WinPedia - электронная энциклопедия windows
   Вы здесь: Главная arrow 15. Работа в Интернете arrow Брандмауэр подключения к Интернету   

Авторизация

Брандмауэр подключения к Интернету Печать

В составе операционной системы Microsoft Windows XP имеется специальный набор программных средств, предназначенных для обеспечения безопасности при работе в Интернете и называемых брандмауэром подключения к Интернету (Internet Connection Firewall, ICF). С функциональной точки зрения брандмауэр выступает в роли своеобразного фильтра, контролирующего поток передаваемой между локальным компьютером и Интернетом информации, защитного барьера между компьютером или локальной сетью и всем остальным информационным пространством.

Брандмауэр может использоваться как для защиты отдельных подключенных к Интернету компьютеров, так и для обеспечения безопасности для имеющих выход в Интернет локальных сетей. При этом не имеет никакого значения, каким именно образом подключается сеть или компьютер к Интернету: брандмауэр одинаково обеспечивает безопасность обмена информацией как для соединения по коммутируемым телефонным линиям, выделенным линиям ISDN, так и для высокоскоростных подключений с использованием кабельных модемов или подключений по технологии DSL.

Брандмауэр подключения к Интернету действует как сторожевая программа, выполняющая мониторинг текущего соединения, включающий анализ входящего и исходящего трафика, а также проверяющая исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации - данные, поступающие из внешней среды на защищенный брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются. С целью обеспечения безопасности в процессе своей работы брандмауэр ведет специальный журнал, в котором фиксируются все исходящие запросы, направленные в сеть с защищенного компьютера. Все поступающие из внешней сети данные сверяются брандмауэром с информацией, хранящейся в журнале, и в случае, если эти данные поступили в ответ на запрос с данного компьютера или одного из компьютеров локальной сети, они пропускаются, в противном случае - отсеиваются (кроме источников, связь с которыми была специально разрешена администратором данного компьютера). При этом брандмауэр не выдает пользователю никаких сообщений или предупреждений: соединение с источником, отправляющим на защищенный компьютер не запрошенные им пакеты информации, просто прерывается без дополнительных условий. Таким образом, администратор компьютера может предупредить целый ряд нежелательных или деструктивных действий со стороны других пользователей сети - среди этих действий можно перечислить сканирование портов компьютера, попытку получить несанкционированный доступ к ресурсам локальной сети, а также пресечь обращения к ресурсам компьютера «пиратских» программ удаленного администрирования, таких как, например, небезызвестная утилита BackOrifice. К сожалению, использование брандмауэра имеет свои ограничения. В частности, оно практически полностью парализует работу виртуальной частной сети (Virtual Private Network, VPN), затрудняет обмен данными при использовании функций Удаленного помощника (Remote Assistance). Помимо прочего, в некоторых случаях администратору бывает необходимо санкционировать прохождение через подключенный к Интернету компьютер неконтролируемого трафика: например, тогда, когда один из узлов локальной сети выполняет функции web-сервера, ftp-сервера или сервера Telnet. В подобных ситуациях можно настроить брандмауэр таким образом, чтобы он транслировал незапрошенные входящие пакеты на какой-либо конкретный узел сети либо просто передавал их программе, поддерживающей работу сервера. Чтобы настроить эту функцию брандмауэра, необходимо подключить требуемый компьютер и используемую им программу обработки входящих запросов к списку разрешенных сервисов. Для этого:

  • откройте системную папку сетевых подключений, выполнив последовательность команд: Пуск->Панель управления->Сеть и подключения к Интернету->Сетевые подключения (Start->Control Panel->Network and Internet Connections-> Network Connections);
  • щелкните правой кнопкой мыши на значке требуемого соединения и в появившемся меню выберите пункт Свойства (Properties) либо просто выберите пункт Изменение настроек подключения (Change settings of this connection) в меню Сетевые задачи (Network Tasks);
  • в открывшемся диалоговом окне Подключение-свойства (Connection Properties) перейдите ко вкладке Дополнительно (Advanced) и установите флажок Защитить мое подключение к Интернету (Protect my computer and network by limiting or preventing access to this computer from the Internet);
  • нажмите на кнопку Параметры (Settings) в нижней части окна;
  • во вкладке Службы (Services) открывшегося диалогового окна Дополнительные параметры (Advanced settings) установите флажки для тех служб, которые используются в вашей локальной сети и для которых следует передавать необработанные запросы входящего трафика;
  • в окне, открывающемся после установки каждого флажка разрешенной службы, введите в поле Имя или IP-адрес компьютера (Name or IP address of the computer hosting this service on your network) сетевое имя или IP-адрес компьютера вашей локальной сети, на котором действует данная служба и для которого будут передаваться неконтролируемые входящие данные;
  • ниже укажите номера внутреннего и внешнего портов, используемых данной службой для протоколов TCP или UDP. Выбрать требуемый протокол можно путем установки в соответствующее положение расположенного здесь же переключателя.

Огромное значение для работы брандмауэра подключения к Интернету играют настройки протокола ICMP (Internet Control Message Protocol), управляющего приемом и передачей между подключенными к сети компьютерами сообщениями об их текущем состоянии и возникающих в процессе их взаимодействия ошибках. Настроить разрешения для данного протокола можно во вкладке ICMP диалогового окна Дополнительные параметры (Advanced Settings) путем установки или сброса соответствующих флажков. Запросы из внешней сети, для которых установлены флажки в упомянутой вкладке, будут обрабатываться защищенным компьютером, и он будет отправлять на них соответствующие отклики в адрес источника запросов.

