Администрирование в информационных системах Управление различными компонентами информационных

Администрирование в информационных системах Управление различными компонентами информационных систем 1. Вычислительные сети. Распределенные информационные системы. Типы архитектур распределенных информационных систем. Вычислительные сети - частный случай распределенных систем Компьютерные сети относятся к распределенным (или децентрализованным) вычислительным системам. Поскольку основным признаком распределенной вычислительной системы является наличие нескольких центров обработки данных, то наряду с компьютерными сетями к распределенным системам относят также мультипроцессорные компьютеры и многомашинные вычислительные комплексы.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Мультипроцессорные компьютеры В мультипроцессорных компьютерах имеется несколько процессоров, каждый из которых может относительно независимо от остальных выполнять свою программу. В мультипроцессоре существует общая для всех процессоров операционная система, которая оперативно распределяет вычислительную нагрузку между процессорами. Взаимодействие между отдельными процессорами организуется наиболее простым способом - через общую оперативную память. Основное достоинство мультипроцессора - его высокая производительность, которая достигается за счет параллельной работы нескольких процессоров. Так как при наличии общей памяти взаимодействие процессоров происходит очень быстро, мультипроцессоры могут эффективно выполнять даже приложения с высокой степенью связи по данным.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Многомашинная система - это вычислительный комплекс, включающий в себя несколько компьютеров (каждый из которых работает под управлением собственной операционной системы), а также программные и аппаратные средства связи компьютеров, которые обеспечивают работу всех компьютеров комплекса как единого целого. Работа любой многомашинной системы определяется двумя главными компонентами: высокоскоростным механизмом связи процессоров и системным программным обеспечением, которое предоставляет пользователям и приложениям прозрачный доступ к ресурсам всех компьютеров, входящих в комплекс. В состав средств связи входят программные модули, которые занимаются распределением вычислительной нагрузки, синхронизацией вычислений и реконфигурацией системы.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Многомашинная система. Преимущества: - высокая отказоустойчивость комплекса в целом. Если происходит отказ одного из компьютеров комплекса, его задачи могут быть автоматически переназначены и выполнены на другом компьютере. Если в состав многомашинной системы входят несколько контроллеров внешних устройств, то в случае отказа одного из них, другие контроллеры автоматически подхватывают его работу; - высокая производительности за счет организации параллельных вычислений. По сравнению с мультипроцессорными системами возможности параллельной обработки в многомашинных системах ограничены: эффективность распараллеливания резко снижается, если параллельно выполняемые задачи тесно связаны между собой по данным. В отличие от мультипроцессоров, где используются сильные программные и аппаратные связи, в многомашинных системах аппаратные и программные связи между обрабатывающими устройствами являются более слабыми.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Вычислительные сети В вычислительных сетях программные и аппаратные связи являются еще более слабыми, а автономность обрабатывающих блоков проявляется в наибольшей степени - основными элементами сети являются стандартные компьютеры, не имеющие ни общих блоков памяти, ни общих периферийных устройств. Связь между компьютерами осуществляется с помощью специальных периферийных устройств - сетевых адаптеров, соединенных относительно протяженными каналами связи. Каждый компьютер работает под управлением собственной операционной системы, а какая-либо «общая» операционная система, распределяющая работу между компьютерами сети, отсутствует. Взаимодействие между компьютерами сети происходит за счет передачи сообщений через сетевые адаптеры и каналы связи. С помощью этих сообщений один компьютер обычно запрашивает доступ к локальным ресурсам другого компьютера. Разделение локальных ресурсов каждого компьютера между всеми пользователями сети - основная цель создания вычислительной сети.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Вычислительные сети. Распределенные программы Сетевые службы всегда представляют собой распределенные программы. Распределенная программа - это программа, которая состоит из нескольких взаимодействующих частей, причем каждая часть, как правило, выполняется на отдельном компьютере сети. Кроме системных распределенных программ в сети могут выполняться и распределенные пользовательские программы приложения. Распределенное приложение также состоит из нескольких частей, каждая и которых выполняет какую-то определенную законченную работу по решению прикладной задачи. Распределенные приложения часто называются сетевыми приложениями.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Вычислительные сети. Основные программные и аппаратные компоненты сети. Вычислительная сеть - это сложный комплекс взаимосвязанных и согласованно функционирующих программных и аппаратных компонентов. Изучение сети в целом предполагает знание принципов работы ее отдельных элементов: - компьютеров; - коммуникационного оборудования; - операционных систем; - сетевых приложений.

Администрирование в информационных системах Управление различными компонентами информационных систем Распределенные информационные системы. Вычислительные сети.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов TCP/IP. Использование протоколов TCP/IP для построения вычислительных сетей. Многоуровневый подход. Протокол. Интерфейс. Стек протоколов. Организация взаимодействия между элементами сети является сложной задачей, поэтому ее разбивают на несколько более простых задач. Средства сетевого взаимодействия, обычно представляются в виде иерархически организованного множества модулей. При этом модули нижнего уровня решают задачи, связанные с надежной передачей электрических сигналов между двумя соседними узлами. Модули более высокого уровня организуют транспортировку сообщений в пределах всей сети, пользуясь для этого средствами упомянутого нижележащего уровня. А на верхнем уровне работают модули, предоставляющие пользователям доступ к различным службам - файловой, печати и т. п.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов TCP/IP. Использование протоколов TCP/IP для построения вычислительных сетей. Модель взаимодействия двух узлов.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов TCP/IP. Использование протоколов TCP/IP для построения вычислительных сетей. Модель взаимодействия двух узлов. Процедура взаимодействия узлов может быть описана в виде набора правил взаимодействия каждой пары соответствующих уровней обеих участвующих сторон. Формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах, называются протоколом. Модули, реализующие протоколы соседних уровней и находящиеся в одном узле, также взаимодействуют друг с другом в соответствии с четко определенными правилами и с помощью стандартизованных форматов сообщений. Эти правила принято называть интерфейсом. Интерфейс определяет набор сервисов, предоставляемый данным уровнем соседнему уровню.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов TCP/IP. Использование протоколов TCP/IP для построения вычислительных сетей. Модель взаимодействия двух узлов. Протокол и интерфейс выражают одно и то же понятие, в сетях за ними закрепили разные области действия: протоколы определяют правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы - модулей соседних уровней в одном узле. Средства каждого уровня должны отрабатывать, во-первых, свой собственный протокол, а во-вторых, интерфейсы с соседними уровнями. Иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов в сети, называется стеком коммуникационных протоколов.

