- •Интернет-технологии учебное пособие
- •Глава 1. Семиуровневая модель osi 8
- •Глава 2. Многоуровневая архитектура Интернета. Протокол tcp/ip . 31
- •Глава 3. Ip-адреса 41
- •Глава 4. Базовые пользовательские технологии работы в интернете 73
- •Глава 5. Интернет технологии нового поколения: блоги, rss и YouTube 114
- •Глава 6. Как скачивать с Youtube 141
- •Введение
- •Для кого эта книга?
- •Функции Интернета.
- •Глава 1. Семиуровневая модель osi
- •Характеристики уровней модели osi
- •Протоколы
- •Физический уровень модели osi
- •Способы реализации физического уровня
- •Скрученные пары: 10base-t
- •Канальный уровень
- •Передача данных канального уровня.
- •Сетевой уровень
- •Транспортный уровень
- •Сеансовый уровень
- •Представительный уровень
- •Прикладной уровень
- •Сетезависимые и сетенезависимые уровни
- •Инкапсуляция и обработка пакетов
- •Глава 2. Многоуровневая архитектура Интернета. Протокол tcp/ip .
- •Многоуровневая структура стека tcp/ip
- •Прикладной уровень.
- •Транспортный уровень.
- •Протокол udp.
- •Уровень межсетевого взаимодействия.
- •Протокол ip.
- •Уровень сетевых интерфейсов
- •Сетезависимые и сетенезависимые уровни стека tcp/ip
- •Глава 3. Ip-адреса
- •Классы ip-адресов
- •Маска подсети
- •Операция anDing
- •Организация подсети
- •Защита сетей с помощью брандмауэра.
- •Маскирование сетевых адресов.
- •Управление внутрисетевым трафиком.
- •Компоненты брандмауэра.
- •Правила фильтрации пакетов и списки асl
- •Типы адресов в ip-сетях.
- •Аппаратный адрес узла.
- •Сетевой адрес.
- •Отображение физических адресов на iр-адреса.
- •Отображение символьных имён на iр-адреса.
- •255.255.255.0 - Маска для сети класса с.
- •Система доменных имен.
- •Ip нового поколения.
- •Глава 4. Базовые пользовательские технологии работы в интернете
- •Электронная почта
- •Электронная почта e-Mail
- •Электронная почта Web-Mail
- •Подключение к почте «Яндекса»
- •Что такое ftp-адрес.
- •Использование ftp-клиента
- •Быстрая закачка файлов: Программа FlashGet
- •Получение файла по ftp
- •Telnet – программа работы с удаленным компьютером
- •Использование удаленных компьютеров с помощью Telnet
- •Что такое Telnet
- •Получение клиентской программы Telnet
- •Основные технологии работы в www
- •Гипертекстовые технологии Интернета
- •Средства просмотра информации в www
- •Простейшие технологии работы с браузером Выбор начальной страницы
- •Загрузка документов
- •Поиск информации в документах
- •Оперативная загрузка нужного документа
- •Работа с электронной почтой
- •Доступ к телеконференциям
- •Средства поиска информации в www
- •Основные понятия World Wide Web
- •Что такое url?
- •Обязательно ли вводить www?
- •Что такое http?
- •Браузер по умолчанию:
- •Шестая и седьмая версии браузера
- •Обзор http
- •Глава 5. Интернет технологии нового поколения: блоги, rss и YouTube Что такое блог?
- •Сферы применения блогов
- •Community-блоги
- •Блог для бизнеса
- •Совместная работа
- •Использование в образовании
- •Типы блогов
- •Общие требования при выборе блог-системы
- •Бесплатные службы
- •Платные сервисы
- •Полезные ссылки для пользователей LiveJournal
- •Полезные ссылки
- •Блог на отдельном хостинге
- •Установка и использование Wordpress
- •Возможности
- •Ресурсы
- •Специальные блоги
- •Фотоблог
- •Перевод сокращения rss
- •Как работает rss?
- •Что можно делать с rss?
- •Rss в действии
- •Выбор агрегатора
- •Онлайн-агрегаторы для чтения лент-rss
- •Яндекс.Лента
- •Что выбрать?
