Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Физические конфигурации Сетевой узел, выполняющий функции брандмауэра Настройка ядра для брандмауэра Routing messages Socket Filtering UNIX domain sockets TCP/IP networking IP Kernel Level Autoconfiguration IP Firewalling IP Firewall Packet Netlink Device IP Use FWMARK As Routing Key IP Transparent Proxy Support IP Masquerading IP Masquerading Special Modules Support IP autofw masq support IP ipportfw masq support IP ip fwmard masq-forwarding support IP Optimize As Router Not Host IP Tunneling IP GRE Tunnels Over IP ... Полное содержание

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Физические конфигурации

Обсуждая физическую конфигурацию брандмауэра, вы должны принимать во внимание как оборудование, так и программное обеспечение, используемое для защиты сети. Помните, что основное предназначение брандмауэра — это защита сети, которой вы доверяете, от сети, которой вы не доверяете. Таким образом, сетевой узел, выполняющий функции брандмауэра, — это одновременно и ворота, через которые ваша сеть обменивается данными с другой сетью, и объект повышенного внимания со стороны тех, кто намерен обмануть вашу систему защиты. Если они хотят проникнуть внутрь, прежде всего они должны миновать брандмауэр.

Сетевой узел, выполняющий функции брандмауэра

Для начала необходимо решить, каким должен быть сетевой узел, который вы будете использовать в качестве брандмауэра. Вы можете установить брандмауэр, оснащенный всего одним сетевым интерфейсом, и использовать этот интерфейс как для доверенных подключений, так и для подключений, которым вы не доверяете. Однако данная конфигурация предлагает меньший уровень защиты, поэтому, учитывая относительно низкую стоимость современных сетевых карт, всегда рекомендуется оснастить брандмауэр двумя сетевыми интерфейсами. Благодаря этому вы полностью изолируете одну сеть от другой. В подобной конфигурации миновать брандмауэр будет сложнее для злоумышленников.


ПРИМЕЧАНИЕ

Сетевой узел, который изолирует сеть, которой вы доверяете, от сети, которой вы не доверяете, при помощи двух интерфейсов (по одному для каждой сети), называется бастионным узлом (bastion host). В свое время бастионы использовались для защиты стен замков, теперь бастионы используются для защиты компьютерных сетей от посягательств злоумышленников.

Насколько мощным должен быть компьютер, выполняющий функции брандмауэра? Ответ на этот вопрос зависит от множества факторов. Если вы планируете использовать брандмауэр для соединения двух сетей со скоростью 10 Мбит/с, при этом вы планируете использовать фильтрацию пакетов и не использовать proxy, будет вполне достаточно использовать для этой цели компьютер с процессором 80486-33 и памятью объемом 16 Мбайт. Однако если вы намерены обеспечить обмен данными с большей скоростью (например, 100 Мбит/с или быстрее), мощности данного процессора будет недостаточно и вы столкнетесь со значительными потерями пакетов.

Настройка ядра для брандмауэра

В данном разделе речь пойдет о конфигурации ядра Linux. Для конфигурирования ядра можно использовать один из трех вариантов (make xconfig, make menuconfig и make config).

Чтобы построить брандмауэр, вы должны переконфигурировать ядро. Чтобы включить фильтрацию пакетов, для ядра необходимо установить несколько параметров. Некоторые из них определяются исходя из используемого вами аппаратного обеспечения, некоторые должны быть отключены, а другие обязательно следует включить. Более подробно о процессе построения своего собственного ядра рассказывается в документации, прилагаемой к вашему комплекту Linux. Первый параметр имеет отношение к завершенности кода и расположен в разделе Code maturity level:

CONFIG_EXPERIMENTAL=y

Если вы используете в составе ядра так называемые экспериментальные драйверы, это вовсе не означает, что вы чем-то сильно рискуете. Для использования Linux совместно с некоторыми аппаратными конфигурациями, а также для применения в составе ядра некоторых важных механизмов без экспериментальных драйверов просто не обойтись. Таким образом, использовать экспериментальные драйверы необходимо разумно. Экспериментальными называют драйверы, в отношении которых не выполнено столь же тщательное тестирование, которое применялось в отношении других составных частей ядра, поэтому подразумевается, что подобные драйверы могут стать причиной нестабильности и риска с точки зрения безопасности. Экспериментальный код соответствующим образом помечен, и если вы не нуждаетесь в соответствующих возможностях, вы не обязаны добавлять его в ядро. Однако если вы не разрешите использование экспериментального кода, вы не сможете воспользоваться ни одним экспериментальным модулем.

Следующий раздел, на который вам следует обратить внимание, называется Loadable module support (поддержка загружаемых модулей) и имеет отношение к загружаемым модулям. В наше время вы не обязаны компилировать ядро в монолитном режиме и можете использовать модульное ядро (более подробно об этом рассказывается в технической документации используемого вами комплекта Linux). В предыдущих версиях ядра (2.0jc и ниже) для брандмауэра рекомендовалось использовать монолитное ядро. Однако с появлением kmod — загрузчика модулей ядра — модульные ядра стали значительно более безопасными, чем это было раньше. Это связано с тем, что kmod является подпрограммой уровня ядра, а не пользовательским процессом (как, например, kerneld). Некоторые параметры, которые вам необходимы, могут использоваться только в случае, если включена поддержка модулей, поэтому механизм поддержки модулей следует включить. Кроме того, следует добавить в ядро загрузчик модулей ядра (Kernel module loader), благодаря чему модули будут устанавливаться по мере необходимости.

CONFIG_MODULES=y рекомендуется

CONFIG_KMOD=y рекомендуется

В разделе General присутствует один жизненно важный параметр, о котором легко позабыть (к счастью, по умолчанию его значение установлено равным yes): поддержка Sysctl. Этот параметр создает дерево /proc/sys, как об этом рассказывается в главе 6, он обязателен при построении брандмауэра.

CONFIG_SYSCTL=y необходимо

Вы также должны внимательно изучить параметры, установленные в остальных разделах. Вам потребуется обеспечить поддержку вашего оборудования (жестких дисков), файловой системы, сетевых карт Ethernet и других коммуникационных устройств (модемов, устройств ISDN, и таких протоколов, как РРР), а также форматов ELF. Однако звук и другие ненужные параметры необходимо отключить.


ПРИМЕЧАНИЕ

Если вы имеете дело с домашней сетью или ваша сеть является сетью небольшого предприятия с относительно небольшой пропускной способностью каналов, возможно, для вас будет излишним использование всех тех параметров, речь о которых пойдет далее. Взвешивайте риск и действуйте в соответствии с конкретной ситуацией.

Выполнив настройку других разделов конфигурации ядра, обратите внимание на раздел Networking options (сетевые параметры). Об этих параметрах рассказывается в следующем разделе главы. Параметры этого раздела являются наиболее важными для темы, обсуждаемой в данной главе.

Сетевые параметры

По сравнению с ядрами версий 2.0.x в ядрах версий 2.2.x появилось множество новых сетевых параметров. Новые параметры могут показаться малопонятными, к тому же электронная подсказка не всегда может оказаться достаточно информативной, поэтому в данном разделе я подробно описываю параметры ядра 2.2.13. В ядрах более поздних версий количество параметров может быть больше. Некоторые из параметров необходимы, другие рекомендуются, а некоторые могут использоваться по вашему желанию.

Параметры, которые помечены как не рекомендованные, могут ослабить защиту вашего брандмауэра. Если вы точно знаете, что они вам не нужны, отключите их.


ПРИМЕЧАНИЕ

Параметры, помеченные далее как по (п), будут показаны в вашем файле .config следующим образом #<имя_параметра> is not set

Вот перечень параметров ядра.

