- Подписка на печатную версию:
- Подписка на электронную версию:
- Подшивки старых номеров журнала (печатные версии)
LXF96:FAQ
Материал из Linuxformat.
Брандмауэры
Убедитесь, что вы хорошо защищены от «пожаров».
Что такое брандмауэр, и почему я должен бояться пожара на моем компьютере?
Брандмауэр (или межсетевой экран) представляет собой аппаратно-программный комплекс, предотвращающий несанкцонированное использование сети, которую он защищает. Самым общим его применением является предотвращение попыток эксплуатации вашего компьютера или сети нехорошими обитателями Интернета. К сожалению, погасить загоревшийся компьютер он не поможет.
Аппаратно-программный? Так это программа или отдельное устройство?
Бывает и то, и то. Отдельное устройство обеспечивает наилучшую защиту, поскольку оно даже не даст любым вторжениям добраться до компьютера(ов). Многие широкополосные маршрутизаторы имеют встроенный брандмауэр, так что плохие парни застрянут в вашем модеме. Другой вариант – старый компьютер с установленным брандмауэр-дистрибутивом, типа IPCop. Такая «защита» не нуждается в больших мощностях - достаточно старого 486 компьютера.
У меня только один компьютер. Могу я запустить брандмауэр на нем?
Да, и достаточно эффективно. Хотя программные реализации менее надежны, чем аппаратные решения, они отлично справляются с задержанием диверсантов.
Какие есть варианты?
Фактически защитой от сетевых вторжений в Linux занимается часть ядра – iptables. Она может быть сконфигурирована записью правил, определяющих, что и почему не разрешается. Написание правил iptables – сложная задача: бывает, что брандмауэр начинает работать не так, как вы ожидали, или вообще ничего не делает.
Существуют различные программы, облегчающие процесс создания правил iptables – от скриптового Shorewall (www. shorewall.net) до программ c графическим интерфейсом, вроде Guarddog (www. simonzone.com/software/guarddog) и Firewall Builder (www.fwbuilder.org). Так как все они генерируют скрипты iptables, вы можете использовать одну из программ с графическим интерфейсом для генерации скриптов защиты и применить их на сервере, где не запущен X.
Но Linux ведь безопасен, правда? Зачем мне все это?
Это так, но только если вы следите за этим. Ведь установка замков на дверь не остановит грабителя, если окна настежь. То же самое относится и к безопасности в Интернете. Linux только предоставляет инструменты для надежной блокировки сети, а пользуетесь ими вы. Права пользователя затрудняют нарушителям некоторые вещи, но наилучший вариант – вообще никого не пускать.
А у меня нечего воровать. Тогда зачем?
Есть что, и больше, чем вы думаете. Кэш вашего браузера может содержать информацию о посещенных финансовых сайтах – хоть там и нет паролей, но вор может найти там ключ к разгадке; ваши почтовые сообщения содержат личную информацию; наконец, само ваше соединение. Им могут воспользоваться для отсылки спама, и ваш провайдер закроет вашу же учетную запись. Причем для этих пакостей не нужны права администратора, только стандартные права пользователя.