Администрирование в информационных системах Управление различными компонентами информационных систем Модель OSI. Международной организацией по стандартизации (ISO) был предложен стандарт, который покрывает все аспекты сетевой связи, — это модель взаимодействия открытых систем (OSI). Он был введен в конце 1970 -х. Открытая система — это стандартизированный набор протоколов и спецификаций, который гарантирует возможность взаимодействия оборудования различных производителей. Она реализуется набором модулей, каждый из которых решает простую задачу внутри элемента сети. Каждый из модулей связан с одним или несколькими другими модулями. Решение сложной задачи подразумевает определенный порядок следования решения простых задач, при котором образуется многоуровневая иерархическая структура. Это позволяет любым двум различным системам связываться независимо от их основной архитектуры.

Администрирование в информационных системах Управление различными компонентами информационных систем Модель OSI.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Стек протоколов сети Интернет был разработан до модели OSI. Поэтому уровни в стеке протоколов Интернета не соответствуют аналогичным уровням в модели OSI. Стек протоколов Интернета состоит из пяти уровней: физического, звена передачи данных, сети, транспортного и прикладного. Первые четыре уровня обеспечивают физические стандарты, сетевой интерфейс, межсетевое взаимодействие и транспортные функции, которые соответствуют первым четырем уровням модели OSI. Три самых верхних уровня в модели OSI представлены в стеке протоколов Интернета единственным уровнем, называемым прикладным уровнем

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета В сети на основе TCP/IP используются три различных уровня адресов: физический адрес (линия связи), интернет-адрес (IP) и адрес порта.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Каждый адрес принадлежит заданному уровню TCP/IP-архитектуры

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Физический адрес (Media Access Control — MAC-адрес) используется для установления соединения в локальной сети (подсети). Этот адрес совпадает с номером сетевого адаптера (сетевой карты) компьютера и жестко устанавливается заводом-изготовителем из пула (диапазона) отведенных ему адресов. Записывается в виде шестнадцатеричных чисел, разделенных двоеточием, например, 08: 00: 06: 3 F: D 4: E 1, где первые три значения определяют фирму-производителя (00: 10: 5 a: xx: xx – 3 Com, 00: 03: ba: xx: xx – Sun, 00: 01: e 3: xx: xx – Siemens), а последующие – порядковый номер узла.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Интернет-адрес Адреса Интернета необходимы для универсальных служб связи, которые не зависят от основных физических сетей. Физические адреса не адекватны в межсетевой среде, где различные сети могут иметь различные форматы адреса. Необходима универсальная система адресации, в которой каждый хост может быть идентифицирован уникально, независимо от основной физической сети. Для этой цели применяются IP-адреса. Интернет(IP)-адрес в настоящее время состоит из 32 бит. Он может уникально определить хост, подключенный к сети Интернет. Никакие два хоста на сети Интернет не могут иметь один и тот же самый IP-адрес.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Адрес порта Адрес IP и физический адрес необходимы для порции данных, перемещающихся от источника до хоста пункта назначения. Однако прибытие в хост пункта назначения — не конечная цель обмена сообщениями данных в Интернете. Система, которая передает только данные от одного компьютера до другого, не может считаться законченной. На целевом компьютере, может выполняться несколько процессов одновременно. Конечная цель сети Интернет — коммутация процесса, работающего с другим процессом. Например, компьютер A общается с компьютером C, используя TELNET. В то же самое время компьютер A общается с компьютером с использованием протокола передачи файлов FTP. Для этих процессов, возникающих одновременно, нам надо иметь метод, позволяющий маркировать различные процессы. В архитектуре TCP/IP метка, назначаемая процессу, названа адресом порта. Адрес порта в TCP/IP — 16 битов длиной.

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Версии TCP/IP стал официальным протоколом для Интернета в 1983 -м и развивался вместе с развитием Интернета. Исторически существовало шесть версий TCP/IP. Рассмотрим последние три версии. Версия 4 Большинство сетей в Интернете в настоящее время использует версию 4. Однако она имеет существенные недостатки. Главный из них — это проблема с адресом Интернета: только 32 бита длины в адресном пространстве, разделенном на различные классы. С быстрым ростом Интернета 32 бит уже не достаточно, чтобы оснастить проектируемое число пользователей. Также и разделение места в различных классах ограничивает в дальнейшем доступные адреса. Версия 5 была предложением, основанным на модели OSI. Она никогда так и не вышла из рамок предложения из-за обширного уровня изменений и проектируемых расходов. Версия 6

Администрирование в информационных системах Управление различными компонентами информационных систем Стек протоколов Интернета Версия 6 IPv 6, или IPng (IP next generation — следующее поколение IP), использует 16 -байтовые адреса (128 битов) взамен 4 -байтовых адресов (32 бита), применяемых в настоящее время в версии 4. IPv 6 может таким образом разместить большее число пользователей. Большое адресное пространство. IPv 6 -адрес имеет 128 бит длины. По сравнению с 32 -битовым адресом IPv 4 это громадное (296) увеличение адресного пространства. Лучший формат заголовка. IPv 6 использует новый формат заголовка, в котором опции отделены от основного заголовка и вставлены, когда это нужно, между основным заголовком и данными более высокого уровня. Это упрощает и ускоряет процесс маршрутизации, потому что большинство опций не нужны для обработки маршрутизатором. Возможности для расширения. IPv 6 разработан так, чтобы позволить расширить возможности протоколов, если потребуются новые технологии и применения.

Администрирование в информационных системах Управление различными компонентами информационных систем Межсетевое взаимодействие. В OSI функции сетевого уровня входит решение следующих задач: - передача пакетов между конечными узлами в составных сетях; - выбор маршрута передачи пакетов, наилучшего по некоторому критерию; - согласование разных протоколов канального уровня, использующихся в отдельных подсетях одной составной сети. Протоколы сетевого уровня реализуются в виде программных модулей и выполняются на конечных узлах-компьютерах, называемых хостами, и на промежуточных узлах – маршрутизаторах (шлюзах). Функции маршрутизаторов могут выполнять как специализированные устройства, так и универсальные компьютеры с соответствующим программным обеспечением.