- Первый параметр Packet Socket (пакетный сокет) необходим для функционирования некоторых программ, включая tcpdump. Программа tcpdump, равно как и любая программа, обращающаяся к tcpdump, переводит карту Ethernet в режим прослушивания сети (promiscuous mode), поэтому использовать подобные программы не рекомендуется. Если вам кажется, что этот параметр вам необходим, вы можете скомпилировать соответствующий код в виде отдельного модуля. Этот модуль не должен загружаться в память автоматически, это надлежит делать по запросу. Если какая-либо программа выдает ошибку настройки сокета (setsocket error), загрузите данный модуль и посмотрите, поможет ли это решить проблему.

CONFIG_PACKET=m не рекомендуется, если только не откомпилировать код в виде отдельного модуля

- Сокет связи между уровнем ядра и пользовательским уровнем (Kernel/User netlink socket) для связи требует наличия устройств со старшим номером, (major number) равным 36. Если вы устанавливаете этот параметр, вы также должны установить параметры Routing messages и IP: firewall packet netlink device. Без этих двух параметров данный параметр неуместен.

CONFIG_NETLINK=y рекомендуется


- Параметр Routing messages (маршрутизация сообщений) требует создания устройства /dev/route со старшим номером 36, младшим номером 0, благодаря чему вы получаете возможность читать информацию о маршрутизации. Запись в это устройство бессмысленна, однако программы, работающие на пользовательском уровне, в случае необходимости могут читать из этого устройства информацию о маршрутизации.

CONFIG_RTNETLINK=y не обязателен, но рекомендуется

- Эмуляция устройства netlink используется только для обеспечения обратной совместимости, в будущем этот механизм будет удален.

CONFIG_NETLINK_DEV=y необходим

- Если вы намерены использовать брандмауэр фильтрации пакетов, маскировку адресов IP (IP masquerading) или перенаправление портов (port forwarding), вы должны присвоить этому параметру значение yes (да). Если же вы не намерены использовать ipchains или ipmasqadm, а вместо этого используете только лишь брандмауэр proxy (или компьютер является обычным сетевым узлом), присвойте этому параметру значение по.

CONFIG_FIREWALL=y/n необходим в случае, если вы используете ipchains,

в противном случае не рекомендуется

- Параметр Socket Filtering (фильтрация сокетов) используется программами пользовательского режима для того, чтобы назначать фильтры в соответствие сокетам. Для ipchains этот параметр не требуется.

CONFIG_FILTER=n не рекомендуется

- Параметр UNIX domain sockets (сокеты домена Unix) добавляет в ядро код, разрешающий использование сокетов в Linux. Без этого кода механизм syslog не будет работать. Установка этого кода необходима, однако вы можете установить данный код в виде модуля. Для встраиваемых систем (embedded systems) этот параметр должен быть отключен.

CONFIG_UNIX-y необходим

- Параметр TCP/IP networking (поддержка сетевого обмена TCP/IP) является еще одним необходимым параметром. Если вы используете TCP/IP для обмена данными с другим узлом, включая localhost, X или какую-либо другую программу, этот параметр необходимо установить.

CONFIG_INET=y необходим

- Многоадресная передача данных (IP multicasting) — это технология, позволяющая одному узлу обмениваться данными одновременно с несколькими сетевыми узлами. Эта технология используется некоторыми программами, обрабатывающими аудио- и видеоинформацию. Этот параметр, как правило, используется в отношении сетевых узлов, а не для брандмауэров.

CONFIG_IP_MULTICAST=y не обязателен


- Параметр IP Kernel Level Autoconfiguration (автоконфигурация на уровне ядра) предназначен для бездисковых сетевых узлов, которые загружают свою корневую файловую систему с другого сетевого узла. Брандмауэр должен обладать способностью работать в автономном режиме, поэтому он должен содержать в себе свою полную конфигурацию, таким образом, загружать конфигурацию брандмауэра с другой системы крайне не рекомендуется. Следующие два параметра зависят от данного.

