Firewall
Jan Marek
jmarek na jcu.cz
Úterý Listopad 6 14:32:11 CET 2001
Dobry den,
On Tue, Nov 06, 2001 at 12:07:53PM +0100, noe.brno na telecom.cz wrote:
> Zdravim,
> nenadale prede mnou vyvstal ukol :Mam navrhnout (a pote zkonfigurovat) firewall
> pro celou skolu. Mame v podstate 3 site: administrativu, ekonomiku a jednotlive
> ustavy - 99% stanic je W95/NT/2000. Pripojeni na Net je optikou s brzkym
> vyhledem na
> gigabit, mame ovsem i RAS na WNT. Predpoklad (pred mym prichodem) byl takovy,
> ze firewal bude Altavista Firewall98 pro WNT, coz je ovsem 3 roky stary SW a
> zatim se nenasel nikdo, kdo by ho rozbehal. Mely by vzniknout 2 zony -
> "demilitarizovana" kam bycho vystrcili WEB, ftp, RAS a DNS ; ta by byla za
> prvni casti firewalu (asi paket. filtr) a zbytek tedy ekonomika, agenda, ustavy
> a asi opet DNS by byl v "bezpecne zone" tedy za nejakym aplikacnim firewalem.
pokud DNS bude dostupne i z vnejsku, pak bych ho dal prave do
DMZ... Smysl tohoto reseni je ten, ze zvnejsku se lze pripojit
jen na stroje v DMZ, kdezto zvnitrku kamkoliv...
> Zatim si nevim rady kam pripojit ucebny a koleje.
> Zajimalo by me principialni reseni na jinych obdobnych ustavech a opet alespon
> principialne reseni tohoto stroje na linuxu. Uvital bych i zkusenost s vyse
> zminenou Altavistou - ten program nebyl prave nejlevnejsi a musim pripadne
> zduvodnit proc tudy ne.
Ja bych otazku otocil: proc tudy ano? Uvedomte si tyto veci:
1) firewall na Open Source je pruhledny a principielne nemuze
obsahovat zadny skryty funkce (jakoze se pri startu posle nekam
informace, ze firewall nastartoval tehdy a tehdy na tom a tom
stroji...)
2) pokud budete potrebovat do budoucna nove featury, pak za ne
zacvakate, zatimco Linux ma pomerne pruzny firewallovy kod, ktery
dovoluje resit vetsinu pripadu, ktere potrebujete. Sice v
soucasne dobe asi nejake mezery jsou, ale rozhodne se na nem
intenzivne pracuje.
3) Pokud s Linuxem pracujete, zabezpecite ho daleko rychleji a
jisteji, nez nejaky program na NT, o kterem nevite presne, jak
funguje (a ktery nemate rozbehan ani po 3 letech).
Tyto a dalsi docela dobre duvody najdete v knize Chapman B,
Zwicky E.: Firewally. Principy budovani a udrzovani. Computer
Press 1998, str. 22 (Nakup versus vystavba)
BTW: tuto knihu vrele doporucuji, obsahuje vyborne zaklady, bez
kterych se neobejdete. Ma analyzu vetsiny protokolu, vetsinu z
nich budete potrebovat...
>
> Dekuji predem za vase pripominky.
> Lada Hora
Zdravi
Honza Marek
--
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080
Další informace o konferenci Linux