Брандмауэр подключения к Интернету не выводит на экран сообщения о фильтрации незапрошенных обращений к защищенному компьютеру и информации о возникших в ходе обработки трафика ошибках, поскольку подобные сообщения возникали бы слишком часто и постоянно отвлекали бы пользователя от работы. Вместо этого брандмауэр ведет непрерывную запись журнала о ходе своей работы. Настройки ведения этого журнала можно изменить, обратившись ко вкладке Ведение журнала безопасности (Security logging) диалогового окна Дополнительные параметры (Advanced Settings). В поле Имя (Name) данной вкладки вы можете задать имя и папку для хранения файла журнала, нажав на кнопку Обзор (Browse) и воспользовавшись возможностями открывшегося диалогового окна, в расположенном ниже меню задать максимальный размер для файла журнала. В верхней части окна размещаются два флажка, посредством которых можно управлять записью в журнал дополнительных данных о контроле над текущим соединением: флажок Записывать пропущенные пакеты (Log dropped packets) позволяет заносить в журнал сведения обо всех потерянных пакетах информации, отправленных с данного компьютера или компьютеров локальной сети. Флажок Записывать успешные подключения (Log successful connections) позволяет заносить в журнал информацию обо всех успешных подключениях к внешним ресурсам, произошедших благодаря исходящим запросам с данного компьютера или из локальной сети.

Необходимо обязательно учитывать, что брандмауэр рекомендуется включать только на компьютерах, настроенных на непосредственное подключение к Интернету. Например, если вы включите брандмауэр на одном из компьютеров локальной сети, соединяющемся с Интернетом через другой компьютер вашего же сегмента сети, брандмауэр не обеспечит безопасность соединения, а просто дестабилизирует обмен данными между этим компьютером, другими компьютерами вашей локальной сети и Интернетом. С другой стороны, не имеет смысла включать брандмауэр на одном из клиентских компьютеров локальной сети, соединяющемся с Интернетом через головной компьютер, если на этом головном компьютере брандмауэр не включен - в этом случае все остальные сегменты сети будут подключаться к Интернету через незащищенное соединение и общая надежность такой системы окажется низкой. Общая (рекомендуемая) схема использования брандмауэра в сетевой среде показана на рис. 15.2.

Общая схема использования брандмауэра в локальной сети

Рис. 15.2. Общая схема использования брандмауэра в локальной сети

Использование брандмауэра нежелательно, если в сети уже используется брандмауэр другой компании-производителя либо прокси-сервер. Если отдельные компьютеры локальной сети, подключенные к Интернету через другой сетевой компьютер, имеют собственные устройства для связи с Интернетом, например, обычные или кабельные модемы либо адаптеры DSL, то соединение через такие устройства не является защищенным - брандмауэр может контролировать только трафик, проходящий через компьютер, на котором он установлен. В этой ситуации брандмауэр следует активизировать также на всех компьютерах, имеющих собственные подключения к сети, настроив его на контроль этих локальных подключений, - в противном случае сеть будет уязвима через соединения, установленные другими ее узлами, даже если головной компьютер использует для обеспечения безопасности брандмауэр. Все разрешения и запреты также настраиваются для каждого подключения отдельно.

Брандмауэр подключения к Интернету может оказывать негативное влияние на работу некоторых программ, включенных на локальных компьютерах, а в особенности тех, которые не обращаются с различными запросами к удаленным серверам сами, а функционируют в режиме ожидания запросов. К таким программам относятся, в частности, некоторые почтовые клиенты и Интернет-пейджеры. Например, почтовый клиент Outlook Express 6, входящий в комплект поставки Windows XP, может обращаться к удаленным почтовым серверам при срабатывании программного таймера, установленного пользователем, - скажем, если пользователь указал в настройках программы на необходимость проверки почтового сервера каждые двадцать минут. В этом случае Outlook Express отправляет почтовому серверу запрос на проверку состояния электронного почтового ящика, данный запрос фиксируется в журнале брандмауэра, и потому отклик сервера о наличии или отсутствии новых сообщений пропускается брандмауэром без каких-либо проблем. Программа Outlook 2000, входящая в комплект поставки Microsoft Office 2000, напротив, подключаясь к серверу Microsoft Exchange, ожидает от расположенного в Интернете узла сообщения о поступлении новой почты в формате удаленного вызова процедуры. Поскольку такой вызов со стороны сервера не был инициирован локальным компьютером, он будет отсечен брандмауэром. При этом пользователь может по-прежнему отправлять и принимать электронную почту, однако функция автоматической проверки состояния почтового ящика работать не будет. Аналогичным образом, программа ICне сможет принимать от других пользователей сети входящие вызовы, и потому ее использование станет невозможным. Единственным решением в такой ситуации может быть только самый кардинальный шаг - отключение брандмауэра.

 
« Пред.   След. »





© 2018 WinPedia.RU - Электронная энциклопедия Windows. Контент, дизайн, верстка - Валентин Холмогоров. All Rights Reserved