Администрирование в информационных системах Управление различными компонентами информационных систем Создание структурированной сети, интегрирующей различные базовые технологии, может осуществляться средствами канального уровня: для этого могут быть использованы некоторые типы мостов и коммутаторов. Мост или коммутатор разделяет сеть на сегменты, локализуя трафик внутри сегмента. Таким образом сеть распадается на отдельные подсети, из которых могут быть построены составные сети достаточно крупных размеров. Ограничения мостов и коммутаторов: - в топологии получившейся сети должны отсутствовать петли. Действительно, мост/коммутатор может решать задачу доставки пакета адресату только тогда, когда между отправителем и получателем существует единственный путь. - логические сегменты сети, расположенные между мостами или коммутаторами, слабо изолированы друг от друга, (не защищены от широковещательных штормов).

Администрирование в информационных системах Управление различными компонентами информационных систем Ограничения мостов и коммутаторов: - в сетях, построенных на основе мостов и коммутаторов, достаточно сложно решается задача управления трафиком на основе значения данных, содержащихся в пакете. - реализация транспортной подсистемы только средствами физического и канального уровней, приводит к недостаточно гибкой, одноуровневой системе адресации: в качестве адреса назначения используется МАС - адрес, жестко связанный с сетевым адаптером. - возможностью трансляции протоколов канального уровня обладают далеко не все типы мостов и коммутаторов, к тому же эти возможности ограничены. В частности, в объединяемых сетях должны совпадать максимально допустимые размеры полей данных в кадрах, так как мостами и коммутаторами не поддерживается функция фрагментации кадров.

Администрирование в информационных системах Управление различными компонентами информационных систем Основная цель введения сетевого уровня состоит в следующем. Сеть в общем случае рассматривается как совокупность нескольких сетей и называется составной сетью или интерсетью (internetwork или internet). Сети, входящие в составную сеть, называются подсетями (subnet), составляющими сетями или просто сетями

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Главной задачей сетевого уровня является маршрутизация - передача пакетов между двумя конечными узлами в составной сети.

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Примеры маршрутов в Internet. Трассировка маршрута к www. mail. ru [194. 67. 57. 20] с максимальным числом прыжков 30: 1 <1 мс 192. 168. 0. 1 2 2 ms 192. 168. 100. 254 3 3 ms 2 ms 172. 16. 15. 1 4 51 ms 3 ms 2 ms 172. 16. 255. 1 5 3 ms 2 ms 3 ms 172. 16. 0. 33 6 120 ms 25 ms 54 ms C 7206. MAI. RU [217. 9. 84. 129] 7 4 ms 3 ms tv 11 -1 -gw. msk. runnet. ru [194. 190. 255. 97] 8 53 ms 61 ms 10 ms 212. 119. 193. 49 9 4 ms 3 ms 5 ms cat 01. Moscow. gldn. net [194. 186. 157. 134] 10 4 ms 3 ms mailru-KK 12 -1 -gw. Moscow. gldn. net [195. 239. 8. 10] 11 4 ms mail. ru [194. 67. 57. 20] Трассировка завершена.

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Примеры маршрутов в Internet. Трассировка маршрута к ns. corbina. net [195. 14. 50. 1] с максимальным числом прыжков 30: 1 <1 мс 192. 168. 0. 1 2 2 ms 192. 168. 100. 254 3 3 ms 2 ms 3 ms 172. 16. 15. 1 4 2 ms 4 ms 172. 16. 255. 1 5 2 ms 172. 16. 0. 33 6 3 ms 2 ms C 7206. MAI. RU [217. 9. 84. 129] 7 12 ms 3 ms ae 0 -218. RT. V 10. MSK. RU. retn. net [87. 245. 253. 65] 8 21 ms 23 ms ae 0 -3. RT. TNR. HKI. FI. retn. net [87. 245. 233. 153] 9 45 ms 38 ms 39 ms ko-crs-teng 0 -5 -0 -5. msk. corbina. net [195. 14. 54. 211] 10 38 ms 39 ms hq-bb-teng 4 -5. msk. corbina. net [195. 14. 54. 187] 11 39 ms 38 ms 39 ms hq-rs 1 -vlan 69. msk. corbina. net [85. 21. 226. 107] 12 38 ms ns. corbina. net [195. 14. 50. 1] Трассировка завершена.

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Задачу выбора маршрута из нескольких возможных решают маршрутизаторы, а также конечные узлы. Маршрут выбирается на основании имеющейся у этих устройств информации о текущей конфигурации сети, а также на основании указанного критерия выбора маршрута. Обычно в качестве критерия выступает задержка прохождения маршрута отдельным пакетом или средняя пропускная способность маршрута для последовательности пакетов. Часто также используется весьма простой критерий, учитывающий только количество пройденных в маршруте промежуточных маршрутизаторов (хопов).

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Таблица маршруизации.

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Таблица маршруизации. ====================================== Список интерфейсов 0 x 1. . . . MS TCP Loopback interface 0 x 10005. . . 00 1 d 92 1 a 25 ef. . . Bluetooth Device (Personal Area Network) 0 x 30002. . . 00 15 af 86 83 10. . . Atheros AR 5007 EG Wireless Network Adapter - ¦шэшяюЁЄ яырэшЁютшър яръхЄют =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0. 0 192. 168. 0. 188 25 127. 0. 0. 0 255. 0. 0. 0 127. 0. 0. 1 1 192. 168. 0. 0 255. 0 192. 168. 0. 188 255. 255 127. 0. 0. 1 25 192. 168. 0. 255 192. 168. 0. 188 25 224. 0. 0. 0 240. 0 192. 168. 0. 188 25 255 192. 168. 0. 188 10005 1 255 192. 168. 0. 188 1 Основной шлюз: 192. 168. 0. 1 ====================================== Постоянные маршруты: Отсутствует

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы маршрутизации. Управление маршрутизацией в Windows. Команда Route.

Администрирование в информационных системах Управление различными компонентами информационных систем Классификация firewall. Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки. Межсетевые экраны обладают большим набором настроек, чем маршрутизаторы. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации.

Администрирование в информационных системах Управление различными компонентами информационных систем Классификация firewall. Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика определенного вида, межсетевой экран отклоняет или аннулирует пакеты.

Администрирование в информационных системах Управление различными компонентами информационных систем Межсетевые экраны прикладного уровня

Администрирование в информационных системах Управление различными компонентами информационных систем Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Самый основной, базовый, первоначально разработанный тип firewall’а называется пакетным фильтром. Пакетные фильтры в основном являются частью устройств роутинга, которые могут управлять доступом на уровне системных адресов и коммуникационных сессий. Функциональность управления доступом обеспечивается с помощью множества директив, называемых ruleset или rules (правила). Вначале пакетные фильтры функционировали на уровне 3 (Network) модели OSI. Данная функциональность разработана для обеспечения управления сетевым доступом, основываясь на нескольких блоках информации, содержащихся в сетевом пакете. В настоящее время все пакетные фильтры также анализируют и уровень 4 (Transport).

