РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
LEAF-Bering uClibc: межсетевой экран средствами Linux

Платформа WRAP.1D-2 от PC Engines: ещё одно решение для m0n0wall

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Брандмауэр m0n0wall: надёжное программное решение
Краткое содержание статьи: Многие администраторы не доверяют программным межсетевым экранам, предпочитая аппаратные решения. Но не следует забывать, что последние часто представляют собой программный брандмауэр под специальной версией Linux. Почему бы не собрать подобное решение самостоятельно? При этом вы получите уникальную гибкость. Бесплатный брандмауэр m0n0wall выполняет не только традиционный набор функций, но может работать конечной точкой VPN, обеспечивает обрезание трафика и поддерживает организацию сетей публичного доступа (хот-спотов).

Брандмауэр m0n0wall: надёжное программное решение


Редакция THG,  14 ноября 2004
Назад
Вы читаете страницу 4 из 4
1 2 3 4
Далее


Производительность

Ниже приведены результаты тестирования производительности, выполненного Маньюэлом Каспером, которые отражают производительность брандмауэра с использованием NAT и фильтрации пакетов, а также пропускную способность IPSec VPN.

Тестовая конфигурация

[Ноутбук с WinXP] ----- LAN [Тестовая система] WAN ----- [ПК c FreeBSD]

  • При тестировании пропускной способности туннелей IPsec, туннель ESP устанавливался между m0n0wall и FreeBSD (использовались racoon и FAST_IPSEC).
  • FreeBSD работала на ПК с процессором P4 2,8 ГГц (загрузка процессора во время тестирования не превышала 50%).
  • Конфигурация m0n0wall: параметры по умолчанию (кроме отключения правила "блокировать частные адреса на WAN", включения привязки NAT для входящего трафика + правило в тесте WAN->LAN без Ipsec, и, конечно же, туннель IPsec).
  • Использовалось наибольшее из трёх полученных значений iperf TCP (по 10 секунд).
  • Все сетевые подключения использовали 100 Мбит/с Ethernet.
  • Пропускная способность между ноутбуком с XP и ПК с FreeBSD без m0n0wall составляла 94 Мбит/с в обоих направлениях.
  • Все результаты приведены в Мбит/с (LAN->WAN / WAN->LAN).

Производительность

Таблица 2.

В реальных условиях производительности net4501 окажется более чем достаточно для большинства задач, поскольку немногие из нас являются счастливыми обладателями каналов со скоростью более 15 Мбит/с. Однако, производительность IPSec вполне может стать недостаточной, особенно при использовании нескольких туннелей.

Как видно, скорость процессора влияет на производительность (2,07/2,02 Мбит/с). Однако использование более эффективного алгоритма шифрования Blowfish позволяет увеличить пропускную способность до 3,99/3,89 Мбит/с.

Хотя мы более подробно остановились на платформе Soekris net4501, информация, приведённая в таблице выше, отражает и возможности стандартного аппаратного обеспечения для ПК. Производительность net4501 примерно соответствует производительности Pentium 100; net4801 и WRAP.1C-2 - Pentium 266 и 233 МГц, соответственно.

Если такой производительности вам недостаточно, то можно использовать более современное "железо", например, процессор уровня Pentium III, 128 Мбайт ОЗУ и хорошие сетевые карты, скажем, 3Com или Intel, которые показывают скорость передачи данных порядка 90 - 95 Мбит/с. Такая конфигурация позволит использовать m0n0wall в качестве маршрутизатора/брандмауэра между подразделениями сети крупной организации.

Более подробное результаты тестирования можно найти по адресу http://m0n0.ch/wall/list/?action=show_msg&actionargs[]=62&actionargs[]=57.

Что должно появиться в m0n0wall?

В августе 2004 года вышла версия m0n0wall 1.1. В которой были добавлены следующие функции:

  • поддержка опциональных модулей от третьих производителей;
  • графическое отображение трафика в реальном времени при помощи Adobe SVG;
  • Captive Portal с возможностью аутентификации RADIUS;
  • возможность включения клиентов с поддержкой "Wake on Lan" с административного интерфейса;
  • поддержка дисков USB и SCSI;
  • поддержка 802.1Q VLAN;
  • автоматическая настройка обрезания трафика "Magic Shaper";
  • улучшенная защита HTTP (web-интерфейса);
  • обновлённая версия системы - FreeBSD 4.10-RELEASE;
  • обновлённые версии утилит (PHP, racoon, MPD, ipfilter);
  • множество исправлений (PPTP VPN, ipfilter и другие).

Полное описание изменений можно найти на странице m0n0wall Change Log.

Наиболее значимой нам показалась поддержка Captive Portal и VLAN. Captive Portal позволяет строить публичную сеть на одном из интерфейсов брандмауэра, что позволяет реализовать общественную точку беспроводного доступа - хотспот или зону общественного доступа, например, в библиотеках. При первой попытке выхода в Интернет из публичной зоны Captive Portal отображает специальную web-страницу, на которой обычно находятся правила пользования, с которыми нужно ознакомиться перед тем, как будет разрешён доступ в сеть. Captive Portal также позволяет использовать внешний сервер RADIUS для аутентификации клиентов перед тем, как предоставить доступ в Интернет.

VLAN обеспечивает совместную работу с управляемым коммутатором, поддерживающим 802.1Q VLAN на основе тэгов. Это позволяет создавать дополнительные виртуальные интерфейсы на m0n0wall и работать с большим количеством сегментов сети.

Следующие возможности занесены в список ближайшей работы "To do/Wish list":

  • поддержка OpenVPN;
  • поддержка аутентификации с использованием сертификатов для IPSec VPN;
  • группы хостов/сетей, что позволит задавать правила брандмауэра на их основе;
  • активация правил брандмауэра по времени и дню недели;
  • определение сканирования портов с автоматическим отбрасыванием пакетов;
  • дополнительные сети WAN, возможно, с балансировкой нагрузки;
  • резервное коммутируемое соединение, использующее последовательный порт.

Здесь нам особенно интересной показались поддержка сертификатов IPSec VPN, группы хостов/сетей, вторых интерфейсов WAN и резервных соединений.

Заключение

Надеемся, что мы представили достаточно подробное описание возможностей m0n0wall, а также показали лёгкость их настройки. Но за рамками изложения остались другие функции. Кроме того, следует отметить небольшой размер готового образа (4-5 Мбайт), возможность загрузки с CD-ROM без установки программного обеспечения на диск. Так что m0n0wall крайне удобен в использовании.

Подробнее о проекте можно узнать на сайте m0n0wall. К сожалению, документация пока весьма скудна, но поскольку это совместный проект, то она постоянно пополняется. Документация доступна здесь.

Если вы не можете найти то, что вас интересует, рекомендуем воспользоваться архивом списка рассылки. С m0n0wall работает огромное сообщество активных пользователей, которые взаимодействуют через списки рассылки. Вы всегда можете задать вопрос, но сначала поищите ответ в архивах форума, вдруг ваша тема уже обсуждалась.

Итоговая информация о продукте
Модель Программный брандмауэр m0n0wall
Заключение Мощный и простой в настройке брандмауэр для FreeBSD с web-интерфейсом, конечными точками IPsec и PPTP, позволяющий ограничивать трафик
Преимущества - Может работать как на интегрированных платформах, так и на обычных ПК
- Позволяет ограничивать трафик и может работать как сервер VPN
- Бесплатен
Недостатки - Настройка брандмауэра может отпугнуть неопытных пользователей
Розничная цена $0


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Услуги грузчиков разнорабочих - подробнее http://perevozki.youdo.com/city/loaders/dlv/raznorabochie/.