5. Регистрация объектов
В этой главе показано, что представляют собой объекты, для чего они
используются и как их регистрировать в межсетевом экране Aker.
5.1 Введение
Что представляют собой объекты
и для чего они нужны?
Объекты служат для отображения реальных параметров в межсетевом экране
Aker. С их помощью становится возможным представление хостов, сетей, сервисов
и т.д.
Основным преимуществом их использования является то, что после их описания
в межсетевом экране с ними самими можно обращаться как с параметрами, что
значительно облегчает работу по их настройке. Все модификации объектов
будут автоматически распространяться на все ссылки в них .
Например, можно определить хост, назвав его WWW Server с IP адресом
10.0.0.1. После этого больше нет необходимости помнить
этот IP адрес. Везде где необходимо задействовать этот хост, к нему можно
обращаться по имени. Если потом поменять его IP адрес, то необходимо будет
лишь изменить описание самого объекта, и система автоматически использует
новое определение во всех ссылках на него.
Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране
Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты,
сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты
и сети. Объекты типа "набор" представляют совокупность любого числа хостов
и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор"
описывают специальный тип хоста, который может использоваться для аутентификации
пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные
адреса. Обычно эти адреса представляются в виде разделенного точками набора
из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно
характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска
применяется для того, чтобы определить, какие разряды IP адреса будут использованы
для представления сети (разряды со значением 1), а какие - для представления
хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в
которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254,
необходимо пользоваться значением сети 192.168.0.0 и значением
сетевой маски 255.255.255.0. Такая сетевая маска означает, что
три первых байта используются для представления сети, а последний байт
- для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения
логической операции AND между значением сетевой маски и этим адресом,
логической операции AND между значением сетевой маски и адресом
сети, и сравнением результата. Если они одинаковы, хост принадлежит сети,
в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети
10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми,
хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4
сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети)
172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
! Если необходимо
определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0. Это правило
полезно при определении общедоступных сервисов, к которым имеют
доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не
только адресами источника и назначения, но и параметрами протокола более
высокого уровня (транспортного). В случае TCP и UDP протоколов (которые
чаще других применяются сверх IP протокола), соединение идентифицируется
двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим
конкретному сервису. Например, для Telnet используется порт 23 (TCP) ,
для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом.
Таким образом, соединение при использовании TCP и UDP протоколов может
идентифицироваться следующим образом:
10.0.0.1 1024 -> 10.4.1.2 23 TCP
Адрес Порт Адрес Порт Протокол
источника источника назначения назначения
Из-за того, что порт источника выбирается случайным образом, для межсетевого
экрана его значение не важно. Поэтому при определении сервиса рассматривается
только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP.
Этот протокол используется самим IP протоколом для отправки контрольных
сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется
число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP,
которые могут запускаться поверх IP протокола. Они используются довольно
редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка
, позволяющая администратору контролировать их прохождение через межсетевой
экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол
имеет свой уникальный номер 0 до 255, который идентифицирует его для IP
протокола. Благодаря этому мы можем определить сервисы для других протоколов,
используя номер протокола для идентификации сервиса.
5.2 Регистрация объектов с использованием GUI
Для доступа к окну регистрации объектов нужно сделать следующее:
- Выбрать меню Register в главном окне
- Выбрать опцию Entities and Services
Окно определения объектов
Используя окно определения объектов можно зарегистрировать любой
объект межсетевого экрана Aker, независимо от типа.
- На правой стороне окна расположены пять иконок, представляющих пять возможных
типов объектов. Под ними помещен список, из которого можно определить тип
объекта для просмотра или создания.
Указание: Для выбора типа объекта вы можете или использовать
иконку, или опцию в списке.
- Клавиша OK закрывает окно.
- Клавиша Help открывает окно помощи для данного окна.
- Если отмечена опция Keep Ordered, список будет показан в алфавитном
порядке.
