21-0 Системные файлы и резервные копии

В этой главе показано, где находятся и для чего используются файлы, входящие в состав межсетевого экрана Aker версии 3.01.

21-1 Системные файлы

В этом разделе показано, какие системные файлы используются межсетевым экраном. Это очень важно для создания резервных копий и диагностики возможных проблем с работой межсетевого экрана.

Дерево каталогов

• / - содержит модифицированное ядро операционной системы с межсетевым экраном Aker
• /etc/firewall - содержит выполняемые программы и подкаталоги
• /etc/firewall/conf - содержит конфигурационные файлы межсетевого экрана
• /etc/firewall/manual - содержит руководство пользователя (если оно установлено)
• /etc/firewall/root - не содержит файлов. Используется некоторыми процессами межсетевого экрана
• /etc/firewall/run - содержит динамические файлы
• /var/log - содержит файлы статистики и событий межсетевого экрана Aker
• /var/spool/firewall - используется SMTP proxy для хранения сообщений
• /usr/src/sys/objs - содержит объектные модули, необходимые для создания нового ядра системы

Выполняемые программы

Программы, которые могут использоваться администраторами межсетевого экрана Aker

• /etc/firewall/fwadmin - интерфейс командной строки для администрирования пользователей
• /etc/firewall/fwacao - интерфейс командной строки для настройки реакции системы
• /etc/firewall/fwchave - интерфейс командной строки для определения ключа активизации системы
• /etc/firewall/fwconex - интерфейс командной строки для доступа к активным соединениям
• /etc/firewall/fwconver - интерфейс командной строки для настройки трансляции адресов
• /etc/firewall/fwcripto - интерфейс командной строки для настройки защищенных каналов
• /etc/firewall/fwent - интерфейс командной строки для создания объектов
• /etc/firewall/fwflood - интерфейс командной строки для настройки защиты от SYN атак
• /etc/firewall/fwlog - интерфейс командной строки для доступа к файлам статистики и событий
• /etc/firewall/fwpar - интерфейс командной строки для настройки общих параметров
• /etc/firewall/fwregra - интерфейс командной строки для настройки пакетного фильтра
• /etc/firewall/fwupgrade - Утилита для конвертирования конфигурационных файлов межсетевого экрана Aker версии 3.0 в формат версии 3.01

Программы, которые НЕ МОГУТ напрямую использоваться администратором

• /kernel - модифицированное ядро операционной системы с межсетевым экраном Aker
• /usr/sbin/syslogd - модифицированный syslog демон для межсетевого экрана Aker
• /etc/firewall/fwauthd - сервер аутентификации пользователей
• /etc/firewall/fwconfd - коммуникационный сервер для удаленных интерфейсов
• /etc/firewall/fwdnsd - сервер разрешения имен для удаленных интерфейсов
• /etc/firewall/fwinit - программа инициализации межсетевого экрана Aker
• /etc/firewall/fwftppd - FTP proxy для трансляции адресов
• /etc/firewall/fwhttppd - непрозрачный WWW proxy
• /etc/firewall/fwresolv - клиент разрешения имен для удаленных интерфейсов
• /etc/firewall/fwtrap - модуль для посылки SNMP прерываний
• /etc/firewall/fwsmtppd - прозрачный SMTP proxy
• /etc/firewall/fwsrvlog - сервер статистики и событий
• /etc/firewall/fwsyncd - сервер, отвечающий за генерацию ключа и синхронизацию
• /etc/firewall/fwtelnetd - прозрачный Telnet proxy
• /etc/firewall/snmpd - SNMP агент