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры анализируют следующую информацию, содержащуюся в заголовках пакетов 3 -го и 4 -го уровней: Адрес источника пакета, например, адрес уровня 3 системы или устройства, откуда получен исходный сетевой пакет (IP-адрес, такой как 192. 168. 1. 1), Адрес назначения пакета, например, адрес уровня 3 пакета, который он пытается достигнуть (например, 192. 168. 1. 2), Тип коммуникационной сессии, т. е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Дополнительно могут анализироваться некоторые характеристики коммуникационных сессий уровня 4, такие как порты источника и назначения сессий (например, ТСР: 80 для порта назначения, обычно принадлежащий web-серверу, ТСР: 1320 для порта источника, принадлежащий персональному компьютеру, который осуществляет доступ к серверу). Иногда информация, относящаяся к интерфейсу роутера, на который пришел пакет, и информация о том, какому интерфейсу роутера она предназначена; это используется для роутеров с тремя и более сетевыми интерфейсами. Иногда информация, характеризующая направление, в котором пакет пересекает интерфейс, т. е. входящий или исходящий пакет для данного интерфейса. Иногда можно также указать свойства, относящиеся к созданию логов(журналов) для данного пакета.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры: - пограничные роутеры; - ОС; - персональные firewall’ы. Пограничные роутеры Основным преимуществом пакетных фильтров является их скорость. Пакетные фильтры обычно проверяют данные до уровня 3 модели OSI, они могут функционировать очень быстро. Поэтому пакетные фильтры, встроенные в пограничные роутеры, идеальны для размещения на границе с сетью с меньшей степенью доверия. Пакетные фильтры, встроенные в пограничные роутеры, могут блокировать основные атаки, фильтруя нежелательные протоколы, выполняя простейший контроль доступа на уровне сессий и затем передавая трафик другим firewall’ам для проверки более высоких уровней стека OSI.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Использование пограничного роутера с возможностями пакетного фильтра Промежуточная сеть между пограничным роутером и внутреннем firewall’ом называется DMZсетью.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Преимущества пакетных фильтров: Основным преимуществом пакетных фильтров является их скорость. Пакетный фильтр прозрачен для клиентов и серверов, так как не разрывает ТСР-соединение. Недостатки пакетных фильтров: Так как пакетные фильтры не анализируют данные более высоких уровней, они не могут предотвратить атаки, которые используют уязвимости или функции, специфичные для приложения. Например, пакетный фильтр не может блокировать конкретные команды приложения; если пакетный фильтр разрешает данный трафик для приложения, то все функции, доступные данному приложению, будут разрешены. Так как firewall’у доступна ограниченная информация, возможности логов(журналов) в пакетных фильтрах ограничены. Логи пакетного фильтра обычно содержат ту же информацию, которая использовалась принятии решения о возможности доступа (адрес источника, адрес назначения, тип трафика и т. п. ).

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Недостатки пакетных фильтров: Большинство пакетных фильтров не поддерживают возможность аутентификации пользователя. Данная возможность обеспечивается firewall’ами, анализирующими более высокие уровни. Они обычно уязвимы для атак, которые используют такие проблемы ТСР/IP, как подделка (spoofing) сетевого адреса. Многие пакетные фильтры не могут определить, что в сетевом пакете изменена адресная информация уровня 3 OSI. Spoofing-атаки обычно выполняются для обхода управления доступа, осуществляемого firewall’ом. При принятии решений о предоставлении доступа используется небольшое количество информации. Пакетные фильтры трудно конфигурировать. Можно случайно переконфигурировать пакетный фильтр для разрешения типов трафика, источников и назначений, которые должны быть запрещены на основе политики безопасности организации. Следовательно, пакетные фильтры больше всего подходят для высокоскоростных окружений, когда создание логов и аутентификация пользователя для сетевых ресурсов не столь важна.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Пример набора правил пакетного фильтра Предположим, что в организации существует следующая топология:

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Пример набора правил пакетного фильтра

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Обычно firewall принимает пакет, просматривает его адреса и порты источника и назначения и определяет используемый прикладной протокол. Далее firewall начинает просматривать правила сверху вниз. Если найдено правило, которое соответствует анализируемой в пакете информации, то выполняется указанное в правиле действие: Accept (в некоторых пакетных фильтрах может быть Allow или Pass): firewall пропускает пакет через firewall, при этом может происходить создание лога, либо не происходить. Deny: firewall отбрасывает пакет без его передачи. После того как пакет отброшен, исходной системе возвращается сообщение об ошибке ("host unreachable"). Событие "Deny" может как создавать, так и не создавать запись лога, в зависимости от конфигурации набора правил f irewall’а.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Если найдено правило, которое соответствует анализируемой в пакете информации, то выполняется указанное в правиле действие: Discard (в некоторых пакетных фильтрах может быть Unreach, Block или Reject): firewall не только отбрасывает пакет, но и не возвращает сообщение об ошибке исходной системе. Данное действие используется для реализации методологии "черной дыры", когда firewall не обнаруживает свое присутствие для внешней стороны. Как и для других действий, "Discard" может создавать и не создавать записи в логах.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Анализируя правила можно сказать, что политика информационной безопасности для сети следующая: - Любой тип доступа изнутри наружу разрешен. - Никакой доступ снаружи внутрь не разрешен, за исключением SMTP и НТТР. - SMTP- и НТТР-серверы расположены позади firewall’а. - На сам firewall не разрешен доступ. Если последнее правило будет случайно пропущено, весь трафик извне будет разрешен. Когда набор правил более длинный и более детальный, могут быть сделаны ошибки, которые приведут к нарушениям безопасности. Набор правил должен быть очень тщательно проверен перед его применением и регулярно проверяться не только для гарантии того, что допустимы корректные протоколы, но и также для минимизации логических ошибок при добавлении новых правил.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Stateful Inspection firewall’ы являются пакетными фильтрами, которые анализируют содержимое 4 -го уровня (Transport) модели OSI. Stateful inspection разрабатывались исходя из необходимости рассматривать основные особенности протоколов TCP/IP. Когда ТСР создает сессию с удаленной системой, также открывается порт на исходной системе для получения сетевого трафика от системы назначения. В соответствии со спецификацией ТСР, данный порт источника клиента будет некоторым числом, большим, чем 1023 и меньшим, чем 16384. Порт назначения на удаленном хосте, как правило, имеет фиксированный номер. Для SMTP это будет 25. Пакетные фильтры должны разрешать входящий сетевой трафик для всех таких портов "с большими номерами" для транспорта, ориентированного на соединение, так как это будут возвращаемые пакеты от системы назначения. Открытие портов создает риск несанкционированного проникновения в локальную сеть.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Stateful Inspection firewall’ы В приведенном примере первая строчка набора правил пакетного фильтра разрешает любое входящее соединение, если порт назначения больше 1023. Stateful inspection firewall’ы решают эту проблему созданием таблицы для исходящих ТСР-соединений, соответствующих каждой сессии. Эта "таблица состояний" затем используется для проверки допустимости любого входящего трафика. Решение stateful inspection является более безопасным, потому что отслеживать используемые порты каждого клиента лучше, чем открывать для внешнего доступа все порты "с большими номерами".