CONFIG_IP_PNP=n не рекомендуется

CONFIG_IP_PNP_BOOTP=n не рекомендуется

CONFIG_IP_PNP_RARP=n не рекомендуется

- Параметр IP Firewalling (брандмауэр IP) необходим в случае, если вы планируете использовать ipchains для создания пакетного фильтра или брандмауэра с маскировкой IP-адресов. Если вы используете squid или брандмауэр proxy, данный параметр не является обязательным.

CONFIG_IP_FIREWALL=y необходим

- Параметр IP Firewall Packet Netlink Device позволяет создать устройство, куда ipchains будет записывать пакеты. Чтение этого устройства может осуществляться программой пользовательского режима, которая может функционировать в соответствии с содержимым пакетов. Этот параметр необходим в случае, если вы намерены использовать (или написать) подобную программу пользовательского режима.

CONFIG_IP_FIREWALL_NETLINK=y не обязателен

- Параметр IP Use FWMARK As Routing Key (использовать значение FWMARK в качестве ключа маршрутизации) позволяет использовать пометку, размещаемую программой ipchains, для маршрутизации.

CONFIG_IP_ROUTE_FWMARK=y не обязателен

- Параметр IP Transparent Proxy Support (поддержка прозрачных proxy) необходим для ipchains REDIRECT и для прозрачных proxy. Если вы не используете ни того, ни другого, этот параметр можно выключить. Если вы сомневаетесь, включите его.

CONFIG_IP_TRANSPARENT_PROXY=y не обязателен/необходим

- Параметр IP Masquerading (маскировка IP) необходим в случае, если вы используете брандмауэр маскировки IP.

CONFIG_IP_MASQUERADE=y не обязателен/необходим

- Параметр IP ICMP Masquerading (маскировка ICMP) необходим только в случае, если вы выбрали параметр CONFIG_IP_MASQUERADE и желаете маскировать исходящие сообщения ICMP. Без этого параметра утилита ping не будет рабо-тать. Кроме того, не будет работать также утилита Microsoft tracert (так как она основана на ICMP вместо UDP).

CONFIG_IP_MASQUERADE_ICMP=y не обязателен/рекомендуется


- Параметр IP Masquerading Special Modules Support (поддержка специальных модулей маскировки IP) сам по себе ничего не означает, если вы его выбираете, автоматически устанавливаются следующие три параметра, использование которых требует применения утилиты ipmasqadm.

CONFIG_IP_MASQUERADE_MOD=y не обязателен/необходим

- Параметр IP autofw masq support обеспечивает поддержку протоколов, при передаче которых через брандмауэр могут возникнуть проблемы.

CONFIG_IP_MASQUERADE_IPAUTOFW=y не обязателен

- Параметр IP ipportfw masq support разрешает перенаправление портов для соединений, поступающих на выбранный порт, при этом перенаправление осуществляется для любого узла и порта. Для этого необходима утилита ipmasqadm.

CONFIG_IP_MASQUERADE_IPPORTFW=y не обязателен

- Параметр IP ip fwmard masq-forwarding support позволяет воспользоваться для перенаправления пакетов возможностью маркировки пакетов, поддерживаемой ipchains.

CONFIG_IP_MASQUERADE_MFW=y не обязателен

- Параметр IP Optimize As Router Not Host (оптимизировать как маршрутизатор, а не как обычный сетевой узел) отменяет выполнение операций, направленных на проверку целостности пакета (копирование и сравнение контрольной суммы). Для обычных сетевых узлов использовать данный параметр не рекомендуется, однако для маршрутизаторов данный параметр позволяет получить прирост производительности.

CONFIG_IP_ROUTER=n не обязателен

- Параметр IP Tunneling (туннельная передача IP) позволяет выполнить инкапсуляцию IP внутри IP. Этот параметр полезен для портативных компьютеров, которые часто перемещаются из одной подсети в другую и для которых требуется обеспечить использование статического IP-адреса.

