Введение
Без хорошего межсетевого экрана сегодня просто не обойтись, особенно если вы используете широкополосное подключение к Интернету. Но какой брандмауэр выбрать? Как насчёт бесплатного решения, которое может работать на старом “железе”, обладает графическим интерфейсом настройки, а с установкой и настройкой справится даже начинающий пользователь? Предлагаем познакомиться с Smoothwall Express 2.0.
Функциональность
Smoothwall является программным решением, позволяющим сделать из старого компьютера полноценный межсетевой экран, по возможностям и производительности не уступающий многим аппаратным версиям. Smoothwall Express распространяется под лицензией GPL и основывается на Linux, однако, в отличие от множества других решений на базе Linux, Smoothwall может похвастаться графическим интерфейсом настройки. Используя браузер, вы можете настраивать даже самые продвинутые функции абсолютно без каких-либо проблем.
Smoothwall нацелен на любых пользователей, от домашних до администраторов сетей, однако сразу отметим, что Express будет особенно привлекателен именно домашним пользователям. Онлайновая контекстная помощь способна даже неопытных пользователей превратить в технических гуру. Smoothwall Express бесплатен, однако Smoothwall предлагает также версию Corporate Server, которая, конечно стоит денег, но предлагает больше функций.
Установка
Вы можете скачать образ в формате iso, который можно использовать для записи CD. После записи вы получите загрузочный CD, откуда и будет выполняться установка – достаточно просто загрузиться с диска. Если на выбранной машине нет оптического привода, то предусмотрена возможность установки по сети.
В целом, установка Smoothwall Express 2.0 логична. Отчасти это связано с тем, что опций для выбора немного. Впрочем, с одной стороны это хорошо, но с другой – плохо, здесь всё зависит от того, что вам нужно. Во время установки нельзя выбрать раздел. Установка Smoothwall полностью очистит и переформатирует основной жёсткий диск, и, как мы думаем, это вряд ли можно обойти. Конечно, при установке вы увидите несколько предупреждений, но согласитесь, что такой подход не совсем оправдан, особенно если вы не уверены, что Smoothwall вас полностью устроит.
После предупреждений об очистке жёсткого диска вы сможете выбрать сетевые интерфейсы. На этом этапе хорошо бы знать, какие сетевые карты установлены в ваш ПК и какие драйверы Linux они используют. Тогда всё пойдёт, как по маслу. Если у вас этой информации нет, то придётся поэкспериментировать , чтобы выяснить, какая карта к чему подключается. Smoothwall окрашивает интерфейсы в разные цвета – зелёный выбран для локального сегмента, красный – для Интернета и оранжевый – для DMZ (демилитаризованная зона, где обычно располагаются различные серверы). Как только локальная сеть настроена, инсталлятор скопирует файлы на жёсткий диск и продолжит установку. Затем будет произведена настройка остальных сетевых адаптеров, а также ввод базовой информации типа имени узла. Кроме того, существует возможность обновить конфигурацию с предыдущей установки – очень удобно при выполнении установки на новую версию брандмауэра. Как видите, большая часть установки проходит автоматически.
Настройка
Smoothwall может работать с несколькими типами интернет-подключений, например, ISDN, ADSL и даже коммутируемое соединение. Мы решили использовать все три зоны Smoothwall, установив web- и почтовый серверы в оранжевой зоне. После завершения установки вы сможете подключаться к web-интерфейсу администрирования Smoothwall с любого компьютера из зелёной зоны. При подключении вы увидите следующую страницу:
Рис. 1. Главная страница web-интерфейса (Control: Home).
Если вы только что установили Smoothwall, то на домашней странице появится сообщение о наличии обновлений. Smoothwall обновляется весьма своеобразно. Сначала придётся скачать обновления на локальный компьютер, а затем, используя web-интерфейс Smoothwall, нужно закачать файл на Smoothwall, как показано ниже.
Рис. 2. Обновление (Maintenance: Updates).
После обновления можно перейти к настройке Smoothwall. Брандмауэр имеет встроенный сервер DHCP (dhcpd), web-прокси (squid) и систему обнаружения атак (snort). Кроме того, поддерживается динамическая служба имён DDNS, которая работает, к примеру, с Dyndns.org, сервер SSH и даже IPsec VPN (FreeSWAN). Каждый сервис легко настраивается через web-интерфейс. Ниже показан пример настройки сервера DHCP:
Рис. 3. Сервисы: DHCP (Services: DHCP).
