Межсетевое экранирование

IPFILTER (IPF) firewall


IPFILTER не зависит от ОС, он является open source приложением, которое портировано на FreeBSD, NetBSD, OpenBSD, SunOS, HP/UX и Solaris. IPFILTER активно развивается, регулярно выходят новые версии.

IPFILTER основан на пакетном фильтре уровня ядра и имеет механизм NAT, который может управляться и просматриваться программами с интерфейсом уровня пользователя. Правила пакетного фильтра могут быть установлены или удалены с помощью утилиты ipf. Правила NAT могут быть установлены или удалены с помощью утилиты ipnat. Утилита ipfstat может показывать в реальном времени статистику, относящуюся к той части IPFILTER, которая функционирует на уровне ядра. Программа ipmon создает в системных файлах логи действий, выполненных IPFILTER.

IPF был написан сперва с использованием логики обработки правил "используется последнее правило, которому соответствует пакет". Первоначально имелись только правила без поддержки состояния. Со временем IPF был усилен включением опции quick и опции поддержки состояния keep state, в результате чего изменилась логика обработки правил. Модернизированные функции включены только в виде дополнительных опций, они дают возможность создавать пакетный фильтр, обеспечивающий большую безопасность.

Рассмотрим использование правил, которые содержат опцию quick и опцию поддержки состояния keep state. Это является основой для создания набора правил включающего пакетного фильтра.

Включающий пакетный фильтр позволяет проходить только тем пакетам, которые соответствуют правилам. Рассмотрим, как можно управлять сервисами, которые расположены позади пакетного фильтра и доступны из Интернета; также можно управлять доступом из локальной сети к сервисам, расположенным в Интернете. Все остальное по умолчанию блокируется, и информация об этом заносится в лог. Включающий пакетный фильтр является намного более безопасным, чем набор правил исключающего пакетного фильтра.



Содержание раздела