Межсетевые экраны в UNIX

и другие мысли

Темы лекций

  1. Виртуальные машины
  2. Межсетевые экраны
  3. Traffic shaping
  4. Tunnelling и proxy
  5. VPN
  6. DMZ
  7. Обработка HTTP-трафика
  8. Инсталляторы и конфигураторы.

Вопросы к лекциям

  1. Три класса "виртуальных машин": виртуализация прав доступа (chroot, Jail/VServer), частичное или полное разделение аппаратных ресурсов (VMWare, Qemu+kQemu), полная эмуляция (Qemu, Bochs и т. д.). Задачи виртуализации: ограничение доступа, масштабируесомть, разделение ресурсов, их решение в каждом из классов. Производительность.

  2. Межсетевые экраны
    1. Основные задачи межсетевого экрана (МЭ): фильтрация, преобразование, распределение и учёт. Задачи, которые не решаются одним только МЭ.

    2. МЭ как таблица, единый набор правил и топология правил. Органзация IPFW (FreeBSD4), PF (FreeBSD5, OpenBSD), IPChains и IPTables (Linux). Стратегии "First wins" и "Last wins", их достоинства и недостатки. "Состояние" как временное правило МЭ.
    3. Пример МЭ уровня сетевого интерфейса. Что можно делать с IP-пакетом на сетевом уровне? Что нельзя делать с трафиком на сетевом уровне? Алгоритм работы NAT. Что можно обрабатывать NAT, кроме TCP-соединений? Примеры МЭ уровня приложений.

  3. Что такое Traffic Shaping. Способы реализации. Очереди. Эффективная работа очередей на перегруженных сетях. Стратегии CBQ и PriQ, различия и области применения. Random Drop, Random Early Detection и Explicit Congestion Notification.
  4. Туннелирование и проксирование -- сходства и различия. Основные решаемые задачи и условия применения. Проблемы туннелирования TCP/TCP. Понятие выделенного (dedicated) и прозрачного (transparent) проксирования. Анонимизирующий прокси: безопасность или безответственность? Примеры проксирования прикладных протоколов, отличных от HTTP или FTP.
  5. Технология VPN, основные свойства и причины популярности. Различные способы реализации VPN, их достоинства и недостатки. IPSEC, из чего состоит и как применяется. Два режима работы IPSEC. Шифрование с симметричным ключом. Шифрование с ассиметричным ключом и цифровая подпись. "Оппортунистский" IPSEC: размещение открытых ключей в DNS, надёжность такой схемы.
  6. Понятие внутренней и внешней угроз. Разделение служб по категориям субъектов, имеющих к ним доступ. Демилитаризованная зона, её структура и причины возникновения. Пример типичной корпоративной сети с DMZ. Снижение нагрузки при помощи DMZ.
  7. HTTP-серверы, их классификация по типу решаемых задач. Примеры специализированных, встроенных и малых HTTP-серверов. Возможности Apache. Проксирование HTTP-трафика, при решении каких задач оно необходимо. Специализированные HTTP-прокси. Возможности Squid. Обратное проксирование (Acceleration), как работает и когда применяется.
  8. Разделение объектного и инструментального подхода к системе. Проблема границ между пользовательской задачей и способом её решения. Язык порстановки пользовательских задач. Почему полноценные конфигураторы появились недавно? Свойства идеального конфигуратора: разделение уровней, информационная открытость, распределённось реализации, простота типовых решений. Примеры конфигураторов: YAST2 и DebConf.


CategoryUneex CategoryLectures CategorySpecCourse

LecturesCMC/Firewall2005 (последним исправлял пользователь eSyr 2009-02-14 12:42:36)