О. Ю. Пескова Таганрогский государственный радиотехнический университет использование proxy-сервера squid в связке с пакетным фильтром и протоколом nat    Данный доклад

Вид материала

Доклад

Подобный материал:

• О. Ю. Пескова таганрогский государственный радиотехнический университет сравнительный, 34.26kb.
• Таганрогский Государственный Радиотехнический Университет Зикий А. Н. программа, 237.24kb.
• Proxy-сервер squid, характеристики, особенности принцип действия, 36.96kb.
• Таганрогский государственный радиотехнический университет, 6423.65kb.
• Информационное письмо таганрогский государственный радиотехнический университет, 46.86kb.
• Отчет промежуточный по договору elsp/B3/Gr/001-017-05 от 01 ноября 2005г на развитие, 1377.77kb.
• А. М. Курилкина таганрогский государственный радиотехнический университет распараллеливание, 32.19kb.
• А. А. Фомин Петрозаводский государственный университет, 22.84kb.
• Уральский Государственный Университет Миасский Машиностроительный Факультет Кафедра, 577kb.
• О. В. Тараканов московский инженерно-физический институт (государственный университет), 17.51kb.

В.В. НЕСКОБЛИНА, О.Ю. Пескова

Таганрогский государственный радиотехнический университет


ИСПОЛЬЗОВАНИЕ PROXY-СЕРВЕРА SQUID В СВЯЗКЕ
С ПАКЕТНЫМ ФИЛЬТРОМ И ПРОТОКОЛОМ NAT

  

Данный доклад рассматривает основные особенности использования proxy-сервера Squid в связке с пакетным фильтром и протоколом NAT в среде Linux.

 

Межсетевые экраны в среде Linux делятся на две основные категории - пакетные фильтры (packet filters) и брандмауэры proxy. Брандмауэры proxy могут быть стандартными (standard), или непроницаемые (opaque), к которым клиент подключается через специальный порт, а передаваемые данные перенаправляются в другой порт, или прозрачными (transparent), в которых клиент не использует специальный порт, работая со стандартными настройками прикладных программ, а программное обеспечение брандмауэра перенаправляет пакеты из сети в сеть прозрачно для пользователей.

В настоящее время наиболее популярной прозрачной системой proxy для Linux является программное средство Squid. Рассмотрим его основные особенности.

Во-первых, Squid является бесплатным, имеет открытый исходный текст, что позволяет провести его подробный анализ. Далее, Squid позволяет не запускать себя под учетной записью системного администратора (root), что, несомненно, повышает защищенность системы.

С точки зрения технологии, Squid является кэширующим proxy. Это значит, что программа в течение некоторого времени хранит в своем кэше результаты запроса и использует их для обслуживания последующих аналогичных запросов, что ускоряет доступ к web-документам и экономит пропускную способность канала связи.

Squid имеет возможность блокирования определенных web-узлов и рекламных баннеров, что намного проще, чем заниматься формированием наборов правил для фильтров пакетов, исходящих от баннерных web-узлов. Кроме того, Squid позволяет ограничивать доступ, реализуя концепции списков управления доступом (Access Control List, ACL) и списков прав на доступ (Access Rights List, ARL). Эти списки снижают степень нецелевого использования соединений с Интернетом и позволяют полностью запретить некоторые из соединений не только на уровне IP-адресов и портов, но и на уровне доменных имен. Как правило, при работе со списками используется политика доступа, запрещающая действия, не разрешенные явно.

Ведутся журналы работы сервиса, что позволяет подсчитывать трафик за заданный период, по заданному пользователю, выяснять популярность тех или иных ресурсов и т.д., а кроме того, позволяет отслеживать перемещения пользователей в Интернете.

Максимальной эффективности в работе столь мощного средства можно добиться только с помощью корректной настройки его параметров, а также используя службу Squid в комплексе с другим ПО. В частности, Squid можно использовать как отдельно, так и совместно с пакетным фильтром и протоколом NAT (Network Address Translation - преобразование сетевых адресов, сеансовый протокол, производящий замену адресов пакетов при прохождении ими шлюза).

На практике в качестве наиболее эффективной можно предложить связку сервисов Squid+NAT+пакетный фильтр. Она работает следующим образом. Пакетный фильтр перенаправляет все запросы по протоколам http, https,ftp (порты 80, 8080, 443, 21) на Squid (порт 3128). Обработав полученный запрос, Squid пытается переслать его во внешнюю сеть, при этом срабатывает правило пакетного фильтра, когда он отправляет все запросы из внутренней сети во внешнюю на обработку NAT. NAT принимает все исходящие во внешнюю сеть пакеты и обрабатывает их, подменяя исходный IP-адрес на IP-адрес шлюза. Если Squid по той или иной причине не пропускает запрос, будет выдана локальная страница с сообщением о невозможности удовлетворения запроса.

В заключение следует отметить, что прокси-сервер Squid более функционален в роли межсетевого экрана, чем простой NAT-шлюз. Он имеет массу особенностей, позволяющих реализовать политику доступа. При использовании Squid в связке с пакетным фильтром и шлюзом NAT эти сервисы могут находиться на разных машинах-серверах. Таким образом, осуществляется многоуровневое экранирование локальной сети. Squid производит обработку запроса на уровне приложений, а NAT обрабатывает на сеансовом уровне пакеты, из которых состоит запрос. Пакетный фильтр занимается распределением запросов между этими двумя сервисами.

Настройка и обслуживание связки Squid+NAT+пакетный фильтр требует должного опыта в конфигурировании, поскольку, если конфигурирование выполнено неправильно, будет создано ложное ощущение безопасности - будет обеспечен некоторый уровень защиты, однако останется уязвимость перед хорошо спланированной атакой.