INTERNET-WEB.RU
Обучение работе с ПК
Операционные системы
Флеш (Flash)

Варианты организации брандмауэров

Все способы фильтрации, используемые в брандмауэрах, условно можно разделить на фильтрацию пакетов и использование шлюзов уровня сессии или уровня приложения. В большинстве случаев реальные системы используют комбинацию этих вариантов.

Фильтрация пакетов

Фильтрация пакетов, хотя и является самым простым и быстрым способом реализации брандмауэра, в то же время имеет ряд недостатков. Это возможность «обмануть» брандмауэр, фальсифицируя адреса и порты протокола (поскольку IP-адрес и номер порта — это единственная информация, которую использует для анализа данных этот метод). Обычно настройка фильтрации пакетов достаточно трудоемка, хотя в некоторых случаях имеются соответствующие утилиты для ее ускорения.

Шлюзы

Шлюзы уровня сессии организуют временные соединения между клиентом и хостом Интернета на основе некоторых заданных правил. Вся информация, передаваемая по такому каналу, свободно пропускается. После завершения сессии канал уничтожается.

Более совершенным считается способ организации шлюзов уровня приложения: прокси-серверов. Прокси-серверы обычно принимают все запросы (как извне сети, так и изнутри), аутенфицируют пользователя, анализируют запросы и перенаправляют их в зависимости от содержимого (например, заблокируют определенный запрос на внутренний WWW-cep-вер, а другой отошлют на соответствующее устройство). Фактически между клиентом и хостом Интернета образуется цепочка из двух соединений: от клиента до прокси и от прокси до хоста Интернета. При использовании прокси-серверов весь трафик считается исходящим (входящим) именно от имени прокси-сервера. Таким образом запрещается прямой доступ к внутренним ресурсам организации. Прокси-серверы обычно имеют развитые возможности аутенфикации пользователей, хорошие механизмы протоколирования своей работы и обеспечивают наибольший уровень защиты локальной сети.

Пример настройки брандмауэра в Windows XP

Операционная система Windows ХР содержит брандмауэр подключения к Интернету для настройки ограничений передачи данных между Сетью и локальным компьютером.

Для включения зашиты достаточно установить галочку на закладке Дополнительно окна свойств соединения, с помощью которого осуществлен доступ в Интернет . Если соединение применяется для совместного доступа к Интернету , то брандмауэр



будет защищать все компьютеры с данным подключением.

Используемая система защиты тривиальна: в локальную сеть не пропускаются никакие пакеты информации, если это не предусмотрено разрешениями в настройке. Если в локальной сети есть компьютеры, к которым должен осуществляться доступ из Интернета, то в настройках брандмауэра необходимо прописать соответствующие параметры. Для этого следует нажать на клавишу Параметры в окне включения брандмауэра. Появится окно, аналогичное изображенному на

Чтобы разрешить доступ из Интернета к компьютеру, находящемуся в локальной сети (за компьютером с включенной программой зашиты соjjxwuu-icnnuu llUl рДММОИ ЗИЩИТЫ СОединения), нужно добавить в это окно параметры соответствующей службы. Так, если вы хотите опубликовать информационный сервер, то достаточно отредактировать параметры для службы Web-сервер (HTTP). Нужно выделить соответствующую строку, нажать клавишу Изменить и указать IP-адрес компьютера с данной службой. Если публикуемая служба не отображена в списке окна, то легко создать собственное определение: нужно только правильно указать номер порта и адрес публикуемого компьютера (рис.72).

Брандмауэры других разработчиков

В Сети существует большое количество программ, предназначенных для защиты индивидуальных компьютеров. Например, можно отметить такие персональные брандмауэры, как AtGuard, BlacklCE Defender, Jammer, Kerio Personal Firewall, Outpost Firewall, Sygate Personal Firewall, Tiny personal firewall, Zone Alarm и др. Часть этих продуктов — коммерческие программы, часть имеет версии, доступные для бесплатного использования.



Обычно эти программы сочетают в себе возможности блокировки трафика с дополнительными сервисами, например запрет всплывающих окон, отсечение рекламных баннеров и т. п. Кроме того, программы имеют так называемый режим обучения. В этом режиме программа сообщает пользователю о всех попытках передачи информации в Интернет . Анализируя представленную брандмауэром информацию, пользователь принимает решение о полной блокировке передачи информации, о разовом или постоянном разрешении. Таким образом можно в результате обучения создать нужную конфигурацию доступа в Интернет.

© 2009 internet-web.ru. All Rights Reserved