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Stateful Inspection firewall’ы Таблица состояний соединений stateful inspection firewall’а Адрес источника Порт источника Адрес назначения Порт назначения Состояние соединения 192. 168. 1. 100 1030 210. 9. 88. 29 80 Establish 192. 168. 1. 102 1031 216. 32. 42. 123 80 Establish 192. 168. 1. 101 1033 173. 66. 32. 122 25 Establish 192. 168. 1. 106 1035 177. 66. 32. 122 79 Establish 223. 43. 21. 231 1990 192. 168. 1. 6 80 Establish 219. 22. 123. 32 2112 192. 168. 1. 6 80 Establish 210. 99. 212. 18 3321 192. 168. 1. 6 80 Establish 24. 102. 32. 23 1025 192. 168. 1. 6 80 Establish 223. 212 1046 192. 168. 1. 6 80 Establish

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Stateful Inspection firewall’ы Преимущества stateful inspection firewall’а: Разрешает прохождение пакетов только для установленных соединений; Прозрачен для клиентов и серверов, так как не разрывает ТСРсоединение. Недостатки stateful inspection firewall’а: Реально используется только в сетевой инфраструктуре TCP/IP. Но stateful inspection firewall можно реализовать в других сетевых протоколах тем же способом, что и пакетные фильтры.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Host-based firewall’ы Пакетные фильтры реализованы в некоторых ОС, таких как Unix/Linux; в частности, они могут использоваться только для обеспечения безопасности хоста, на котором они функционируют. Это может быть полезно при совместном функционировании с различными серверами; например, внутренний web-сервер может выполняться на системе, на которой функционирует host-based firewall.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Преимущества host-based firewall’а: Приложение сервера защищено лучше, чем если бы оно выполнялось на ОС, не имеющей host-based firewall’а: внутренние серверы должны быть сами по себе защищены, и не следует предполагать, что они не могут быть атакованы только потому, что они расположены позади основного firewall’а. Выполнение firewall’а на отдельном хосте не является необходимым условием для обеспечения безопасности сервера: hostbased firewall достаточно хорошо выполняет функции обеспечения безопасности. ПО, реализующее host-based firewall, обычно предоставляет возможность управления доступом для ограничения трафика к серверам и от серверов, выполняющихся на том же хосте, и обычно существуют определенные возможности создания логов. Хотя host-based firewall’ы менее предпочтительны в случае большого трафика и в окружениях с высокими требованиями к безопасности, для внутренних сетей небольших офисов они обеспечивают адекватную безопасность при меньшей цене.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Недостаток host-based firewall’а: Каждый такой firewall должен администрироваться самостоятельно, и после определенного количества серверов с host-based firewall’ами легче и дешевле просто разместить все серверы позади выделенного firewall’а.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Персональные firewall’ы и персональные устройства firewall’а Обеспечение безопасности персональных компьютеров дома или в мобильном варианте может быть реализовано с помощью небольшого firewall’а. Это необходимо, потому что провайдер может иметь много различных политик безопасности, не всегда соответствующих нуждам конкретного пользователя. Персональные firewall’ы разрабатываются для обеспечения защиты удаленных систем и выполняют во многом те же самые функции, что и большие firewall’ы. Эти программные продукты обычно реализованы в одном из двух вариантов. Первый вариант представляет собой Personal Firewall, который инсталлируется на защищаемую систему; персональные firewall’ы обычно не предполагают защиту каких-либо других систем или ресурсов. Персональные firewall’ы обычно не обеспечивают управление сетевым трафиком, который проходит через компьютер – они только защищают систему, на которой они инсталлированы.

Администрирование в информационных системах Управление различными компонентами информационных систем Пакетные фильтры Второй вариант называется устройством персонального firewall’а, чей подход более похож на традиционный firewall. В большинстве случаев устройства персонального firewall’а разрабатываются для защиты небольших сетей, таких как домашние сети. Эти устройства обычно изготавливаются на специализированной аппаратуре и имеют некоторые другие компоненты сетевой архитектуры в дополнение к самому firewall’у, включая следующие: WAN-роутер кабельного модема; LAN-роутер (поддержка динамического роутинга); сетевой концентратор (hub); сетевой коммутатор (switch); DHCP; агент SNMP; агенты прикладного прокси. Размещение этих инфраструктурных компонент в устройстве firewall’а позволяет использовать единственное аппаратное устройство для эффективного решения нескольких задач.

Администрирование в информационных системах Управление различными компонентами информационных систем Прокси-сервер прикладного уровня Прокси прикладного уровня являются более мощными firewall’ами, которые комбинируют управление доступом на низком уровне с функциональностью более высокого уровня (уровень 7 – Application). Типичные прокси-агенты

Администрирование в информационных системах Управление различными компонентами информационных систем Прокси-сервер прикладного уровня При использовании firewall’а прикладного уровня обычно, как и в случае пакетного фильтра не требуется дополнительное устройство для выполнения маршруизации: firewall выполняет его сам. Все сетевые пакеты, которые поступают на любой из интерфейсов firewall’а, находятся под управлением этого прикладного прокси. Прокси-сервер имеет набор правил управления доступом для определения того, какому трафику может быть разрешено проходить через firewall. Прокси-сервер, который анализирует конкретный протокол прикладного уровня, называется агентом прокси.