Для создания нового объекта выполните следующие действия:
- Выделите тип создаваемого объекта, выбрав соответствующую иконку или название
- Правой клавишей мыши и выделите опцию Add во всплывающем меню или
выберите иконку создания объекта в инструментальном меню в верхней части
окна.
! Если
выбрана опция All, то как иконка, так и опция меню создания объекта
будут недоступны.
Для редактирования или удаления объекта вам необходимо:
- Выделите редактируемый объект (если необходимо, выберите сначала соответствующий
тип объекта).
- Правой клавишей мыши выделите соответственно опцию Edit или Delete
во всплывающем меню или нажмите на иконке редактирования или удаления в
инструментальном меню.
При использовании опций Edit или Add появится окно свойств
объектов . Это окно будет различным для каждого из возможных типов объектов
Создание/редактирование хостов
Для регистрации объектов типа "хост" необходимо заполнить следующие
поля:
Имя: имя, которое будет использоваться межсетевым экраном для
обращения к данному хосту. Можно указывать это имя вручную или присваивать
его автоматически. Опция Automatic Name позволяет выбирать между
двумя режимами работы; автоматическим (если она установлена), и ручным
! В именах объектов заглавные и строчные буквы различаются. Поэтому возможно
существование большого числа объектов, имена которых составлены из одних
и тех же букв, но различаются комбинациями их строчного и заглавного написания.
Так объекты Aker, AKER и aker считаются различными.
Icon: это иконка, которая будет ассоциироваться с хостом . Для
ее модификации надо нажать на графическое изображение значка. Тогда межсетевой
экран покажет список всех возможных значков, представляющих хосты. Для
выделения одного из них нужно нажать на его изображение и кнопку OK.
Если вы не хотите модифицировать значок, то после просмотра списка достаточно
нажать на кнопку Cancel.
IP: IP создаваемого хоста.
Для создания или модификации хоста после заполнения всех полей необходимо
щелкнуть на кнопке OK. Для отмены создания хоста или сделанных модификаций
щелкните на кнопке Cancel.
Чтобы облегчить правильное создание множества хостов существует кнопка
Create New (недоступная во время редактирования). Если нажать на
эту кнопке, появится форма создания хоста с заполненными полями. Этим способом
можно быстро создавать большое число хостов.
Создание/редактирование описания сетей
Для регистрации объекта типа "сеть" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для
обращения к данной сети. Можно указывать это имя вручную или присваивать
его автоматически. Опция Automatic Name позволяет выбирать между
двумя режимами работы; автоматическим (если она установлена), и ручным.
! В именах
объектов заглавные и строчные буквы различаются. Поэтому возможно существование
большого числа объектов, имена которых составлены из одних и тех же букв,
но различаются комбинациями их строчного и заглавного написания. Так объекты
Aker, AKER и aker считаются различными.
Icon: Это иконка, которая будет ассоциироваться с сетью. Для
ее модификации надо нажать на графическое изображение значка. Тогда межсетевой
экран покажет список всех возможных значков, представляющих сети. Для выделения
одного из них нужно нажать на его изображение и кнопку OK. Если
вы не хотите модифицировать значок, то после просмотра списка достаточно
нажать на кнопку Cancel.
IP: IP адрес создаваемой сети.
Netmask: Сетевая маска создаваемой сети.
Для создания или модификации сети после заполнения всех полей необходимо
нажать кнопку OK. Для отмены создания сети или сделанных модификаций
нажмите кнопку Cancel.
Чтобы облегчить правильное создание множества сетей существует кнопка
Create New (недоступная во время редактирования). Если нажать на
эту кнопку, появится форма создания сети с заполненными полями. Этим
способом можно быстро создавать большое число сетей
Создание / редактирование
наборов
Для регистрации объекта типа "набор" необходимо заполнить следующие
поля:
Имя: Имя создаваемого набора. Опция Automatic Name позволяет
выбирать между двумя режимами работы ввода имени; автоматическим (если
она установлена), и ручным
! В именах
объектов заглавные и строчные буквы различаются. Поэтому возможно существование
большого числа объектов, имена которых составлены из одних и тех же букв,
но различаются комбинациями их строчного и заглавного написания. Так объекты
Aker, AKER и aker считаются различными.
