1 Практикум по использованию брандмауэров » 3domen.com - сайт Сергея и Марины Бондаренко
Регистрация  Напомнить пароль?
 Отправлено SergeyMarina 9 мая 2012   

Практикум по использованию брандмауэров Даже самый лучший антивирусный пакет не может гарантировать пользователю абсолютную безопасность. Наличие на компьютере антивирусного сканера может остановить действие вредоносного кода в системе, однако он далеко не всегда может предотвратить утечку конфиденциальной информации. Чтобы этого не произошло, нужно “держать руку на пульсе” и постоянно контролировать сетевые соединения, устанавливаемые компьютером с удаленными хостами. Для этого необходимо задействовать межсетевой экран, или как его еще называют, брандмауэр.




Назад Вперед


Одна из наиболее типичных ситуаций, которая вынуждает пользователя использовать межсетевой экран — когда приложение без ведома пользователя устанавливает соединение с удаленным сервером. В лучшем случае подобное поведение программы может быть объяснено автоматическим обновлением модулей приложения, в худшем — результатом действия вредоносного кода. Межсетевой экран может также использоваться и для ограничения возможностей пользователей компьютера при работе с Интернетом. Так, например, с его помощью можно блокировать подключения интернет-пейджеров, разрешать или запрещать работу почтовых клиентов, браузеров и т.д. Все это особенно актуально для фирм и учреждений, где царит строгая дисциплина, а системные администраторы следят за тем, чтобы Интернет использовался строго по назначению.

Принцип работы брандмауэров в большинстве случаев один и тот же. Программа перехватывает сетевые запросы и выполняет их фильтрацию согласно установленным правилам. Некоторые приложения по умолчанию уже используют некоторый стандартный набор инструкций и указаний, что значительно упрощает настройку межсетевого экрана. В других случаях пользователю приходится самостоятельно “обучать” программу. Рассмотрим основные правила поведения брандмауэра.

Что нужно знать о портах и протоколах

Выбор ограничений при работе с сетью — работа сложная и требует от пользователя понимания терминологии. Главный параметр, который встречается при конфигурировании межсетевого экрана — порт. Обычно под этим термином подразумевают некоторый условный ресурс, который выделяется операционной системой для установки сетевого соединения. Каждый порт имеет свой номер, который используется процессами для организации передачи данных. В компьютерных сетях обычно передача данных ведется порциями, так называемыми пакетами, по протоколам TCP и UDP, причем, каждый из протоколов использует свой набор локальных портов (для приема данных) и удаленных (для отсылки данных). Одно из основных отличий между этими протоколами заключается в том, что UDP не поддерживает проверку целостности данных, поэтому данный протокол работает более быстро и часто используется для передачи данных при организации локального чата.

Для интернет-пейджера ICQ могут быть задействованы два удаленных порта —443 или 5190. В правилах межсетевого экрана можно разрешить соединения с удаленным адресом login.icq.com. В редких случаях, а также при задействовании веб-интерфейса, сервис может использовать порт 80.

Для почтовых клиентов типа The Bat!, Becky! Internet Mail, Outlook и прочих популярных программ для приема и отправки электронной почты, необходимо установить разрешение на доступ к следующим портам: 25-й порт для отправки сообщений через SMTP-сервер, 110-й и 143-й порты для приема по протоколу POP3 и IMAP, соответственно, а также 993-й порт для безопасного соединения.

Порты 80, 443, 8080, 8100 обычно задействуются в работе интернет браузеров (Opera, Firefox, Internet Explorer и т.д.) и других приложений, которые устанавливают соединения http(s), поэтому доступ к ним также нужно оставлять свободным.

Большинство приложений, предназначенных для работы с FTP, используют порт 20 ( только для получения данных), а также порт 21 и номера из диапазона 1024-65535.

Популярные программы для работы с торрентами, такие как, например, µTorrent, можно заносить в списки доверенных — эти приложения не имеют привязки к портам. Некоторые из них могут генерировать номер порта в случайном порядке при каждом запуске клиента сети BitTorrent.

Стоит также отметить, что перечисленные порты используются при стандартной конфигурации сервисов, и в отдельных случаях их номера могут отличаться от приведенных. Кроме этого, обратите внимание, что в подавляющем большинстве случаев безопасные приложения используют обмен пакетами по протоколу TCP. Протокол UDP используется, в основном, системными службами DHCP (служба распределения IP-адресов) и DNS (служба для идентификации IP-адреса по имени хоста).

Использование файла hosts

Операционная система Windows настолько универсальна, что даже такую простую задачу как блокирование доступа к серверу можно решить несколькими способами. Самый простой метод — с помощью файла hosts. Достаточно открыть содержимое этого файла в блокноте или другом текстовом редакторе и дописать, например следующую строку “127.0.0.1 www.youtube.com”. Такая команда позволит блокировать посещение популярного сервиса YouTube.

Стандартный брандмауэр Windows

Однако этот метод годится далеко не всегда, поскольку часто заранее невозможно предугадать, какой процесс будет устанавливать подключение, на какой узел и каким образом. Кроме этого, может возникнуть необходимость избирательного ограничения доступа, в зависимости от конкретного процесса. В этом случае можно использовать стандартный брандмауэр Windows. Необходимость в этом инструменте очевидна, и в самой операционной системе от Microsoft этот инструмент появился уже давно. Он вполне неплохо справляется со своими функциями, легко настраивается и содержит много предустановленных правил.

Практикум по использованию брандмауэров

Чтобы перейти к подробным настройкам функций блокировки приложений, необходимо в Панели управления выбрать “Брандмауэр Windows” и перейти по ссылке “Разрешить запуск программы или компоненты через брандмауэр Windows”. После этого на экране появится список установленных программ, в котором флажками отмечены разрешенные приложения. Прямо в этом списке можно запрещать или разрешать приложения для разных сетевых профилей.

Стандартный брандмауэр Windows использует несколько профилей, в зависимости от типа установленного соединения. Обычно при обнаружении нового типа сети программа запрашивает пользователя, какой профиль выбрать, и какие настройки профиля необходимо установить. Так, тип “Общий” необходимо указывать для публичных сетей, скажем, в аэропорту или в кафе. Тип “Частный” можно выбирать для домашних или рабочих сетей.

На этом возможности брандмауэра не заканчиваются — при желании можно выполнить его тонкую настройку. Для этого необходимо использовать брандмауэр в режиме повышенной безопасности. Чтобы открыть нужное окно, просто наберите слово «брандмауэр» в меню «Пуск». В окне с настройками режима повышенной безопасности можно описывать любые ситуации и всевозможные условия, при которых межсетевой экран будет препятствовать или пропускать передаваемые данные. Это могут быть правила для отдельных приложений, для портов, а также управляющие подключениями для операций Windows.

Практикум по использованию брандмауэров


Назад Вперед








Еще по теме:

  • Kingsoft PC Doctor внушает оптимизм в оптимизации
  • Бесплатные брандмауэры: какой надежнее?
  • Лучшие твикеры для Windows 7
  • Работа в "песочнице": обзор популярных решений
  • Тонкая настройка BitTorrent-клиента µTorrent



  • Информация

    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

    Форум Топик Ответов
    Будьте в курсе новостей