Администрирование в информационных системах Управление различными компонентами информационных систем Преимущества прокси-сервера прикладного уровня: Прокси имеет возможность запросить аутентификацию пользователя. Часто существует возможность указывать тип аутентификации, который считается необходимым для данной инфраструктуры. Прикладные прокси имеют возможность аутентифицировать самих пользователей, в противоположность пакетным фильтрам и stateful inspection пакетным фильтрам, обычно проверяющим только адрес сетевого уровня, с которого пришел пользователь. Эти адреса сетевого уровня могут быть легко подменены без обнаружения подмены пакетным фильтром. Возможности аутентификации, свойственные архитектуре прикладного уровня, лучше по сравнению с теми, которые существуют в пакетных фильтрах и stateful inspection пакетных фильтрах. Благодаря этому прикладные прокси могут быть сделаны менее уязвимыми для атак подделки адреса. Firewall’ы прикладного уровня обычно имеют больше возможностей анализировать весь сетевой пакет, а не только сетевые адреса и порты. Например, они могут определять команды и данные, специфичные для каждого приложения. Как правило, прокси прикладного уровня создают более подробные журналы событий.

Администрирование в информационных системах Управление различными компонентами информационных систем Недостатки прокси-сервера прикладного уровня: Так как прикладные прокси "знают о пакете все", firewall вынужден тратить много времени для чтения и интерпретации каждого пакета. По этой причине прикладные прокси обычно не подходят для приложений, которым необходима высокая пропускная способность, или приложений реального времени. Чтобы уменьшить загрузку firewall’а, может использоваться выделенный прокси-сервер для обеспечения безопасности менее чувствительных ко времени сервисов, таких как email и большинство web-трафика. Прикладные прокси обрабатывают ограниченное количество сетевых приложений и протоколов и не могут автоматически поддерживать новые сетевые приложения и протоколы. Для каждого прикладного протокола, который должен проходить через firewall, необходим свой агент прокси. Большинство производителей прикладных прокси предоставляют общих агентов прокси для поддержки неизвестных сетевых приложений или протоколов. Однако эти общие агенты не имеют большинства преимуществ прикладных прокси: как правило, они просто туннелируют трафик через firewall.

Администрирование в информационных системах Управление различными компонентами информационных систем Выделенные прокси-серверы отличаются от прикладных прокси в том, что они анализируют трафик только конкретного прикладного протокола и не обладают возможностями анализа всего трафика. По этой причине они обычно развертываются позади firewall’ов прикладного уровня. Типичное использование таково: основной firewall получает входящий трафик, определяет, какому приложению он предназначен, и затем передает обработку конкретного типа трафика соответствующему выделенному прокси-серверу, например, e-mail прокси серверу. Выделенный прокси-сервер при этом выполняет операции фильтрации и журналирования трафика и затем перенаправляет его во внутренние системы. Этот сервер может также принимать исходящий трафик непосредственно от внутренних систем, фильтровать трафик, а затем передавать его firewall’у для последующей доставки. Обычно выделенные прокси-серверы используются для уменьшения нагрузки на firewall и выполнения более специализированной фильтрации.

Администрирование в информационных системах Управление различными компонентами информационных систем Выделенные прокси-серверы В случае использования выделенного прокси легче более точно ограничить исходящий трафик или проверять весь исходящий и входящий трафик, например, на наличие вирусов. Выделенные проксисерверы могут также помочь в отслеживании внутренних атак или враждебного поведения внутренних пользователей. Фильтрация всего исходящего трафика сильно загружает общий firewall прикладного уровня и увеличивает трудоемкость администрирования. В дополнение к функциям аутентификации и создания журналов, выделенные прокси-серверы используются для сканирования web и email содержимого, включая следующие функции: фильтрование Java-апплетов или приложений; фильтрование управлений Active. X; фильтрование Java. Script; блокирование конкретных MIME-типов – например, "application/msword"; сканирование и удаление вирусов; блокирование команд, специфичных для приложения, например, блокирование НТТР-команды PUT; блокирование команд, специфичных для пользователя, включая блокирование некоторых типов содержимого для конкретных пользователей.

Администрирование в информационных системах Управление различными компонентами информационных систем Трансляция сетевых адресов (NAT) Статическая трансляция сетевых адресов Динамическая(скрытая) трансляция сетевых адресов Трансляция портов

Администрирование в информационных системах Управление различными компонентами информационных систем Принципы построения окружения firewall’а Существует четыре принципа, которым необходимо следовать: Простота (Keep It Simple) Данный принцип говорит о первом и основном, о чем надо помнить при разработке топологии сети, в которой функционирует firewall. Важно принимать наиболее простые решения — более безопасным является то, чем легче управлять. Трудно понимаемые функциональности часто приводят к ошибкам в конфигурации. Использование устройств по назначению Использование сетевых устройств для того, для чего они первоначально предназначались, в данном контексте означает, что не следует делать firewall’ы из оборудования, которое не предназначено для использования в качестве firewall’а. Создание обороны вглубь Оборона вглубь означает создание нескольких уровней защиты в противоположность наличию единственного уровня. Не следует всю защиту обеспечивать исключительно firewall’ом. Внимание к внутренним угрозам Важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних firewall’ов или DMZ-зон.

Администрирование в информационных системах Управление различными компонентами информационных систем DMZ-сети Конфигурация с одной DMZ-сетью В большинстве случаев окружение firewall’а образует так называемую DMZ-сеть или сеть демилитаризованной зоны. DMZ-сеть является сетью, расположенной между двумя firewall’ами. DMZ-сети предназначены для расположения систем и ресурсов, которым необходим доступ либо только извне, либо только изнутри, либо и извне, и изнутри, но которые не должны быть размещены во внутренних защищенных сетях. Причина в том, что никогда нельзя гарантировать, что эти системы и ресурсы не могут быть взломаны. Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам.

Администрирование в информационных системах Управление различными компонентами информационных систем DMZ-сети Пример окружения firewall’а с одной DMZ

Администрирование в информационных системах Управление различными компонентами информационных систем DMZ-сети Service Leg конфигурация Одной из конфигураций DMZ-сети является так называемая "Service Leg" конфигурация firewall’а. В этой конфигурации firewall создается с тремя сетевыми интерфейсами. Один сетевой интерфейс соединяется с Интернетом, другой сетевой интерфейс соединяется с внутренней сетью, и третий сетевой интерфейс формирует DMZ-сеть.