Icon: Это иконка, которая будет ассоциироваться с набором. Для
ее модификации надо нажать на графическое изображение значка. Тогда межсетевой
экран покажет список всех возможных значков, представляющих наборы. Для
выделения одного из них нужно нажать на его изображение и кнопку OK.
Если вы не хотите модифицировать значок, то после просмотра списка достаточно
нажать кнопку Cancel.
После заполнения имени и выбора иконки для набора, необходимо определить,
какие хосты и сети будут в него входить:
- В окне размещаются два списка: верхний список показывает все хосты и сети,
определенные в системе. Нижний список показывает, какие из этих хостов
и сетей уже принадлежат набору.
- В правой стороне окна расположены два значка представляющие два типа объектов,
которые можно добавить к набору - хосты и сети. Справа под значками помещается
список, в котором можно выделить, следует ли показать на дисплее только
хосты или только сети, или сразу оба объекта.
Указание: Для выбора типа объекта можно нажать или на имя типа
в списке или на соответствующий значок.
Чтобы добавить хост или сеть к набору, необходимо выполнить следующие действия:
- Выберите добавляемый хост или сеть в верхнем списке окна (если необходимо,
выбрав сначала соответствующий тип объекта).
- Нажмите кнопку Add. (только что добавленный объект будет помечен
красным значком V для указания, что
он теперь принадлежит набору)
Чтобы удалить сеть или хост из набора, необходимо сделать следующее:
- Выделить удаляемый хост или сеть из нижнего списка окна.
- Нажать кнопку Remove. (удаляемый объект больше не будет помечен
значком V)
Для выполнения процедуры создания набора или его модификации после заполнения
всех полей необходимо нажать кнопку OK. Чтобы отменить создание
набора или сделанные модификации, надо нажать кнопку Cancel.
Чтобы облегчить создание множества наборов существует кнопка Create
New (недоступная во время редактирования). Если ее нажать, появится
форма создания набора с заполненными полями. Этим способом можно быстро
создавать большое число наборов.
Создание / редактирование аутентификаторов
Для регистрации объекта типа "аутентификатор" необходимо заполнить следующие
поля:
Имя:имя, которое будет использоваться межсетевым экраном для
обращения к данному аутентификатору сети. Можно указывать это имя вручную
или присваивать его автоматически. Опция Automatic Name позволяет
выбирать между двумя режимами работы; автоматическим (если она установлена),
и ручным.
! В именах
объектов заглавные и строчные буквы различаются. Поэтому возможно существование
большого числа объектов, имена которых составлены из одних и тех же букв,
но различаются комбинациями их строчного и заглавного написания. Так объекты
Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с аутентификатором.
Для ее модификации надо нажать на графическое изображение значка.
Тогда межсетевой экран покажет список всех возможных значков, представляющих
аутентификаторы. Для выделения одного из них нужно нажать на его изображение
и кнопку OK. Если вы не хотите модифицировать значок, то после просмотра
списка достаточно нажать кнопку Cancel.
IP: IP адрес создаваемого аутентификатора.
Пароль:это пароль, используемый для генерации аутентификатора
и ключей шифрования, применяемых для соединения с агентом аутентификации.
Этот пароль должен совпадать с паролем, определенном при настройке агента.
Для получения более подробной информации смотрите главу Работа
с proxy серверами.
Срок жизни кэша: при каждом успешном проведении аутентификации
межсетевой экран сохраняет в памяти все данные, полученные от пользователя
и агента аутентификации. Таким образом, при последующих аутентификациях
межсетевой экран уже имеет все необходимые данные и не должен снова запрашивать
информацию у агента. Это приводит к существенному повышению производительности.