Некоторые службы предлагают настроить достаточно большой набор параметров, а у других, например SSH, число опций ограничено всего одной-двумя галочками.
Рис. 4. Сервисы: Удалённый доступ (Services: Remote Access).
Все сервисы легко настраиваются при помощи web-интерфейса, который, хотя и не обеспечивает доступ ко всему богатству параметров, достаточен для запуска и работы службы в большинстве конфигураций. Ещё одна великолепная особенность web-интерфейса – это онлайновая система помощи. Прочитав подсказку вы можете легко выполнить настройку даже тех служб, которые раньше были для вас “белым пятном”. Помощь выводится в отдельном окне, позволяя одновременно и читать, и настраивать систему.
Рис. 5. Онлайновая помощь.
Как мы считаем, онлайновая система помощи является одним из наиболее серьёзных преимуществ Smoothwall. Многим пользователям часто не хватает терпения, чтоб узнать в Интернете или в руководстве о той или иной функции, однако почти все “кликнут” по нужной кнопке, если возникнет необходимость. Эта возможность, по нашему мнению, даёт Smoothwall огромное преимущество над многими другими web-интерфейсами, которые нам доводилось встречать ранее, особенно для тех пользователей, кто впервые настраивает межсетевой экран.
Smoothwall также имеет основанный на Java web-интерфейс SSH, который показан ниже.
Рис. 6. Оболочка SSH (Tools: Shell).
Используя встроенный SSH, а также и любого другого клиента SSH, вы получите доступ к интерфейсу командной строки, где сможете редактировать файлы конфигурации вручную или производить настройки, не представленные в web-интерфейсе.
По умолчанию Smoothwall разрешает доступ в Интернет для всех систем из зелёной и оранжевой зон, позволяет отправлять запросы из зелёной зоны в оранжевую, но не наоборот. Все входящие запросы из Интернета (кроме порта 113) отбрасываются. Правила можно поменять, перейдя на закладку “Сеть/Networking” web-интерфейса. Например, поскольку у нас в оранжевой зоне работают почтовый и web-серверы, мы разрешили перенаправлять пакеты по портам 80 и 25, как показано ниже.
Рис. 7. Перенаправление портов (Networking: Port Forwarding).
Добавление и удаление правил выполняется в один щелчок мыши. Выше показано, как мы удалили временное правило, созданное для тестирования производительности Gnutella.
Журналирование
После того, как Smoothwall будет настроен, вы можете периодически проверять состояние системы. Smoothwall здесь также великолепно себя показывает: можно просматривать не только страницы состояния, но и информацию о трафике, представленную графически. Ниже показан внешний вид страницы “Traffic Graphs”.
Рис. 8. Отображение трафика (About: Traffic Graphs).
Можно “кликнуть” по графику любого интерфейса и посмотреть детализацию графика за день, неделю, месяц или год. Кроме страниц статуса и графиков, здесь присутствует и страница просмотра журналов. Некоторые журналы отображаются в открытом тексте, но другие, например “Межсетевой экран/Firewall” и “Обнаружение атак/Intrusion Detection System”, отформатированы для более удобного просмотра. Страница “Межсетевой экран/Firewall” даже включает галочки и кнопки для просмотра и блокирования IP-адресов.
Рис. 9. Журналы: межсетевой экран (Logs: Firewall).
В журнале “Обнаружение атак/Intrusion Detection System”, показанном ниже, содержатся все попытки атак на систему.
Рис. 10. Журналирование: обнаружение атак (Logs: IDS).
Следует учитывать, что система обнаружения атак позволяет лишь обнаруживать атаки. Smoothwall их не блокирует, если только они не подпадают под правила запрета межсетевого экрана. Если вы настроили перенаправление портов, убедитесь, что система, на которую перенаправляете трафик (надеемся, она находится в оранжевой зоне), не подвержена уязвимостям, которых сегодня множество.
Smoothwall позволяет быстро и просто изменять пароли, выполнять резервирование, а также запускать мелкие утилиты (whois, ping и traceroute). В целом, система достаточно функциональна и позволяет удовлетворить потребности множества пользователей.
