Ero sivun ”Palomuuri” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Palomuurit (rauta) -artikkelin sisältö tänne, jäsentelyä
Ei muokkausyhteenvetoa |
Pb (keskustelu | muokkaukset) (Palomuurit (rauta) -artikkelin sisältö tänne, jäsentelyä) |
||
| Rivi 1: | Rivi 1: | ||
= Toimintaperiaate = | |||
Linuxissa kaikki verkkoliikenne kulkee yhden rajapinnan kautta. Tätä kutsutaan [http://www.netfilter.org/ netfilter]ksi. | Linuxissa kaikki verkkoliikenne kulkee yhden rajapinnan kautta. Tätä kutsutaan [http://www.netfilter.org/ netfilter]ksi. | ||
Kaikki verkkoliikenteen suodattaminen tapahtuu tämän rajapinnan avulla. | Kaikki verkkoliikenteen suodattaminen tapahtuu tämän rajapinnan avulla. | ||
| Rivi 7: | Rivi 7: | ||
Palomuuri tehdään yleensä kirjoittamalla skripti, joka kutsuu iptablesia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento /etc/init.d/iptables save | Palomuuri tehdään yleensä kirjoittamalla skripti, joka kutsuu iptablesia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento /etc/init.d/iptables save | ||
= Valmiita ratkaisuja = | |||
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia, kuten [http://www.simonzone.com/software/guarddog/ Guarddog], [http://www.fs-security.com firestarter] ja [http://www.fwbuilder.org fwbuilder]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [http://firehol.sf.net Firehol] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. | Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia, kuten [http://www.simonzone.com/software/guarddog/ Guarddog], [http://www.fs-security.com firestarter] ja [http://www.fwbuilder.org fwbuilder]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [http://firehol.sf.net Firehol] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. | ||
| Rivi 15: | Rivi 15: | ||
Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi [http://www.astaro.de/ Astaro]. | Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi [http://www.astaro.de/ Astaro]. | ||
= Erilliset palomuurilaitteet = | |||
Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin [http://www.solutions.fi/page_view?t=1&l=1&s=12&p=12 Sec] tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko. | |||
Secwall on modulaarinen tilallinen muuri, jolla voidaan joustavasti säännöstön avulla määrittää mitä liikennettä sallitaan työasemille sekä työasemilta internetiin. Laitteesta löytyy myös VPN-keskitin, jonka avulla voidaan rakentaa turvallinen etäkäyttöympäristö. | |||
Smoothwall distribuution tekijät myyvät omaa tuotettaan erillisenä laitteena nimeltä [http://www.itworks.com/products/smoothwall-rackmount.htm Smoothwall Rack-Mount Network Appliance]. | |||
Smoothwallia voidaan laajentaa erillisillä softalisäosilla, jolloin siihen saadaan lisää toimintoja. | |||
Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa. | |||
[http://www.linksys.com Linksysin] WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. [http://openwrt.org/ OpenWRT-projekti] on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin. | |||
== VPN/IPSEC-laitteet == | == VPN/IPSEC-laitteet == | ||