Данный параметр позволяет установить время в секундах, в течение которого
межсетевой экран хранит информацию об аутентификации в памяти. Для получения
более подробной информации смотрите главу Работа
с proxy серверами.
Чтобы выполнить создание аутентификатора или его модификации, после заполнения
всех полей необходимо нажать кнопку OK. Для отмены создания или
модификации аутентификатора надо нажать кнопку Cancel.
Чтобы облегчить правильное создание множества аутентификаторов существует
кнопка Create New (недоступная во время редактирования). Если нажать
на эту кнопку, появится форма создания аутентификатора с заполненными полями.
Этим способом можно быстро создавать большое число аутентификаторов
Создание / редактирование сервисов
Для регистрации объектов типа "сервис" необходимо заполнить следующие поля:
Имя: имя, которое будет использоваться межсетевым экраном для
обращения к данному сервису. Можно указывать это имя вручную или присваивать
его автоматически. Опция Automatic Name позволяет выбирать между
двумя режимами работы; автоматическим (если она установлена), и ручным.
! В именах
сервисов заглавные и строчные буквы различаются. Поэтому возможно существование
большого числа сервисов, имена которых составлены из одних и тех же букв,
но различаются комбинациями их строчного и заглавного написания. Так сервисы
Aker, AKER и aker считаются различными.
Иконка: Это иконка, которая будет ассоциироваться с сервисом.
Для ее модификации надо нажать графическое изображение значка. Тогда межсетевой
экран покажет список всех возможных значков, представляющих сервисы. Для
выделения одного из них нужно нажать на его изображение и кнопку OK.
Если вы не хотите модифицировать значок, то после просмотра списка достаточно
нажать кнопку Cancel.
Протокол: Используемый сервисом протокол
Сервис: это число, которое идентифицирует сервис. В случае TCP
и UDP протоколов это число определяет порт назначения. В случае ICMP протокола
- это тип сервиса, а в случае других протоколов - номер протокола. Чтобы
облегчить создание сервиса, межсетевой экран имеет для каждого протокола
список основных сервисов. Однако, возможно использование значений,
не представленных в списке, если вы просто введете эти значения в поле.
Если вы хотите указать область значений вместо одного, достаточно нажать
кнопку рядом с именами Service1 и Service2 и указать нижнее
значение границы области в Service1, а верхнее - в Service2.
Все значения между этими двумя, включая границы, будут рассматриваться
как составляющие сервиса.
Proxy: это поле доступно только для TCP протокола и позволяет
установить, будет ли соединение, удовлетворяющее данному сервису, автоматически
перенаправлено одному из прозрачных proxy межсетевого экрана Aker или нет.
Значением по умолчанию является No Proxy, означающее, что соединение
не будет перенаправлено никакому proxy. Другие опции представляют SMTP
Proxy и Telnet Proxy, которые перенаправляют соединение соответственно
SMTP и Telnet Proxy.
! Сервис Telnet привязан к порту 23, а SMTP - к порту 25. Можно установить,
что бы соединения по любым другим портам перенаправлялись бы одному из
упомянутых выше proxies; однако такие настройки не следует производить
самостоятельно, пока вы не выясните все возможные последствия этого шага.
Если вы определили, что соединение должно быть перенаправлено proxy,
то необходимо выбрать, какой контекст будет использован данным proxy для
этого сервиса. Это делается с помощью поля Context Name. Это поле
будет показывать на дисплее имена всех определенных контекстов для выбранного
proxy и позволяет выделить одно из них. Для получения более подробной информации
о прозрачных proxy-серверах смотрите главу Работа
с proxy серверами .
Чтобы завершения создания или модификации сервиса, необходимо после заполнения
полей щелкнуть кнопку OK. Для отмены надо щелкнуть кнопку Cancel.
Чтобы облегчить правильное создание множества сервисов существует кнопка
Create New (недоступная во время редактирования). Если нажать на
эту кнопку, будет создана форма создания сервиса с заполненными полями.
