В этой главе показано, где находятся и для чего используются
файлы, входящие в состав межсетевого экрана Aker версии 3.0.
21.1 Системные файлыВ этом разделе показано, какие системные файлы
используются межсетевым экраном. Это очень важно для создания резервных копий и
диагностики возможных проблем с работой межсетевого экрана.
Дерево каталогов
- / - содержит модифицированное ядро операционной системы с межсетевым
экраном Aker
- /etc/firewall - содержит выполняемые программы и подкаталоги
- /etc/firewall/conf - содержит конфигурационные файлы межсетевого
экрана
- /etc/firewall/manual - содержит руководство пользователя (если оно
установлено)
- /etc/firewall/root - не содержит файлов. Используется некоторыми
процессами межсетевого экрана
- /etc/firewall/run - содержит динамические файлы
- /var/log - содержит файлы статистики и событий межсетевого экрана
Aker
- /var/spool/firewall - используется SMTP proxy для хранения сообщений
- /usr/src/sys/objs - содержит объектные модули, необходимые для
создания нового ядра системы
Выполняемые программыПрограммы, которые могут использоваться
администраторами межсетевого экрана Aker
- /etc/firewall/fwadmin - интерфейс командной строки для
администрирования пользователей
- /etc/firewall/fwacao - интерфейс командной строки для настройки
реакции системы
- /etc/firewall/fwchave - интерфейс командной строки для определения
ключа активизации системы
- /etc/firewall/fwconex - интерфейс командной строки для доступа к
активным соединениям
- /etc/firewall/fwconver - интерфейс командной строки для настройки
трансляции адресов
- /etc/firewall/fwcripto - интерфейс командной строки для настройки
защищенных каналов
- /etc/firewall/fwent - интерфейс командной строки для создания
объектов
- /etc/firewall/fwflood - интерфейс командной строки для настройки
защиты от SYN атак
- /etc/firewall/fwlog - интерфейс командной строки для доступа к файлам
статистики и событий
- /etc/firewall/fwpar - интерфейс командной строки для настройки общих
параметров
- /etc/firewall/fwregra - интерфейс командной строки для настройки
пакетного фильтра
- /etc/firewall/fwupgrade - Утилита для конвертирования
конфигурационных файлов межсетевого экрана Aker версии 2.0 в формат версии 3.0
Программы, которые НЕ МОГУТ напрямую использоваться
администратором
- /kernel - модифицированное ядро операционной системы с межсетевым
экраном Aker
- /usr/sbin/syslogd - модифицированный syslog демон для межсетевого
экрана Aker
- /etc/firewall/fwauthd - сервер аутентификации пользователей
- /etc/firewall/fwconfd - коммуникационный сервер для удаленных
интерфейсов
- /etc/firewall/fwdnsd - сервер разрешения имен для удаленных
интерфейсов
- /etc/firewall/fwinit - программа инициализации межсетевого экрана
Aker
- /etc/firewall/fwftppd - FTP proxy для трансляции адресов
- /etc/firewall/fwhttppd - непрозрачный WWW proxy
- /etc/firewall/fwresolv - клиент разрешения имен для удаленных
интерфейсов
- /etc/firewall/fwtrap - модуль для посылки SNMP прерываний
- /etc/firewall/fwsmtppd - прозрачный SMTP proxy
- /etc/firewall/fwsrvlog - сервер статистики и событий
- /etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и
синхронизацию
- /etc/firewall/fwtelnetd - прозрачный Telnet proxy
- /etc/firewall/snmpd - SNMP агент
Конфигурационные файлы
- /etc/firewall/chave.fw - ключ активизации межсетевого экрана
- /etc/firewall/conf/acesso.tab - cписок управления доступом в систему
- /etc/firewall/conf/acesso.telnet - список управление доступом для
контекстов Telnet proxy
- /etc/firewall/conf/acl.tab - профили доступа, зарегистрированные в
системе
- /etc/firewall/conf/auth.tab - глобальные параметры аутентификации
- /etc/firewall/conf/conjuntos.tab - объекта типа набор,
зарегистрированные в системе
- /etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy
- /etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy
- /etc/firewall/conf/conv.tab - серверная таблица трансляции адресов
- /etc/firewall/conf/crypt.tab - таблица защищенных каналов
