Объекты служат для отображения реальных параметров в межсетевом экране Aker. С их помощью становится возможным представление хостов, сетей, сервисов и т.д.
Основным преимуществом их использования является то, что после их описания в межсетевом экране с ними самими можно обращаться как с параметрами, что значительно облегчает работу по их настройке. Все модификации объектов будут автоматически распостраняться на все ссылки в них .
Например, можно определить хост, назвав его WWW Server с IP адресом 10.0.0.1. После этого больше нет необходимости помнить этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно обращаться по имени. Если потом поменять его IP адрес, то необходимо будет лишь изменить описание самого объекта, и система автоматически использует новое определение во всех ссылках на него.
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0 Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP), для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:
10.0.0.1
1024 - 10.4.1.2
23
TCP
----------------------------------------------------------------------------
Адрес источника Порт источника Адрес назначения Порт
назначения Протокол
Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используютс довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка, позволяющая администратору контролировать их прохождение через межсетевой экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.
Для доступа к окну регистрации объектов нужно сделать следующее:
Окно определения объектов
Используя окно определения объектов можно зарегистрировать любой объект межсетевого экрана Aker, независимо от типа.
Для создания нового объекта выполните следующие действия:
Для редактирования или удаления объекта вам необходимо:
При использовании опций Редактировать или Удалить появится окно свойств объектов . Это окно будет различным для каждого из возможных типов объектов
Для регистрации объектов типа "хост" необходимо заполнить следующие поля:
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: это иконка, которая будет ассоциироваться с хостом. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих хосты. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить.
IP адрес: IP создаваемого хоста.
Для создания или модификации хоста после заполнения всех полей необходимо щелкнуть на кнопке Да. Для отмены создания хоста или сделанных модификаций щелкните на кнопке Отменить.
Чтобы облегчить правильное создание множества хостов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопке, появится форма создания хоста с заполненными полями. Этим способом можно быстро создавать большое число хостов.
Для регистрации объекта типа "сеть" необходимо заполнить следующие поля:
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания.Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сетью. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сети. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать на кнопку Отменить.
IP адрес: IP адрес создаваемой сети.
Маска: Сетевая маска создаваемой сети.
Для создания или модификации сети после заполнения всех полей необходимо нажать кнопку Да. Для отмены создания сети или сделанных модификаций нажмите кнопку Отменить.
Чтобы облегчить правильное создание множества сетей существует кнопка Создать новую (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания сети с заполненными полями. Этим способом можно быстро создавать большое число сетей
Для регистрации объекта типа "набор" необходимо заполнить следующие поля:
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с набором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих наборы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
После заполнения имени и выбора иконки для набора, необходимо определить, какие хосты и сети будут в него входить:
Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:
Чтобы удалить сеть или хост из набора, необходимо сделать следующее:
Для выполнения процедуры создания набора или его модификации после заполнения всех полей необходимо нажать кнопку Да. Чтобы отменить создание набора или сделанные модификации, надо нажать кнопку Отменить
Чтобы облегчить создание множества наборов существует кнопка Создать новый (недоступная во время редактирования). Если ее нажать, появится форма создания набора с заполненными полями. Этим способом можно быстро создавать большое число наборов.
Для регистрации объекта типа "аутентификатор" необходимо заполнить следующие поля:
В именах объектов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа объектов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания.Так объекты Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с аутентификатором. Для ее модификации надо нажать на графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих аутентификаторы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
IP: IP адрес создаваемого аутентификатора.
Пароль:это пароль, используемый для генерации аутентификатора и ключей шифрования, применяемых для соединения с агентом аутентификации. Этот пароль должен совпадать с паролем, определенном при настройке агента. Для получения более подробной информации смотрите главу 15 Работа с proxy серверами
Срок жизни кэша: при каждом успешном проведении аутентификации межсетевой экран сохраняет в памяти все данные, полученные от пользователя и агента аутентификации. Таким образом, при последующих аутентификациях межсетевой экран уже имеет все необходимые данные и не должен снова запрашивать информацию у агента. Это приводит к существенному повышению производительности.
Данный параметр позволяет установить время в секундах, в течение которого межсетевой экран хранит информацию об аутентификации в памяти. Для получения более подробной информации смотрите главу 15 Работа с proxy серверами.
Чтобы выполнить создание аутентификатора или его модификации, после заполнения всех полей необходимо нажать кнопку Да. Для отмены создания или модификации аутентификатора надо нажать кнопку Отменить.
Чтобы облегчить правильное создание множества аутентификаторов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопку, появится форма создания аутентификатора с заполненными полями. Этим способом можно быстро создавать большое число аутентификаторов
Для регистрации объектов типа "сервис" необходимо заполнить следующие поля:
В именах сервисов заглавные и строчные буквы различаются. Поэтому возможно существование большого числа сервисов, имена которых составлены из одних и тех же букв, но различаются комбинациями их строчного и заглавного написания. Так сервисы Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сервисом. Для ее модификации надо нажать графическое изображение значка. Тогда межсетевой экран покажет список всех возможных значков, представляющих сервисы. Для выделения одного из них нужно нажать на его изображение и кнопку Да. Если вы не хотите модифицировать значок, то после просмотра списка достаточно нажать кнопку Отменить.