CONFIG_NETJPIP=n не обязателен

- Параметр IP GRE Tunnels Over IP (туннельная передача GRE через IP) позволяет шлюзу обмениваться сведениями о маршрутизации с маршрутизатором CISCO. Этот параметр можно использовать в случае, если вы подключены к маршрутизатору CISCO.

CONFIG_NET_IPGRE=n не обязателен

- Параметр IP Broadcast GRE Over IP (широковещательная передача GRE через IP) разрешает широковещательную передачу сведений о маршрутизации маршрутизаторам CISCO, благодаря чему вы можете сформировать сеть WAN через Интернет. Для этого необходимо включить параметр CONFIG_NET_IPGRE (см. ранее).

CONFIG_NET_IPGRE_BROADCAST=n не обязателен

- Параметр IP Multicast Routing (маршрутизация многоадресной передачи) требуется включить только в случае, если ваша система будет осуществлять маршрутизацию многоадресных пакетов. Для этого необходимо включить параметр CONFIG_IP_MULTICAST (см. ранее).

CONFIG_IP_MROUTE=y не обязателен

- Маршрутизация многоадресной передачи данных может осуществляться в одном из трех режимов: плотный режим (dense mode), который используется по умолчанию, разреженный режим 1 (sparse mode version 1) и разреженный режим 2 (sparse mode version 2). Разреженный режим первой версии используется чаще, чем разряженный режим версии 2, поэтому версия 2 потребуется вам только в случае, если нужно обеспечить взаимодействие с системой, работающей в этом режиме. В общем случае поддержка разреженного режима версии 2 вам не потребуется. Таким образом, поддержка IP PIM-SM vl обеспечивает работу в наиболее распространенном режиме, а режим IP PIM-SM v2 используется значительно реже.

CONFIG_IP_PIMSM_Vl=y не обязателен

CONFIG_IP_PIMSM_V2=n не обязателен

- Параметр IP Aliasing (псевдонимы IP) необходим только в случае, если вы хотите использовать механизм псевдонимов IP для одной или нескольких установленных в вашем компьютере сетевых карт Ethernet. Благодаря этому вы получаете систему с несколькими IP-адресами (multi-homed system), даже если эта система оснащена только одной сетевой картой. Эта возможность больше не доступна в виде отдельного модуля. Если используется механизм псевдонимов, некоторые сетевые карты переходят в режим прослушивания сети (promiscuous mode). Для брандмауэра настоятельно рекомендуется использовать только один IP-адрес для каждой установленной в нем сетевой карты.

CONFIG_IP_ALIAS=n не рекомендуется

- Если ваша система напрямую подключена более чем к 256 сетевым узлам и оснащена небольшим объемом оперативной памяти (менее 16 Мбайт), вы можете повысить ее эффективность за счет использования демона arpd. Для этого необходимо включить параметр IP ARP Daemon (демон ARP). В противном случае данный параметр следует отключить.

CONFIG_ARPD=n не обязателен

- Если ваша система подвержена атакам SYN Denial of Service, вы можете включить параметр IP TCP SYN Cookie. Однако включения данного параметра вовсе недостаточно, чтобы этот механизм начал работу, для инициации этого механизма следует отдать специальную команду: echo 1 > /proc/sys/net/ipv4/ tcp_syncookies. Если вы включили механизм TCP SYN Cookies, производительность вашей системы несколько понизится.

CONFIG_SYN_COOKIES=y рекомендуется

- Параметр IP Reverse ARP предназначен для совместного использования с демоном rarpd и позволяет системе отвечать на конфигурационные запросы по протоколу ARP. Для брандмауэра это не требуется.

CONFIG_INET_RARP=n не рекомендуется


- Параметр IP Allow Large Windows (поддержка больших окон) никоим образом не связан с графическим интерфейсом пользователя. В данном случае термином «окно» обозначается буфер статического размера. Выбрав этот параметр, вы увеличиваете размер этого буфера. Если вы имеете дело с длинными низкоскоростными линиями (например, через спутник) и если у вас в распоряжении более 16 Мбайт памяти, вы можете включить этот параметр.