- •Другие применения rss
- •Gmail через rss
- •Временный почтовый ящик на rss
- •Результаты поиска в rss
- •Чтение rss на мобильном телефоне
- •Рассылки через rss
- •Скринсейвер с rss
- •Прогноз погоды в rss
- •Ресурсы rss
- •Глава 6. Как скачивать с Youtube
- •Рекомендуемая литература
Правила фильтрации пакетов и списки асl
Брандмауэры выполняют фильтрацию пакетов путем проверки заголовков входящих пакетов на предмет их удовлетворения определенным критериям, установленным с помощью правил фильтрации пакетов. Фильтрации подвергаются пакеты, поступающие как изнутри, так и извне локальной сети, причем фильтр работает ассиметрично, различным образом обрабатывая входящие и исходящие пакеты. Таким образом, для фильтрации входящих и исходящих пакетов следует использовать различные правила фильтрации.
При поступлении пакета в брандмауэр, входящий в его состав маршрутизатор с фильтрацией пакетов извлекает из пакета заголовки и последовательно применяет правила фильтрации пакетов, причем в том порядке, в котором они сохранены в списке АСL брандмауэра. Применение правил выполняется с учетом следующих принципов:
Если при просмотре списка АСL будет найдено правило, разрешающее прохождение пакета, он немедленно направляется по назначению;
Если будет найдено правило, запрещающее прохождение пакета, он немедленно отбрасывается,
Если при просмотре АСL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, пакет автоматически отбрасывается.
Чтобы создать правило фильтрации пакетов, следует указать, во-первых, действие, выполняемое при совпадении критериев правила с параметрами пакета (например, «разрешить» или «блокировать»), во-вторых, протокол обработки пакета и, в-третьих, номер порта для приема пакета. Например, чтобы пропустить через брандмауэр пакет сообщения электронной почты, для почтового шлюза следует создать правило, разрешающее внешнее подсоединение к порту 25 по протоколу SMTP (Simple Mail Transfer Protocol – простой протокол электронной почты).
Самое главное, на что следует обратить внимание при создании правил фильтрации пакетов, - это порядок их записи в список АСL, от которого зависит функционирование брандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения или к отбрасыванию корректных пакетов и разрешению некорректных.
Допустим, требуется создать правило, разрешающее подсоединение к почтовому шлюзу хоста Mailer всех хостов глобальной сети, кроме хоста Spammer. Для этого создадим таблицу (см. таблицу 3.4), в которую записано соответствующее правило фильтрации.
Таблица 3.4. Добавление правила блокировки в список АСL
Правило |
Действие |
Источник |
Порт |
Назначение |
Порт |
Комментарий |
1.
|
Блокировать
|
Spammer
|
*
|
*
|
*
|
Блокирование соединений
|
В левом столбце «Действие» таблицы 3.4 указано действие, выполняемое при удовлетворении критериев правила, в данном случае – блокировка пакета. Далее в столбце «Источник» указан хост-источник пакета – Spammer, а в столбце «Порт» – номер порта хоста-источника пакета. Следом определяются параметры получателя пакета: столбец «Назначение» содержит имя целевого хоста пакета, а столбец «Порт» – номер порта целевого хоста. Наконец, столбец «Комментарий» содержит комментарии к создаваемому правилу. Звездочки (*) в ячейках отмечают, что допускается любое значение параметра; в данном случае они показывают, что блокируются все пакеты из хоста Spammer, исходящие с любого порта хоста Spammer и направленные в любой порт любого хоста.
Теперь введем правило, разрешающее подсоединение к почтовому шлюзу от всех остальных хостов сети (см. таблицу 3.5).
Теперь в столбце «Действие» правила 2 указывается действие «Разрешить», разрешающее всем пакетам со всех исходных хостов поступать на SMTP-порт 25 почтового шлюза хоста Mailer.
Таблица 3.5 Добавление правила, разрешающего подсоединения к почтовому шлюзу.
Правило |
Действие |
Источник |
Порт |
Назначение |
Порт |
Комментарий |
1.
|
Блокировать
|
Spammer
|
*
|
*
|
*
|
Блокирование соединений
|
2. |
Разрешить |
* |
* |
Mailer |
25 |
Разрешение соединений |
Порядок правил фильтрации пакетов очень важен – перестановка правил 1 и 2 в Таблице 3.5 позволит всем хостам сети (включая Spammer) соединяться с почтовым шлюзом – ведь не забывайте, к пакету немедленно применяются правила, разрешающие или блокирующие его прохождение через брандмауэр.
Сложность создания таких правил состоит в необходимости учета всех протоколов, служб и портов, используемых сетевыми хостами, без чего нельзя исключить риск атаки на эти хосты. Поэтому чаще всего правила фильтрации пакетов создаются постепенно, по мере эксплуатации системы и уточнения конфигурации брандмауэра.