Протокол: Используемый сервисом протокол
Сервис: это число, которое идентифицирует сервис. В случае TCP и UDP протоколов это число определяет порт назначения. В случае ICMP протокола - это тип сервиса, а в случае других протоколов - номер протокола. Чтобы облегчить создание сервиса, межсетевой экран имеет для каждого протокола список основных сервисов. Однако, возможно использование значений, не представленных в списке, если вы просто введете эти значения в поле.
Если вы хотите указать область значений вместо одного, достаточно нажать кнопку рядом с именами Сервис1 и Сервис2 и указать нижнее значение границы области в Сервис1, а верхнее - в Сервис2. Все значения между этими двумя, включая границы, будут рассматриваться как составляющие сервиса.
Proxy: это поле доступно только для TCP протокола и позволяет установить, будет ли соединение, удовлетворяющее данному сервису, автоматически перенаправлено одному из прозрачных proxy межсетевого экрана Aker или нет. Значением по умолчанию является Без Proxy, означающее, что соединение не будет перенаправлено никакому proxy. Другие опции представляют SMTP Proxy и Telnet Proxy, которые перенаправляют соединение соответственно SMTP и Telnet Proxy.
Сервис Telnet привязан к порту 23, а SMTP - к порту 25. Можно установить, что бы соединения по любым другим портам перенаправлялись бы одному из упомянутых выше proxies; однако такие настройки не следует производить самостоятельно, пока вы не выясните все возможные последствия этого шага.
Если вы определили, что соединение должно быть перенаправлено proxy, то необходимо выбрать, какой контекст будет использован данным proxy для этого сервиса. Это делается с помощью поля Context Name. Это поле будет показывать на дисплее имена всех определенных контекстов для выбранного proxy и позволяет выделить одно из них. Для получения более подробной информации о прозрачных proxy-серверах смотрите главу 15 Работа с proxy серверами
Чтобы завершения создания или модификации сервиса, необходимопосле заполнения полей щелкнуть кнопку Да. Для отмены надо щелкнуть кнопку Отменить.
Чтобы облегчить правильное создание множества сервисов существует кнопка Создать новый (недоступная во время редактирования). Если нажать на эту кнопку, будет создана форма создания сервиса с заполненными полями. Этим способом можно быстро создавать большое число сервисов.
Интерфейс командной строки для настройки объектов достаточно прост в использовании, причем он обладает теми же возможностями, что и графический интерфейс.
Syntax:
fwent help fwent show fwent remove <name> fwent add host <name> <IP> fwent add network <name> <IP> <mask> fwent add set <name> [<entity1> [<entity2>] ...] fwent add authenticator <name> <IP> <password ><cache lifetime> fwent add service <name> [TCP | UDP | ICMP | OTHER] <value>[..<value>] [TELNET | SMTP <context>]
Для команд добавления/удаления:
name =
имя создаваемого или удаляемого объекта
Для команд добавления:
IP
= IP адрес сети или хоста
mask =
маска сети
entity = имя добавляемых
к набору объектов
(к набору могут добавляться только хосты или сети)
password = пароль доступа к агенту
аутентификации
cache = время
жизни в секундах, в течение которого в
памяти хранится информации об аутентификации.
TCP
= сервис использует TCP протокол
UDP
= сервис использует UDP протокол
ICMP =
сервис использует ICMP протокол
OTHER = сервис использует протокол, отличный от указанных выше
value = число, идентифицирующее сервис. Для TCP и UDP это номер порта, ассоциированного с сервисом. Для ICMP это тип сервиса, для для других протоколов это номер самого протокола. Можно указывать область значений путем указания диапазона значение1..значение2, что означает все значения между значение1 и значение 2 включительно.
TELNET = сервис должен
быть переадресован Telnet proxy
SMTP =
сервис должен быть переадресован SMTP proxy
context = имя контекста
для proxy
#fwent show Hosts: ------ cache 10.4.1.12 firewall 10.4.1.11 Networks: --------- AKER 10.4.1.0 255.255.255.0 Internet 0.0.0.0 0.0.0.0 Sets: ----- Interior Hosts cache firewall Authenticators: --------------- Authenticator NT 10.4.1.2 234jdfjdff32 600 Services: --------- echo reply ICMP 8 echo request ICMP 0 ftp TCP 21 snmp UDP 161 telnet TCP 23Пример 2: (Создание объекта типа хост)
#/etc/firewall/fwent add host Server_1 10.4.1.4 Entity addedПример 3: ((Создание объекта типа сеть)
#/etc/firewall/fwent add network Network_1 10.4.0.0 255.255.0.0 Entity addedПример 4: ((Создание объекта типа сервис)
#/etc/firewall/fwent add service DNS UDP 53 Entity addedПример 5: (Создание объекта типа аутентитфикатор)
#/etc/firewall/fwent add authenticator "Unix Authenticator" 10.4.2.2 password_123 900 Entity addedИспользование кавычек " " у имени объекта обязательно, когда создаются или удаляются объекты, имена которых содержат пробелы
Пример 6: (Создание набора объектов, состоящего из ранее созданных хостов cache и firewall)
#/etc/firewall/fwent add set "Test set" cache firewall Entity addedПример 7: (удаление объекта)
#/etc/firewall/fwent remove "Unix Authenticator" Entity deleted