Этим способом можно быстро создавать большое число сервисов.
5.3 Использование интерфейса командной строки
Интерфейс командной строки для настройки объектов достаточно прост в использовании,
причем он обладает теми же возможностями, что и графический интерфейс.
Путь к программе: /etc/firewall/fwent
Syntax:
fwent help
fwent show
fwent remove <name>
fwent add host <name> <IP>
fwent add network <name> <IP> <mask>
fwent add set <name> [<entity1> [<entity2>] ...]
fwent add authenticator <name> <IP> <password> <cache lifetime>
fwent add service <name> [TCP | UDP | ICMP | OTHER] <value>[..<value>]
[TELNET | SMTP <context>]
Program help:
Aker Firewall - Version 3.0
fwent - интерфейс командной строки для конфигурирования объектов
Usage: fwent help
fwent show
fwent remove <name>
fwent add host <name> <IP>
fwent add network <name> <IP> <mask>
fwent add set <name> [<entity1> [<entity2>] ...]
fwent add authenticator <name> <IP> <password> <cache lifetime>
fwent add service <name> [TCP | UDP | ICMP | OTHER] <value>[..<value>]
[TELNET | SMTP <context>]
show = показывает все описанные объекты в системе
add = добавляет новый объект
remove = удаляет существующий объект
help = показывает данное сообщение
Для команд добавления/удаления:
name = имя создаваемого или удаляемого объекта
Для команд добавления:
IP = IP адрес сети или хоста
mask = маска сети
entity =имя добавляемых к набору объектов
(к набору могут добавляться только хосты или сети)
password = пароль доступа к агенту аутентификации
cache lt = время жизни в секундах, в течение которого в памяти
хранится информации об аутентификации.
TCP = сервис использует TCP протокол
UDP = сервис использует UDP протокол
ICMP = сервис использует ICMP протокол
OTHER = сервис использует протокол, отличный от указанных выше
value = число, идентифицирующее сервис. Для TCP и UDP
это номер порта, ассоциированного с сервисом.
Для ICMP это тип сервиса, для других протоколов
это номер самого протокола. Можно указывать область значений
путем указания диапазона значение1..значение2, которые
означает все значения между значение1 и значение включительно.
TELNET = сервис должен быть переадресован Telnet proxy
SMTP = сервис должен быть переадресован SMTP proxy
context = имя контекста для proxy
Пример 1: (просмотр описанных объектов)
#fwent show
Hosts:
------
cache 10.4.1.12
firewall 10.4.1.11
Networks:
---------
AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Sets:
-----
Interior Hosts cache firewall
Authenticators:
---------------
Authenticator NT 10.4.1.2 234jdfjdff32 600
Services:
---------
echo reply ICMP 8
echo request ICMP 0
ftp TCP 21
snmp UDP 161
telnet TCP 23
Пример 2: (Создание объекта типа хост)
#/etc/firewall/fwent add host Server_1 10.4.1.4
Entity added
Пример 3: ((Создание объекта типа сеть)
#/etc/firewall/fwent add network Network_1 10.4.0.0 255.255.0.0
Entity added
Пример 4: ((Создание объекта типа сервис)
#/etc/firewall/fwent add service DNS UDP 53
Entity added
Пример 5: (Создание объекта типа аутентификатор)
#/etc/firewall/fwent add authenticator "Unix Authenticator" 10.4.2.2 password_123 900
Entity added
! Использование
кавычек " " у имени объекта обязательно, когда создаются или удаляются
объекты, имена которых содержат пробелы
Пример 6: (Создание набора объектов, состоящего из ранее созданных
хостов cache и firewall)
#/etc/firewall/fwent add set "Test set" cache firewall
Entity added
Пример 7: (удаление объекта)
#/etc/firewall/fwent remove "Unix Authenticator"
Entity deleted
Назад | Содержание | Вперед
|