Введение:
Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.
Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределеного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.
Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальной сетям.
Фактически Internet состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.п.
Глава 2:
Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана. Такая ситуация является типичной при изменении конфигурации FireWall-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры FireWall-1.
АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ С FTP
Solstice FireWall-1 позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации, FireWall-1 заменяет стандартные FTP и telnet демоны UNIX на свои собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей или групп пользователей и может проводиться следующими способами:
• Unix-пароль;
• программа S/Key генерации одноразовых паролей;
• карточки SecurID с аппаратной генерацией одноразовых паролей.
ГИБКИЕ АЛГОРИТМЫ ФИЛЬТРАЦИИ UDP-ПАКЕТОВ, ДИНАМИЧЕСКОЕ ЭКРАНИРОВАНИЕ
UDP-протоколы, входящие в состав набора TCP/IP, представляют собой особую проблему для обеспечения безопасности. С одной стороны на их основе создано множество приложений. С другой стороны, все они являются протоколами “без состояния”, что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети.
Пакет FireWall-1 решает эту проблему созданием контекста соединений поверх UDP сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов (читай: незаконных запросов), поскольку их параметры хранятся в памяти FireWall-1.
Следует отметить, что данная возможность присутствует в весьма немногих программах экранирования, распространяемых в настоящий момент.
Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWall-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на такие сеансы и обеспечивая только “законный” обмен данными.
Данные возможности пакета Solstice FireWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Internet.
Заключение:
В процессе дипломного проектирования были исследованы 15 пакетов абонентского программного обеспечения. В пакетах абонентского программного обеспечения изучались их возможности в операционных средах MS-DOS и MS-Windows, методы настройки, режимы работы, а также простота функционирования. По результатам исследований для каждого пакета абонентского программного обеспечения были даны рекомендации о возможности использования того или иного пакета в глобальной информационной сети работающей на базе протоколов TCP\IP.
Для сравнения пакетов абонентского программного обеспечения между собой и выбора лучшего была написана программа экспертного выбора.
На основании проведенных исследований можно сделать следующие выводы.
Для операционной среды MS-DOS лучшим пакетом абонентского программного обеспечения с точки зрения пользователя является пакет Minuet, разработанный университетом Миннесоты (США). Пакет Minuet обладает полным спектром услуг сети Internet, а также отличным пользовательским интерфейсом. Minuet прост в использовании, может работать как по ЛВС так и по коммутируемым линиям и, самое главное, значительно дешевле своих аналогов. Без сомнения пакет Minuet в настоящее время является лучшим абонентским пакетом для ОС MS-DOS. Он может быть рекомендован практически всем категориям абонентов сети.
Для операционной среды MS-DOS лучшим пакетом абонентского программного обеспечения с точки зрения специалиста является пакет KA9Q. Пакет KA9Q распространяется вместе с исходными текстами и имеет в своем составе весь спектр сетевых услуг, он может быть рекомендован специалистам сети в качестве исходного материала при разработке нового пакета абонентского программного обеспечения.