Новиков Д. Ю.

В последнее время обострилась потребность в построении защищенных и надежных систем доступа к Интернету, систем маршрутизации IP-потоков, брандмауэров (межсетевых экранов). Такие задачи можно эффективно решать на основе персональных компьютеров, управляемых ОС UNIX.

Для построения маршрутизаторов часто используют некоммерческие ОС для компьютеров PC: FreeBSD и Linux. К традиционным преимуществам UNIX-систем добавляется немаловажный фактор - дешевизна реализации.

В системах с повышенными требованиями к надежности и отказоустойчивости обычно используют дорогие аппаратные маршутизаторы (их стоимость от $2000 до $15000).

Высокая надежность работы обеспечивается здесь во многом благодаря отказу от использования жестких дисков. При построении маршрутизаторов на основе PC-архитектуры также можно ожидать, что надежность функционирования и время наработки на отказ значительно вырастут, если применить оригинальное решение - "изъятие" из PC-архитектуры важнейшего компонента - жесткого диска (HDD). Его можно заменить Flash-картой, а именно, одной из ее разновидностей - устройством "Disk on Chip". Такая карта вставляется в IDE-разъем системной платы, а в ОС она встраивается как жесткий диск c IDE-интерфейсом.

В компьютере, таким образом, реализуется подобие жесткого диска, построенного только на электронных компонентах.

Однако, просто заменить HDD на Flash-карту не получается, потому что Flash-карты, сопоставимые по объему накапливаемой информации с HDD, стоят очень дорого (например, Flash-карта объемом 120 Мбайт стоит порядка $700). Но небольшие по объему Flash-карты стоят дешево: например, Flash-карта объемом 4 Мбайт стоит около $30.

В докладе представлены результаты построения системы маршрутизации на основе PC-компьютера с использованием Flash-карты объемом не более 4 Мбайт. Система должна обеспечить маршрутизацию IP-потоков (два потока по 10 Мбит/с через Ethernet-интерфейсы), вывести локальную сеть с Интранет-адресами (около 150 компьютеров под управлением ОС Windows) в Интернет, обеспечить защиту локальной сети от нежелательного трафика и атак из Интернета.

В основу построения системы была положена облегченная версия FreeBSD - PicoBSD, предназначенная для построения маршрутизатора на дискете (объем 1,44 Мбайт). В ходе работы PicoBSD была переработана для применений с Flash-картами.

Шаги по переработке представлены в докладе:

· ядро системы преобразовано для работы с IDE-устройствами;

· изменены компоненты компиляции системы и сценарии загрузки;

· параметры системы, формирующейся в результате сборки, преобразованы под размер Flash-карты.

В результате получилась работоспособная система, которая была испытана в качестве маршрутизатора. Результаты испытаний позволяют констатировать:

· Система исключительно защищена от атак и взломов из Интернет.

· Система компактна: на Flash-карте реально используется около 2 Mбайт.

· Систему можно применять при неблагоприятных внешних условиях (запыленность, повышенная влажность, резкие перепады температур, вибрация), например, в промышленных цехах, в не отапливаемых помещениях.

Таким образом, построенная система решает поставленные задачи и является перспективной для организации надежного и защищенного доступа в Интернет.