Firewall

Jan Marek jmarek na jcu.cz
Úterý Listopad 6 14:32:11 CET 2001


Dobry den,

On Tue, Nov 06, 2001 at 12:07:53PM +0100, noe.brno na telecom.cz wrote:
> Zdravim,
> nenadale prede mnou vyvstal ukol :Mam navrhnout (a pote zkonfigurovat) firewall 
> pro celou skolu. Mame v podstate 3 site: administrativu, ekonomiku a jednotlive 
> ustavy - 99% stanic je W95/NT/2000. Pripojeni na Net je optikou s brzkym 
> vyhledem na 
> gigabit, mame ovsem i RAS na WNT. Predpoklad (pred mym prichodem) byl takovy, 
> ze firewal bude Altavista Firewall98 pro WNT, coz je ovsem 3 roky stary SW a 
> zatim se nenasel nikdo, kdo by ho rozbehal. Mely by vzniknout 2 zony - 
> "demilitarizovana" kam bycho vystrcili WEB, ftp, RAS a DNS ; ta by byla za 
> prvni casti firewalu (asi paket. filtr) a zbytek tedy ekonomika, agenda, ustavy 
> a asi opet DNS by byl v "bezpecne zone" tedy za nejakym aplikacnim firewalem. 

pokud DNS bude dostupne i z vnejsku, pak bych ho dal prave do
DMZ... Smysl tohoto reseni je ten, ze zvnejsku se lze pripojit
jen na stroje v DMZ, kdezto zvnitrku kamkoliv...

> Zatim si nevim rady kam pripojit ucebny a koleje. 
> Zajimalo by me principialni reseni na jinych obdobnych ustavech a opet alespon 
> principialne reseni tohoto stroje na linuxu. Uvital bych i zkusenost s vyse 
> zminenou Altavistou - ten program nebyl prave nejlevnejsi a musim pripadne 
> zduvodnit proc tudy ne.

Ja bych otazku otocil: proc tudy ano? Uvedomte si tyto veci:
1) firewall na Open Source je pruhledny a principielne nemuze
obsahovat zadny skryty funkce (jakoze se pri startu posle nekam
informace, ze firewall nastartoval tehdy a tehdy na tom a tom
stroji...)
2) pokud budete potrebovat do budoucna nove featury, pak za ne
zacvakate, zatimco Linux ma pomerne pruzny firewallovy kod, ktery
dovoluje resit vetsinu pripadu, ktere potrebujete. Sice v
soucasne dobe asi nejake mezery jsou, ale rozhodne se na nem
intenzivne pracuje.
3) Pokud s Linuxem pracujete, zabezpecite ho daleko rychleji a
jisteji, nez nejaky program na NT, o kterem nevite presne, jak
funguje (a ktery nemate rozbehan ani po 3 letech).

Tyto a dalsi docela dobre duvody najdete v knize Chapman B,
Zwicky E.: Firewally. Principy budovani a udrzovani. Computer
Press 1998, str. 22 (Nakup versus vystavba)

BTW: tuto knihu vrele doporucuji, obsahuje vyborne zaklady, bez
kterych se neobejdete. Ma analyzu vetsiny protokolu, vetsinu z
nich budete potrebovat...

> 
> Dekuji predem za vase pripominky.		
> 							Lada Hora

Zdravi
Honza Marek
-- 
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080


Další informace o konferenci Linux