Конфигурационные файлы

• /etc/firewall/chave.fw - ключ активизации межсетевого экрана
• /etc/firewall/conf/acesso.tab - cписок управления доступом в систему
• /etc/firewall/conf/acesso.telnet - список управление доступом для контекстов Telnet proxy
• /etc/firewall/conf/acl_h.tab - профили доступа, зарегистрированные в системе
• /etc/firewall/conf/auth.tab - глобальные параметры аутентификации
• /etc/firewall/conf/conjuntos.tab - объекта типа набор, зарегистрированные в системе
• /etc/firewall/conf/contextos.smtp - список контекстов SMTP proxy
• /etc/firewall/conf/contextos.telnet - список контекстов Telnet proxy
• /etc/firewall/conf/conv.tab - серверная таблица трансляции адресов
• /etc/firewall/conf/conv_ex.tab  - Объекты, для которых не будет выполняться трансляция адресов
• /etc/firewall/conf/crypt.tab - таблица защищенных каналов
• /etc/firewall/conf/entidades.crypt - объекты, используемые для работы защищенных каналов
• /etc/firewall/conf/entidades.tab - объекты, зарегистрированные в системе
• /etc/firewall/conf/entidades.filtro - объекты, используемые для работы пакетного фильтра
• /etc/firewall/conf/filtros.smtp - список фильтров для SMTP контекстов
• /etc/firewall/conf/parametros-301.fw - общие конфигурационные параметры системы
• /etc/firewall/conf/parametros.http - конфигурационные параметры WWW proxy
• /etc/firewall/conf/regras.filtro - правила пакетного фильтра
• /etc/firewall/conf/sites.tab - адреса, используемые в профилях доступа
• /etc/firewall/conf/syn.tab - таблица параметров защиты от SYN атак
• /etc/firewall/conf/usuarios.tab - пользователи, авторизованные для удаленного администрирования

Динамические файлы

• /etc/firewall/run/fwauthd.pid - PID (идентификатор процесса) сервера аутентификацииr
• /etc/firewall/run/fwhttppd.pid - PID для HTTP proxy
• /etc/firewall/run/fwsrvlog.pid - - PID сервера регистрации

Файлы статистики и событий

• /var/log/eventos-301.fw - Файл регистрации событий
• /var/log/log-301.fw - Файл регистрации статистики

21-2 Резервные копии межсетевого экрана

В межсетевом экране Aker Version 3.01 предусмотрена возможность создания резервных копий и полное удаленное восстановление его конфигурации. Этот вопрос обсуждался в главе 20 Использование  средств графического интерфейса. Рекомендуется проводить подобную процедуру, так как она очень проста в и дает возможность сохранить все настройки межсетевого экрана на удаленном хосте. Однако можно создавать резервные копии вручную, как это делается в версии 2.0 и предыдущих версиях.

В этом разделе показано, как сделать вручную резервную копию, а также как восстановиться с нее.

Копируемые файлы

• Конфигурационные файлы, указанные в предыдущем разделе, являются наиболее важной частью системных файлов, подлежащих копированию. Такие копии следует выполнять каждый раз при проведении какой-либо модификации в настройках межсетевого экрана.
• Другой важной частью файлов вляются файлы статистики и событий. В зависимости от требований безопасности можно делать копии этих файлов ежедневно или даже чаще. Другим способом повышения безопасности является настройка межсетевого экрана таким образом,чтобы статистика и события отсылались через syslogd на другте хосты во внутренней сети.

Для создания резервных копий можно использовать утилиту tar в FreeBSD. Пользователь root должен выполнить следующие команды:

• tar cvfz /conf.tgz /etc/firewall/conf
  (Сохраняет все настройки межсетевого экрана в файле /conf.tgz file)
• tar cvfz /log.tgz /var/log/log-30.fw /var/log/eventos-30.fw
  Сохраняет всю статистику и события в файле /log.tgz)

После их копирования необходимо перенести файлы /conf. tgz и /log. tgz на другие хосты, используя, например, FTP.

Восстановление в случае аварии

В случае потери данных необходимо сделать следующее:

• В случае потери конфигурационных данных или файлов статистики и событий достаточно восстановить одну из упомянутых выше копий.

Важно убедиться, что ни один из процессов обработки межсетевого экрана Aker не запущен в момент восстановления файлов. Для этого перезапустите хост в однопользовательский режим ( это можно сделать, используя опцию -s команды boot при загрузке операционной системы boot:) или "убейте " все запущенные в межсетевом экране процессы (это можно сделать с помощью команды kill `ps -ax | grep fw | grep -v grep | cut -c 1-5`).

Для восстановления с резервной копии, сделанной с помощью команды tar, необходимо выполнить следующую последовательность команд (команды должны выполняться пользователем root):

1. cd /
2. tar xvfz /conf.tgz

(восстанавливает конфигурационные файлы)

3. tar xvfz /log.tgz

(восстанавливает файлы статистики и событий)

• Если произошла потеря всей информации, сначала необходимо проверить, цела ли операционная система. В случае каких-либо сомнений инсталлируйте заново FreeBSD. После этого инсталлируйте межсетевой экран Aker, используя все процедуры, описанные в главе 1 Инсталляция . Когда все заработает, восстановите резервные копии конфигурационных файлов и файлов статистики и событий, как показано выше.