- /etc/firewall/conf/entidades.crypt - объекты, используемые для работы
защищенных каналов
- /etc/firewall/conf/entidades.tab - объекты, зарегистрированные в
системе
- /etc/firewall/conf/entidades.filtro - объекты, используемые для
работы пакетного фильтра
- /etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов
- /etc/firewall/conf/parametros.fw - общие конфигурационные параметры
системы
- /etc/firewall/conf/parametros.http - конфигурационные параметры WWW
proxy
- /etc/firewall/conf/regras.filtro - правила пакетного фильтра
- /etc/firewall/conf/sites.tab - адреса, используемые в профилях
доступа
- /etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак
- /etc/firewall/conf/usuarios.tab - пользователи, авторизованные для
удаленного администрирования
Динамические файлы
- /etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера
аутентификацииr
- /etc/firewall/run/fwhttppd.pid - PID для HTTP proxy
- /etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации
Файлы статистики и событий
- /var/log/eventos-30.fw - Файл регистрации событий
- /var/log/log-30.fw - Файл регистрации статистики
21.2 Резервные копии межсетевого экранаВ межсетевом экране Aker Version
3.0 предусмотрена возможность создания резервных копий и полное удаленное
восстановление его конфигурации. Этот вопрос обсуждался в главе
Использование средств графического интерфейса
.
Рекомендуется проводить подобную процедуру, так как она очень проста в и дает
возможность сохранить все настройки межсетевого экрана на удаленном хосте.
Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и
предыдущих версиях.
В этом разделе показано, как сделать вручную резервную копию, а
также как восстановиться с нее.
Копируемые файлы
- Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее
важной частью системных файлов, подлежащих копированию. Такие копии следует
выполнять каждый раз при проведении какой-либо модификации в настройках
межсетевого экрана.
- Другой важной частью файлов являются файлы статистики и событий. В
зависимости от требований безопасности можно делать копии этих файлов ежедневно
или даже чаще. Другим способом повышения безопасности является настройка
межсетевого экрана таким образом, чтобы статистика и события отсылались через
syslogd на другие хосты во внутренней сети.
Для создания резервных копий можно использовать утилиту
tar в FreeBSD. Пользователь root должен выполнить следующие команды:
- tar cvfz /conf.tgz /etc/firewall/conf
(Сохраняет все настройки
межсетевого экрана в файле /conf.tgz file)
- tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw
Сохраняет всю статистику и события в файле /log.tgz) После
их копирования необходимо перенести файлы /conf. tgz и /log.
tgz на другие хосты, используя, например, FTP.
Восстановление в случае аварииВ случае потери данных необходимо сделать
следующее:
- В случае потери конфигурационных данных или файлов статистики и событий
достаточно восстановить одну из упомянутых выше копий.
! Важно убедиться, что ни один из
процессов обработки межсетевого экрана Aker не запущен в момент восстановления
файлов. Для этого перезапустите хост в однопользовательский режим ( это можно
сделать, используя опцию -s команды boot при загрузке
операционной системы boot:) или "убейте " все запущенные в межсетевом
экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw
| grep -v grep | cut -c 1-5`).
Для восстановления с резервной копии, сделанной с помощью
команды tar, необходимо выполнить следующую последовательность команд
(команды должны выполняться пользователем root):
- cd /
- tar xvfz /conf.tgz
(восстанавливает конфигурационные
файлы)
- tar xvfz /log.tgz
(восстанавливает файлы статистики и
событий)
- Если произошла потеря всей информации, сначала необходимо проверить, цела ли
операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD.
После этого инсталлируйте межсетевой экран Aker, используя все процедуры,
описанные в главе Инсталляция . Когда все заработает,
восстановите резервные копии конфигурационных файлов и файлов статистики и
событий, как показано выше.
|