Firewall-1 está basado en dos módulos independientes: el de gestión
(o control)
y el de cortafuegos. El primero de ellos está formado por el gestor gráfico
de políticas (incluyendo el visor de registros) y el servidor de gestión,
típicamente un demonio (fwm) que se ejecuta en una máquina Unix. El
gestor gráfico puede ser un cliente Unix (con X/Motif) o Windows 9x/NT; es
triste que a estas alturas no exista un cliente gráfico para Linux,
encontrándose únicamente para otros Unices, y que además el cliente
X/Motif contenga errores y sea bastante ineficiente, lo que motiva que se
tienda a utilizar clientes Windows para gestionar los cortafuegos. En cualquier
caso, el gestor gráfico puede ejecutarse en la misma máquina que el
servidor de gestión o en una diferente, mediante un esquema cliente/servidor.
Este gestor no hace más que presentar de una forma cómoda al administrador
del cortafuegos la información generada por el servidor de gestión (el
demonio fwm), que es el verdadero `corazón' de la gestión del firewall y que permite administrar diferentes sistemas con módulo de
cortafuegos (en castellano plano, diferentes cortafuegos) desde una misma
estación de control.
Por otra parte, el módulo de cortafuegos está formado por el inspection module, los demonios de Firewall-1 y los servidores de
seguridad del firewall. El inspection module se instala como ya
hemos comentado (figura 16.1) entre el nivel de enlace y el nivel de red,
por completo antes de la pila de protocolos TCP/IP, con lo que se asegura
que Firewall-1 analiza todos y cada uno de los paquetes que pasan por el
sistema. Los demonios del firewall son simples programas con diferentes
funciones, como la comunicación con el servidor de gestión o la carga de las
reglas definidas para el cortafuegos en el inspection module. Finalmente,
los servidores de seguridad son módulos que se invocan cuando
así se define en la política (por ejemplo, cuando la acción asociada
a una determinada regla es User Authentication), y que realizan tareas
de autenticación y seguridad de contenidos; la conexión entre origen y
destino se divide en dos, una entre el origen y el servidor de seguridad y otra
entre este y el destino.
© 2002 Antonio Villalón Huerta