Avoimen lähdekoodin palomuuriratkaisut
Pietiläinen, Jarmo (2013)
Jyväskylän ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013120219285
https://urn.fi/URN:NBN:fi:amk-2013120219285
Tiivistelmä
Tämän JYVSECTECille tehdyn opinnäytetyön tarkoituksena oli tutustua avoimen lähdekoodin palomuureihin. Niiden ominaisuuksia tuli vertailla, ja niitä tuli opetella konfiguroimaan eri skenaarioita varten. Palomuureina käytettiin pfSenseä, ShoreWallia ja Vyatta Corea. Puhdasta iptables-komentoa käytettiin kerran.
Skenaariot toteutettiin virtualisoiduissa IPv4-verkoissa, jotka luotiin VirtualBox-ohjelman avulla. Työtä varten suunniteltiin eri verkkoja, joille annettiin useita toteutettavia tavoitteita. Tavoitteita olivat mm. DMZ-alueen luonti ja yrityksen sisäverkon suojaus, harjoitusverkossa olleen hallintaaliverkon suojaus, sekä runkoreitittimien suojaaminen. Tavoitteiden toteutuksessa tarvitut komennot ja työvaiheet dokumentoitiin tarkasti.
Varsinaisten skenaarioiden lisäksi mitattiin palomuurien nopeutta. Ohjelmapohjainen palomuuri ei ole koskaan yhtä nopea kuin laitteistopohjainen. Siksi haluttiin tietää, paljonko ne hidastivat verkkoa. Kaikki nopeustestit tehtiin sadan megabitin nopeudella toimineissa verkoissa. Nopeustestit eivät olleet täysin moitteettomasti tehtyjä, joten tulokset olivat vain hieman suuntaa antavia.
Skenaarioiden toteuttamisen jälkeen voitiin todeta, että ohjelmapohjaiset palomuurit ovat hieman ristiriitaisia. Ne eivät ole lähimainkaan yhtä nopeita kuin laitteistopohjaiset palomuurit: verkon nopeus leikkaantui noin puoleen alkuperäisestä. Mutta kotikäyttäjille, pienyrityksille ja harjoitus/simulaatioverkkoihin ne ovat mainioita valintoja. Koska peruskäsitteet eivät muutu, on työssä läpikäytyjä asioita ja vaiheita mahdollista soveltaa muihinkin tuotteisiin.
Jatkokehitystä varten olisi hyvä toteuttaa nopeustesti paremmin, sekä suunnitella laajempia skenaarioita. Myös IPv6 ja VPN-tekniikat tulisi käydä läpi.
Skenaariot toteutettiin virtualisoiduissa IPv4-verkoissa, jotka luotiin VirtualBox-ohjelman avulla. Työtä varten suunniteltiin eri verkkoja, joille annettiin useita toteutettavia tavoitteita. Tavoitteita olivat mm. DMZ-alueen luonti ja yrityksen sisäverkon suojaus, harjoitusverkossa olleen hallintaaliverkon suojaus, sekä runkoreitittimien suojaaminen. Tavoitteiden toteutuksessa tarvitut komennot ja työvaiheet dokumentoitiin tarkasti.
Varsinaisten skenaarioiden lisäksi mitattiin palomuurien nopeutta. Ohjelmapohjainen palomuuri ei ole koskaan yhtä nopea kuin laitteistopohjainen. Siksi haluttiin tietää, paljonko ne hidastivat verkkoa. Kaikki nopeustestit tehtiin sadan megabitin nopeudella toimineissa verkoissa. Nopeustestit eivät olleet täysin moitteettomasti tehtyjä, joten tulokset olivat vain hieman suuntaa antavia.
Skenaarioiden toteuttamisen jälkeen voitiin todeta, että ohjelmapohjaiset palomuurit ovat hieman ristiriitaisia. Ne eivät ole lähimainkaan yhtä nopeita kuin laitteistopohjaiset palomuurit: verkon nopeus leikkaantui noin puoleen alkuperäisestä. Mutta kotikäyttäjille, pienyrityksille ja harjoitus/simulaatioverkkoihin ne ovat mainioita valintoja. Koska peruskäsitteet eivät muutu, on työssä läpikäytyjä asioita ja vaiheita mahdollista soveltaa muihinkin tuotteisiin.
Jatkokehitystä varten olisi hyvä toteuttaa nopeustesti paremmin, sekä suunnitella laajempia skenaarioita. Myös IPv6 ja VPN-tekniikat tulisi käydä läpi.