Впрочем, мы обнаружили и несколько недостатков. Во-первых, очистка всего жёсткого диска при установке является слишком уж резким решением, особенно с учётом того, что Smoothwall основывается на Redhat, которая всегда предлагала превосходные средства для работы с разделами во время установки. Во-вторых, нас не порадовало отсутствие возможности редактировать через web-интерфейс файл /etc/hosts, хотя, конечно, можно воспользоваться SSH и откорректировать его вручную. В-третьих, Smoothwall использует для синхронизации времени NTP, но не поддерживает эту службу для зелёной и оранжевой зон. И, в заключение, Smoothwall обеспечивает разрешение имён DNS, но только для зелёной зоны. Компьютерам, находящимся в оранжевой зоне, для разрешения имён придётся использовать внешние серверы DNS (например, провайдера). Отметим, что все эти проблемы можно запросто решить, лишь немного поработав с системой. Помните, что внутри работает Linux, поэтому можно изменить всё что угодно, главное только захотеть.
Производительность
Как мы уже упоминали ранее, поскольку Smoothwall основан на Linux, то его производительность достаточно высока, даже на относительно медленных системах. Конечно, некоторые ресурсоёмкие функции, например web-прокси и VPN, могут работать не так быстро, как хотелось бы, упираясь в производительность жёсткого диска и процессора, но обычная передача пакетов будет происходить достаточно быстро даже на древнем “железе”. Для тестирования производительности сети мы использовали систему с Smoothwall Express 2.0 на базе ПК с процессором Pentium II 400 МГц с 256 Мбайт ОЗУ и Pentium II 333 МГц с 256 Мбайт памяти (в качестве конечной точки) в оранжевой зоне. С нашего ПК, находящегося в зелёной сети, Pentium 4 2,6 ГГц с 512Мбайт памяти (тестовая система), мы запустили несколько тестов через Smoothwall на систему в оранжевой зоне. Вот что мы получили.
При использовании конечной точки Windows 2000 Pro и тестовой системы под управлением Windows XP Home, тестовая утилита QCheck, которую мы использовали для измерения пропускной способности TCP, показала 93,023 Мбит/с при размере файла 1000 килобайт. Для UDP пропускная способность составила 27,778 Мбит/с при том же размере файла 1000 килобайт. При использовании на конечной точке и тестовой системе Mandrake Linux 10.1 Official и утилиты IPerf, для TCP мы получили пропускную способность TCP 93,6 Мбит/с для окна 16 кбайт.
В предыдущих статьях мы уже упоминали, что на практике пропускная способность 100Base-TX Ethernet обычно составляет от 60 до 95 процентов теоретических 100 Мбит/с. Таким образом, результаты, определённо, находятся ближе к верхней границе. Это означает, что ограничивающим фактором здесь, по крайней мере, когда речь идёт о “сырой” пропускной способности сети, будет, без сомнения, не программное обеспечение.
Заключение
Smoothwall Express 2.0 представляет собой прекрасный межсетевой экран, который будет сразу же отлично работать, даже после минимальной настройки. Опций конфигурации с лихвой хватит для большинства пользователей. Благодаря web-интерфейсу настройку может проводить даже начинающий пользователь, а система онлайновой помощи придётся как нельзя кстати. Продвинутым пользователям, а также для сетей сложной конфигурации мы рекомендуем настройку через командную строку SSH.
Поскольку мы совсем недавно рассматривали ClarkConnect, тоже межсетевой экран с открытым исходным кодом, то позвольте сделать некоторое сравнение. Наибольшее различие состоит в том, что Smoothwall разрабатывался для работы только в качестве межсетевого экрана, а ClarkConnect может быть как межсетевым экраном, так и файловым сервером, или и тем и другим одновременно. С другой стороны, системы очень похожи и предусматривают администрирование через web-интерфейс.
Мы считаем, что web-интерфейс Smoothwall более продуман и прост в навигации, чем у ClarkConnect. Кроме того, система помощи у Smoothwall показалась более полезной и подробной, чем у Clarkconnect, где представлены только общие описания и параметры. В общем, оба дистрибутива достойны внимания и замечательно выполняю свою работу. Лёгкость настройки не поставит в тупик даже начинающего пользователя.
Итоговая информация о продукте | |
Итог | Межсетевой экран с открытым исходным кодом, отличающийся прекрасным web-интерфейсом, онлайновой помощью и быстрой маршрутизацией. |
Преимущества | – Простота установки – Графический web-интерфейс настройки – Онлайновая помощь – Бесплатен |
Недостатки | – Установка полностью затирает содержимое жёсткого диска – Возможно, набор функций опытным пользователям покажется скудным |