CONFIG_SKB_LARGE=y не обязателен

- Этот параметр потребуется вам только в случае, если вы намерены поэкспериментировать с протоколом IPv6. Протокол IPv6 несовместим с поддержкой протокола IPv4, встроенной в ipchains, поэтому сообщения, переданные по протоколу IPv6, смогут проходить сквозь ваш брандмауэр вне зависимости от определенного вами набора правил.

CONFIG_IPV6=n не обязателен

- Следующие три параметра — IPv6 Enable EUI-64 Token Format (включить формат токена EUI-64), IPv6 Disable Provider Based Addresses (отключить адреса, основанные на провайдере) и IPv6 Routing Messages Via Old Netlink

(маршрутизация сообщений через старую сетевую связь) — оказывают влияние на вашу систему, работающую в составе экспериментальной сети IPv6. Для их использования также требуется включить параметр CONFIG_IPV6 (см. ранее).

CONFIG_IPV6_EUI64=n не обязателен

CONFIG_IPV6_NO_PB=n не обязателен

CONFIG_IPV6_NETLINK=n не обязателен

- Следующие несколько параметров — The IPX Protocol (протокол IPX), IPX Full Internal IPX Network (полная внутренняя сеть IPX), IPX SPX Networking (сетевая поддержка SPX) и Appletalk DDP — позволяют вашей системе работать с протоколами, не являющимися IP (к ним относятся IPX, SPX и AppleTalk). Если вы настраиваете брандмауэр, устанавливать все эти параметры не рекомендуется.

CONFIG_IPX=n не рекомендуется

CONFIG_IPX_INTERN=n не рекомендуется

CONFIG_SPX =n не рекомендуется

CONFIG_ATALK=n не рекомендуется


ПРИМЕЧАНИЕ

Программное средство ipchains работает только с IP, и если вы добавите в систему поддержку каких-либо других протоколов помимо IP, вы раскроете перед злоумышленниками дополнительные возможности обхода вашего брандмауэра.

Очень немногие сетевые узлы нуждаются в поддержке следующих трех параметров, связанных с протоколами Х25 и LLC. Если вы желаете обеспечить поддержку этих двух протоколов, внимательно проанализируйте, каким образом они взаимодействуют с используемым вами программным обеспечением брандмауэра.

- Параметры CCITT X.25 Packet Layer (пакетный уровень CCITT X.25) и LAPB Data Link Driver (драйвер линии связи LAPB) — это первые два параметра, связанные с поддержкой Х25 в среде Linux, эти параметры не следует включать для брандмауэра.

CONFI6_X25=n не рекомендуется

CONFIG_LAPB=n не рекомендуется

- Параметр Bridging (мостовое соединение) используется для объединения нескольких сегментов Ethernet в единую сеть.

CONFIG_BRIDGE=n не обязателен

- Параметр 802.2 LLC — это последний из параметров поддержки протокола Х.25.
CONFIG_LLC=n не рекомендуется

- Если вы обязаны обеспечить поддержку технологии Acorn Computers Econet, вы должны выбрать параметр AUN over UDP (AUN через UDP). Параметры Acorn Econet/AUN Protocols (протоколы Acorn Econet/AUN), AUN over UDP (AUN через UDP) и Native Econet (естественный Econet) служат для конфигурирования сетевого обмена по технологии Econet. Первый параметр необходим для обеспечения поддержки AUN, второй — это единственный возможный вариант для использования на брандмауэре, а третий параметр для брандмауэра использовать не следует.

CONFIG_ECONET=n не обязателен

CONFIG_ECONET_AUNUDP=n не обязателен

CONFIG_ECONET_NATIVE=n не рекомендуется

- Параметр WAN Router (маршрутизатор WAN) может использоваться в случае необходимости для сетей IP. Использования других протоколов, не являющихся IP, следует избегать, так как благодаря им злоумышленники смогут обойти ваш брандмауэр.

