Даже если отдельная система Linux в локальной сети хорошо защищена, в случае, когда ЛВС имеет выход в Internet, оставшаяся часть локальной сети открыта для самых разнообразных атак.
Защита сети - сложная работа, требующая детальных знаний о сетевой безопасности. В основе обеспечения минимальной безопасности сети лежат две технологии (и их вариации).
Напомним, что сеть соединена с Internet посредством некоторого маршрутизатора, который перемещает данные из локальной сети и обратно. Маршрутизатор может обеспечить некоторый уровень защиты и гарантировать, что большинство атак злоумышленников не проникнут в локальную сеть.
Защита на уровне маршрутизатора обычно выполняется одним из двух способов.
Использование брандмауэра (firewall), фильтрующего пакеты.
Фильтрация пакетов -
это задача, которую способен выполнить любой маршрутизатор. Каждый раз, когда маршрутизатор получает пакет информации из Internet, предназначенный для компьютера в ЛВС, IP-адрес отправителя, IP-адрес адресата и порт соединения проверяются и сравниваются с таблицей, чтобы проверить может ли ЛВС получить пакет. Если пакет получить нельзя, он уничтожается. В рамках этого подхода соединения указанных хост-компьютеров с указанными хост-компьютерами или для специфических портов (а также их комбинаций) можно разрешить или запретить.
Использование прокси-брандмауэра.
Прокси-брандмауэр (Proxy firewall) -
другой подход, основанный на предотвращении прямых соединений между компьютерами с внутренней стороны брандмауэра и со стороны Internet. Если хост-компьютер локальной сети соединяется с хост-компьютером Internet, то он соединяется с прокси-системой. Прокси-система выполняет соединение с системой в Internet, осуществляя переключение для всех передающихся данных. Proxy играет аналогичную роль посредника тогда, когда разрешены любые входящие соединения с ЛВС. Для защиты локальной сети и полного отделения от Internet прокси-бранд-мауэр имеет возможность фильтрации пакетов. Его можно сконфигурировать для поддержки определенных типов трафика через брандмауэр в каждом направлении или для запрета соединений на основе различных переменных, включая IP-адрес отправителя, IP-адрес адресата и используемый порт соединения.
Чтобы понять основы безопасности в сети, ознакомьтесь с Linux Security НОWTO на http: / / www.linuxdoc.org/HOWTO/Security-HOWTO.html.
Систему Linux легко сконфигуриронать как маршрутизатор между локальной сетью и Internet С поддержкой соединения через стандартный аналоговый телефонный модем или линии ISDN. Этот маршрутизатор можно сконфигурировать как фильтр пакетов или прокси-брандмауэр. Установка маршрутизатора на основе Linux дешевле, чем покупка полного аппаратного решения для обеспечения маршрутизации и предлагает больше опций защиты, чем многие аппаратные маршрутизаторы.