Администрирование в информационных системах Управление различными компонентами информационных систем DMZ-сети Пример окружения firewall’а с двумя DMZ-сетями.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Для идентификации объекта протоколы используют IP-адреса, которые используются для взаимодействия компьютера пользователя с Интернетом. Однако люди предпочитают вместо адресов использовать символические имена. Поэтому нам необходима система, которая сопоставляет имя с адресом или адрес с именем. Когда Интернет имел небольшой объем, сопоставление выполнялось хост-файлом. Хост-файл имел только две колонки, включающие в себя имя и адрес. Когда программа или пользователь хотели сопоставить имя и адрес, хост обращался к хост-файлу и находил отображение.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Пример host - файла C: WINDOWSsystem 32driversetchosts # (C) Корпорация Майкрософт (Microsoft Corp. ), 1993 -1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102. 54. 97 rhino. acme. com # исходный сервер # 38. 25. 63. 10 x. acme. com # узел клиента x 127. 0. 0. 1 localhost

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Пространство имен Имя, назначаемое машине, должно быть отлично от других имен. При этом должен быть обеспечен контроль возможного совпадения имен и связь между именем и адресом IP. Пространство имен, которое сопоставляет каждый адрес и уникальное имя, может быть организовано двумя путями: плоско и иерархически. Плоское пространство имен В пространстве плоских имен имя назначается каждому адресу. Имя в этом пространстве есть последовательность символов без структуры, закрепленной какими-либо правилами. Главный недостаток плоского пространства имен – это то, что оно не может быть использовано в больших системах, таких как Интернет, потому что оно хаотично и не может управляться дистанционно, а это затрудняет проверку неоднозначности и дублирования.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Иерархическое пространство имен В иерархическом пространстве имен каждое имя составлено из нескольких частей. Первая часть может определять природу организации, вторая часть — имя организации, третья часть — департаменты в организации, и так далее. В этом случае полномочия и управление пространством имен может быть децентрализовано. Пример: Каждая организация может использовать любые имена в своем домене (даже совпадающие с другими): kafedra. mai. ru, kafedra. msu. ru и kafedra. laniis. ru.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Пространство доменных имен В службе DNS используется иерархическое пространство доменных имен. При этом назначении имя определяется структурой инвертированного дерева с корнем в вершине. Дерево может иметь 128 уровней: от уровня 0 (корень) до уровня 127. Метка Каждый узел дерева имеет метку. Она отображается строчкой из символов с максимальным числом 63. Метка корня – нулевая строчка (пустая строчка). DNS требует, чтобы "дети" узла (узлы, которые являются ветками от того же узла) имели различные метки, которые гарантируют уникальность доменного имени. Доменное имя Каждый узел дерева имеет доменное имя. Полное доменное имя — последовательность меток, отделенных точками (. ). Доменные имена всегда читают от узла к корню. Последняя метка — это метка-корень (нуль). Это означает, что полное доменное имя всегда оканчивается нулевой отметкой(или точкой).

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Полностью определенное доменное имя Если метка завершается нулевой строкой, это называется "полностью определенное доменное имя" (FQDN — Fully Qualified Domain Name). FQDN – содержит полное имя хоста. Оно включает в себя все метки, от наиболее специфичной до наиболее общей, которые уникально определяют имя хоста. Например, доменное имя kafedra. mai. ru. Это FQDN компьютера, названного kafedra и установленного в МАИ. Заметим, что имя должно заканчиваться нулевым символом, но поскольку он ничего не обозначает, метка заканчивается точкой (. ). Частично определенное имя домена Если метка не заканчивается нулевой строкой, это называется "частично определенным доменными именем" (PQDN — Partially Qualified Domain Name). PQDN начинается от узла, но не достигает корня. Оно используется, если в компьютере будет отмечено, что имя принадлежит тому же самому сайту, что и клиент. Здесь компьютер может заменить отсутствующую часть так называемым суффиксом, который создает FQDN.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Домен — это фрагмент дерева в пространстве доменных имен. Имя домена – это доменное имя узла на вершине поддерева. Распределение имен Информация, содержащаяся в пространстве доменных имен, может накаливаться динамически. Недостатки Если использовать централизованную базу о пространстве имен могут пострадать эффективность и надежность. Эффективность – службе придется реагировать на запросы со всего мира. Надежность - любая ошибка или отказ компьютера делает данные недоступными. Устранение недостатков – создание распределенной системы с узлами называемыми DNS-серверы.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Сервер имен — это программа управления распределенной базой данных, в которой хранятся символьные имена сетей, различных сетевых объектов и ЭВМ вместе с их IP-адресами. Иерархия серверов имен Один из методов – разделить полное пространство на много доменов, базирующихся на первом уровне. Поскольку домены, создаваемый таким способом, очень большие, DNS позволяет разделить домен на более мелкие домены (поддомены). Каждый сервер может обслуживать (уполномочен) любой большой или маленький домен. Т. е. иерархия серверов стоится в соответствии с иерархией имен. Зона То, за что сервер несет ответственность или где он имеет полномочия, называется зона. Если сервер назначен отвечать за домен и домен не разделен на поддомены, "домен" и "зона" являются одним и тем же понятием. Сервер создает базу данных, называемую файлом зоны, и сохраняет всю информацию для всех узлов под этим доменом. Однако если сервер разделяет свои домены на поддомены и делегирует часть своих полномочий другому серверу, "домен" и "зона" относятся к различным понятиям.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Информация об узлах в поддоменах накапливается в серверах нижнего уровня, первоначальный сервер проводит некоторую сортировку ссылок на эти серверы низкого уровня. Первоначальный сервер имеет зону, но детальная информация хранится и обрабатывается серверами нижнего уровня. Сервер нижнего уровня может разделить домен на части и делегирует ответственность, а часть адресов может сохранить за собой. В этом случае своя зона образуется из детальной информации о части домена (группа адресов домена), которая имеется у сервера , и ссылок на адреса, которые делегированы следующему уровню.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Корневой сервер – это сервер, зона которого состоит из полного дерева. Корневой сервер обычно не накапливает информацию о домене, но делегирует свои полномочия другому серверу, сохраняя ссылки на полное пространство имен. Серверы распределены по всему миру. Первичные и вторичные серверы DNS определяет два типа серверов: первичные и вторичные. Первичный сервер — это сервер, накапливающий файл о зоне, на которую он имеет полномочия. Он несет ответственность за создание, эксплуатацию и изменения зонового файла. Зоновый файл накапливается на локальном диске. Вторичный сервер – это сервер, который передает полную информацию о зоне для других серверов (первичных или вторичных) и накапливает файл на своем локальном диске. Вторичный сервер не создает и не изменяет зоновый файл. Если изменение требуется, он должен сделать это с помощью первичного сервера, который посылает измененную версию на вторичный.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS в Интернете DNS – это протокол, использующийся на различных платформах. В Интернете пространство доменных имен (дерево) разделяется на три различных секции: родовой домен, домен страны и инверсный домен. Родовой домен определяет регистрацию хоста (generic domain) в соответствии с его направлением деятельности. Исторически для организаций различных типов в США используются следующие родовые домены:

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS в Интернете. aero Фирма или организация, относящаяся к сфере авиации. arpa Специальный домен, используемый для преобразования IPадреса в имя. arts Культура и досуг. biz Организация, относящаяся к сфере бизнеса. com Коммерческая организация. coop Кооперативная организация. edu Учебное заведение. firm Коммерческое предприятие. gov Государственное учреждение (США). info Открытая TLD-структура (регистрация имен доменов). int Международная организация. org Бесприбыльная организация. mil Военное предприятие или организация (США). museum Имя домена музея. name Имя домена частного лица. net Большая сеть. rec Развлечения. shop Торговля. tv Телевидение

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS в Интернете Секция домены страны придерживается того же формата, что и родовые домены, но использует двухсимвольные сокращения страны (например, ru для России) вместо трехсимвольной организационной структуры первого уровня. Аббревиатуры второго уровня могут быть организационными или могут более детально определять национальную принадлежность. Россия (ru), например, использует аббревиатуры отдельных городов (например, spb. ru). Инверсный домен использует отражение адреса в имя. Это может понадобиться, например, когда сервер получил запрос от клиента на выполнение определенной задачи. Поскольку сервер имеет файл, который содержит список полномочных клиентов, сервер перечисляет только IP-адреса клиентов (извлекая их из полученного пакета). Чтобы определить, есть ли клиент в разрешенном списке, сервер может запросить DNS-сервер об отображении адреса в имя.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Распознавание имен Отображение имени в адрес или адреса в имя называется "распознавание имя-адрес". Распознаватель (resolver) Протоколы DNS разработаны как приложение сервер-клиент. Хост, который нуждается в отображении адреса в имя или имени в адрес, вызывает DNS клиента, который называется распознавателем. Распознаватель получает доступ к ближайшему серверу DNS с запросом на отображение. Если сервер имеет информацию, он выполняет запрос распознавателя; в противном случае он либо отсылает распознаватель к другим серверам, либо сам запрашивает другие сервера для того, чтобы обеспечить эту информацию. После того как распознаватель получит это отображение, он анализирует отклик для того, чтобы посмотреть, является ли результат корректным или присутствуют ошибки. В конечном итоге результат доставляется процессу, который запросил его.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Отображение имен в адреса Наиболее часто распознаватель выдает имена серверу и запрашивает соответствующие адреса. Запрос посылается распознавателем к местному DNS-серверу для распознавания. Если местный сервер не распознает запроса, он либо отсылает распознаватель к другому серверу, либо запрашивает другой сервер напрямую. Отображение адресов в имена Клиент может послать IP-адрес на сервер для того, чтобы отобразить доменное имя. Как уже было упомянуто прежде, это называется PTRзапрос. Для подобного запроса DNS использует инверсный домен. Существуют два метода распознавания - Рекурсивное распознавание - Итерационное распознавание

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Рекурсивное распознавание Клиент (распознаватель) может запросить рекурсивный ответ от сервера имен. Если сервер может это сделать, он проверяет свою базу данных и отвечает. Если сервер не уполномочен, он посылает запрос другому серверу (обычно к вышестоящему) и ожидает отклика. Если вышестоящий сервер уполномочен, он отвечает; в противном случае он посылает запрос еще одному серверу. Когда запрос окончательно распознан, ответ перемещается назад, пока не достигнет клиента – источника запроса. Итерационное распознавание Если клиент не запрашивает рекурсивный ответ, отображение может быть сделано итерационно. Если сервер может разрешить имя, он посылает ответ. Если нет, он возвращает клиенту IP-адрес сервера, который, как он предполагает, может ответить на запрос. Клиент повторяет запрос второму серверу. Если вновь адресованный сервер может распознать запрос, он отвечает IP-адресом; в противном случае он возвращает IP-адрес нового сервера клиенту. Теперь клиент должен повторить запрос третьему серверу. Этот процесс называется итерационным, потому что клиент повторяет один и тот же запрос к различным серверам.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Кэширование Каждый раз как сервер получает запрос имени, которого нет в его домене, ему необходимо провести поиск в базе данных адресов первичного сервера. Для ускорения поиска используется механизма, называемый кэшированием. Когда сервер запрашивает отображение от другого сервера и получает отклик, он накапливает эту информацию в своей сверхоперативной памяти (кэш-память), перед тем как послать ее другому клиенту. Если тот же самый или другой клиент запрашивает отображение, он может проверить свою кэш-память и распознать адрес. Однако чтобы информировать клиента, что отклик пришел от кэш-памяти, а не от полномочного источника, север маркирует отклик как неполномочный. Кэширование ускоряет распознавание, но может и создать проблемы. Если сервер кэширует отображение за долгое время, он может послать клиенту устаревшее отображение. Чтобы избежать подобных ситуаций, используются два метода.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS Кэширование Первый способ - полномочный сервер всегда добавляет фрагмент информации для отображения так называемого "времени жизни" (TTL – time to live). Оно определяет время в секундах, в течение которого принимающий сервер может кэшировать информацию. После истечения этого времени отображение недействительно, и любой запрос должен быть опять направлен к полномочному серверу. Второй способ - состоит в том, что DNS-запрос, который каждый сервер сохраняет в памяти, содержит TTL – ограниченное время для каждого отображения. Кэш-память периодически сканируется, и отображения с истекшим "временем жизни" (TTL) удаляются.

Администрирование в информационных системах Управление различными компонентами информационных систем Служба DNS DDNS Когда DNS был разработан, не предполагалось что адреса могут изменяться достаточно часто. Для пользователей подключающихся к Internet c динамическим IPадресом была разработана динамическая система доменных имен (DDNS – Dynamic Domain Name System). В DDNS, когда связь между именем и адресом определена, информация передается по протоколу динамической реконфигурации хостов (DHCP — Dynamic Host Configuration Protocol) к первичному DNS-серверу. Первичный сервер модернизирует зону. Вторичные серверы уведомляются либо активно, либо пассивно. При активном уведомлении первичный сервер посылает сообщение вторичным серверам об изменениях в зоне, в то время как при пассивном уведомлении вторичные серверы периодически проверяются на любые изменения.