Всі користувачі Прикарпатського УБР розділені на дві основні групи:

Користувачі з правами доступу адміністратора;

Користувачі домена pubr з правами доступу до мережевих ресурсів: файлового сервера, сервера баз даних та поштового сервера.

Локальна мережа ПУБР у свою чергу під’єднана до глобальної мережі Internet за допомогою радіоканалу зв’язку з місцевим провайдером послуг з використанням Wi-Fi технології через поштовий сервер.

1.5. Організація охорони праці та протипожежної безпеки на підприємстві

Охорона праці в Прикарпатському УБР регулюється відповідними нормативними актами.

Площа приміщень УБР, в яких розташовуються ПК, відповідно до чинних нормативних документів з розрахунком на одне робоче місце становить:

площа – не менше 6.0 кв.м,

обсяг – не менше 20.0 куб.м.

У приміщеннях з ПК щоденно проводиться вологе прибирання.

Для підтримки допустимих значень мікроклімату та концентрації позитивних та негативних іонів передбачені прилади зволоження та кондиціювання повітря.

Персональні комп`ютери та периферійні пристрої встановлюються на робочому місці працівника і підключаються до мережі електроживлення за допомогою триполюсних вилок і розеток із заземленням. Недопустимим є підключення комп`ютерів і периферійних пристроїв до звичайної двопровідної електромережі, в тому числі – з використанням перехідних пристроїв.

Персональні комп`ютери розміщені на рівній стійкій поверхні, забезпечується вільне розташування кабелів електроживлення і мережевих кабелів. Передбачено достатньо вільного місця біля блоків комп`ютера для забезпечення вентиляції та вільного доступу до розеток електроживлення.

Користувачам забороняється самостійно виконувати будь-які ремонтні та профілактичні роботи персональних комп`ютерів.

Приміщення в УБР оснащенні системою автоматичної пожежної сигналізації та переносними вуглекислотними вогнегасниками з розрахунку 2 штуки на кожні 20 кв. м. Підхід до засобів пожежегасіння є відкритим.

Розділ 2

Індивідуальне завдання

2.1. Вибір брандмауера і схема підключення

Поштовий сервер Прикарпатського УБР виконує функції брандмауера (firewall) на базі операційної системи Linux.

Брандмауер - це система або комбінація систем, що дозволяють розділити мережу на дві або більш за частини і реалізувати набір правив, що визначають умови проходження пакетів з однієї частини в іншу (.1). Як правило, ця межа проводиться між локальною мережею підприємства і INTERNET, хоча її можна провести і усередині локальної мережі підприємства. Брандмауер таким чином пропускає через себе весь трафік. Для кожного пакету, що проходить, брандмауер приймає рішення пропускати його або відкинути. Для того, щоб брандмауер міг ухвалювати ці рішення, йому необхідно визначити набір правив. Про те, як ці правила описуються і які параметри використовуються при їх описі мова піде нижчим.

Рис.2.1.1

Як правило, брандмауери функціонують на якій-небудь UNIX платформі - найчастіше це BSDI, SUNOS, AIX, IRIX і т.д., рідше - DOS, VMS, WNT, Windows NT. З апаратних платформ зустрічаються INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, сімейство RISC процесорів R4400-R5000. Крім Ethernet, багато брандмауерів підтримують FDDI, Token Ring, 100Base-T, 100VG-AnyLan, різні серійні пристрої. Вимоги до оперативної пам'яті і об'єму жорсткого диска залежать від кількості машин в сегменті мережі, що захищається, але найчастіше рекомендується мати не менше 32Мб ОЗП і 500 Мб на жорсткому диску.

Як правило, в операційну систему, під управлінням якої працює брандмауер вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволяється мати рахунків користувачів (а значить і потенційних дірок), тільки рахунок адміністратора. Деякі брандмауери працюють тільки в однокористувацькому режимі. Багато брандмауерів мають систему перевірки цілісності програмних кодів. При цьому контрольні суми програмних кодів зберігаються в захищеному місці і порівнюються при старті програми щоб уникнути підміни програмного забезпечення.

Всі брандмауери можна розділити на три типи:

;

;

.

Всі типи можуть одночасно зустрітися в одному брандмауері.

Пакетні фільтри

Брандмауери з пакетними фільтрами ухвалюють рішення про те, пропускати пакет або відкинути, проглядаючи IP-адреси, прапори або номери TCP портів в заголовку цього пакету. IP-адреса і номер порту - це інформація мережевого і транспортного рівнів відповідно, але пакетні фільтри використовують і інформацію прикладного рівня, оскільки всі стандартні сервіси в TCP/IP асоціюються з певним номером порту.

Для опису правил проходження пакетів складаються таблиці типу:

Дія | тип пакету | адреса джерела | порт джерела | адреса призначення | порт призначення | прапори

Поле “дія” може приймати значення, пропустити або відкинути.

Тип пакету - TCP, UDP або ICMP.

Прапори - прапори із заголовка IP-па-кета

Поля “порт джерела” і “порт призначення” мають сенс тільки для TCP і UDP пакетів.

Сервера прикладного рівня

Брандмауери з серверами прикладного рівня використовують сервера конкретних сервісів - TELNET, FTP і т.д. (proxy server), що запускаються на брандмауері і пропускають через себе весь трафік, що відноситься до даного сервісу. Таким чином, між клієнтом і сервером утворюються два з'єднання: від клієнта до брандмауера і від брандмауера до місця призначення.

Повний набір підтримуваних серверів розрізняється для кожного конкретного брандмауера, проте найчастіше зустрічаються сервера для наступних сервісів:

термінали (Telnet, Rlogin)

передача файлів (Ftp)

електронна пошта (SMTP, POP3)

WWW (HTTP)

Gopher

Wais

X Window System (X11)

принтер

Rsh

Finger

новини (NNTP) і т.д.

Використання серверів прикладного рівня дозволяє вирішити важливе завдання - приховати від зовнішніх користувачів структуру локальної мережі, включаючи інформацію в заголовках поштових пакетів або служби доменних імен (DNS). Іншою позитивною якістю є можливість аутентифікації на призначеному для користувача рівні (аутентифікація - процес підтвердження ідентичності чого-небудь; в даному випадку це процес підтвердження, чи дійсно користувач є тим, за