и не применяется к пакетам, проходячим транзитом. Это изменение резко упростило настройку.
Еще одной новостью стало вынесение компонентов работы с маскировкой IP в отдельные модули ядра. Они были переписаны как модули netfilter.
Рассмотрим случай конфигурации, в которой по умолчанию для input, forward и output задана стратегия deny. В IP chains для пропуска всех пакетов было бы нужно шесть правил.
В netfilter эта сложность исчезает полностью. Для сервисов, которые должны проходить через firewall, но не завершаются на локальном компьютере, нужные только два правила: в одиночку для прямого и обратного прохода в наборе правил forward.
Обоснование выбора программного обеспечения
Таблица № 2.1
Выбор программного обеспечения
Что запускаются ПО | Выбрана ОС | |
GNOME net filter А patch Server FTP Server DHCP Server Mysql Server Dr web | Linux: Suse | |
GNOME NFS,Firefox Open Office(Write, Math Calc, Draw...) Gimp, Dr Web C++ Base Date client XPDF (PDF Viewer) Samba. | Linux: Suse | |
3d Max 7,Adobe Photoshop, Corel Draw, AutoCAD,Macromedia Flash. | Windows XP sp2 eng; |
Для удобства компьютеры разделены по группам (группа создается по комплектущим компьютера) и о маркированных:
1) OPC (Office Personal Computer) Server / n
OPC WS(Work Station) /n
OPC GWS(Graphical Work Station) /n
n - это номер компьютера.
Вместе 3 группы OPC Server /n, OPC WS/n, OPC GWS/n
Для серверов и рабочих станций был выбран Linux: Suse.
SUSE был выбран потому что:
Linux является бесплатной ОС
Linux: Suse относительно новый дистрибутив. Fedora - это продолжение знаменитого Linux: RED HAT.
В дистрибутив входят такие программы как веб Сервер А patch 2, FTP сервер, Open office (аналог MS Office XP), Samba (помогает взаимодействовать Linux из Windows через локальную сеть), GIMP(аналог PhotoShop), а также другие полезные программы.
Устанавливая Linux, снижается процент заражения вирусом и потери данных, поскольку на сегодняшний день вирусы в основном пишутся для ОС Windows.
Али все таки одним линуксом не обойтись. Редакции нужны рабочие станций для работы с графикой. Для этих целей была выбрана операционная система MS Windows XP SP1.MS Windows XP SP1 добре себе зарекомендовал в работе. В нем совмещаются такие понятия как: стабильность, надежность, безопасность да и он может работать с коммерческой продукцией такой, как Photo Shop, 3d max, Corel Draw и другими программами.
Теоретические основы проектирования локальных сетей
При проектировании сети необходимо собрать данные о структуре организации. Эти данные должны включать информацию о заключается организацию, методах управления, планируемом росте, офисных системах, а так именно мнение членов рабочего персонала. Необходимо узнать, кто в данной организации владеет полномочиями на назначение имен, установлении адресации, установку конфигурации и планирование топологии. Нужно документально зафиксировать существующие аппаратное и программное обеспечения организации.
Перед разработкой сети и установкой аппаратного обеспечения следует определить все источники данных и параметры, которые необходимо установить для них. Необходимо испытать дополнения, которые могут вызывать в сети проблемы, связанные с передачей данных. До заданий, которые могут привести к перегрузке сети, относятся:
- передача изображения и видеоинформации;
- доступ к центральной базе;
- загрузка программного обеспечения из удаленного серверу;
- доступ к Internet и другие.
Еще одной задачей является оценка востребований пользователей. Необходимо принять соответствующие действия для удовлетворения информационных востребований организации и ее работников.
Отметка и задание проектирования.
Нам нужно обнаружить цели и задачи, которые стоять перед нами. Для того, чтобы в дальнейшем, мы не столкнутся с проблемой, а для чего это нам нужно, и что мы делаем.
Основные этапы проектирования ЛС
Функции и размещения серверов.
Проектирование сети розбивается на две части.