CONFIG_WAN_ROUTER=n не обязателен

- Параметр Fast Switching (быстрое переключение) позволяет использовать программное обеспечение для организации замыкания между аппаратными уровнями сетевых карт Ethernet и, таким образом, игнорировать правила ipchains. Этот параметр не следует использовать на брандмауэре.

CONFIG_NET_FASTROUTE=n HE ИСПОЛЬЗОВАТЬ

- Некоторые карты Ethernet обладают возможностью замедления работы таким образом, чтобы ваша система получила возможность обработать трафик. Если ваша карта поддерживает такой механизм, вы можете использовать параметр Forwarding between high-speed interfaces (передача между высокоскоростными интерфейсами) для того, чтобы замедлить трафик.

CONFIG_NET_HW_FLOWCONTROL=n не обязателен

- Если сетевые карты, установленные в системе, не поддерживают снижение скорости, однако система работает недостаточно быстро для того, чтобы успевать обрабатывать весь трафик, вы можете воспользоваться параметром CPU is too slow to handle full bandwidth (процессор слишком медленный для обработки полной пропускной способности). Этот параметр является альтернативой предыдущему параметру CONFIG_NET_HW_FLOWCONTROL

CONFIG_CPU_IS_SLOW=n не обязателен

- Ядро поддерживает около 16 параметров, связанных с обработкой очереди пакетов на основе QoS и/или Fair Queueing. Я не описываю здесь каждый из этих параметров для краткости. Если ваш брандмауэр нуждается в использовании этих параметров, вы можете настраивать их в соответствии со своими предпочтениями.

CONFIG_NET_SCHED=n не обязателен

- Если в вашей системе вы используете программное обеспечение FreeS/WAN (рекомендуется), в данном разделе для вас доступны еще несколько параметров. Первым из них является параметр IP Security Protocol (FreeS/WAN IPSEC).

CONFIG_IPSEC=m рекомендуется

- В разделе, связанном с IPSEC, существуют два параметра, использование которых не рекомендуется, а также два параметра, использование которых зависит от вашего желания, все остальные параметры должны обладать значением yes (да).

CONFIG_IPSEC_IPIP=y рекомендуется

CONFIG_IPSEC_PFKEYv2=y рекомендуется

- Параметр IPSEC Enable Insecure Algorithms (разрешить использование незащищенных алгоритмов) разрешает использование незашифрованного туннеля. Использовать данный параметр, равно как и параметр NULL Pseudo-Encryption (см. далее), не рекомендуется.

CONFIGJPSEC_INSECURE=n не рекомендуется

- Некоторые узлы за брандмауэром могут быть сбиты с толку сообщениями KM P Path MTU. Если такое происходит, отключите данный параметр. При этом скорость соединения снизится, однако повысится надежность работы подобных узлов. Если вы используете только узлы Linux, при этом у вас не должно возникнуть каких-либо проблем.

CONFIG_IPSEC_ICMP=y не обязателен

CONFIGJPSEC_AH=y рекомендуется

CONFIG_IPSEC_AUTH_HMAC_MD5=y рекомендуется

CONFIGJPSEC_AUTH_HMAC_SHAl=y рекомендуется

CONFIG_IPSEC_ESP=y рекомендуется

CONFIG_IPSEC_ENC_3DES=y рекомендуется

- Не следует использовать параметр NULL Pseudo-Encription Algorithm (алгоритм псевдошифровки NULL), в противном случае ваше соединение не будет защищенным.

CONFIG_IPSECJNC_NULL-y не рекомендуется

- Параметр IPSEC Debugging (отладочный режим IPSEC) может оказаться полезным для решения проблем IPSEC, так как он увеличивает объем полезной диагностической информации, выводимой этим механизмом. Этот параметр рекомендуется, однако использовать его не обязательно.

DEBUG_IPSEC=y не обязателен