Брандмауэр операционной системы
1 Брандмауэр ос Windows
1.1 Ознакомьтесь с апплетой «Брандмауэр» Панели управления.
1.2 Каким образом в брандамуэре можно задавать исключения для отдельных программ?
1.3 Каким образом можно включить «Общий доступ к файлам и принтерам» для других подсетей?
1.4 Как с помощью брандамуэра Windows включить/отключить ответ компьютера на запросы программ ping/traceroute?
2 Брандмаэур ОС Linux – iptables
2.1 Ознакомьтесь со справкой программы iptables.
iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).
Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.
2.2 Каким образом можно отключить работу брандмауэра в Linux?
Сервис остарнавливается командой
service iptables stop
2.3 Приведите примеры разрешения доступа на локальный порт 80 только для определенных подсетей
Iptables –a input –s 123.123.0.0/24 –p tcp --dport 80 –j accept
Iptables –a input –s 123.123.0.0/24 –p tcp --dport 80 –j accept
Iptables –a input –s 0/0 –p tcp --dport 80 –j drop
2.4 Приведите примеры запрета исходящих соединений на порт 80
iptables –a output –s –d 0/0 –p tcp –dport 80 –j drop
или без указания источника и назначения
iptables –a output –p tcp –dport 80 –j drop
2.5 В чем принципиальное отличие брандмауэра Linux от брандмауэра Windows в части функциональных возможностей?
Брандмауэр windows
Доступ к настройкам файрвола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками файрвола показан на рисунке ниже.
Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающем на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт.
В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт «Не разрешать исключения» включает режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.
Рис. 3 Исключения Бранмауэра в Windows
FireWall разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило.
Рис. 4 Опция «Дополнительно» бранмауэра Windows
В этом окне можно отключить файервол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файервола к исходным.
Настройка исключений
Автоматическое создание исключений для приложений
При запуске на компьютере программы, которая должна прослушивать определенный порт, ожидая подключения к нему из сети, файервол выведет на экран запрос, пример которого показан ниже.
Рис. 5 Оповещение системы безопасности
Пользователю предоставляется следующий выбор:
Блокировать – приложение, попытавшееся открыть порт, будет блокировано и подключится из сети к этому приложению будет невозможно. В списке исключений файрвола будет создано правило блокирующее это приложение.
Разблокировать – приложению будет предоставлена возможность открыть порт и подключения из сети к приложению, открывшему порт, будут доступны. В список исключений файрвола будет добавлено правило, которое будет и впредь разрешать этому приложению открывать порт для ожидания входящих подключений.
Отложить – попытка приложения открыть порт будет пресечена, но исключение создано не будет. При следующей попытке приложения открыть порт будет вновь выведен запрос, показанный выше.
Выбор Отложить оптимален, если нет уверенности в том, что за приложение пытается открыть порт, и будет ли нормально работать система после отказа приложению в открытии порта. В принципе, можно заблокировать попытку открытия порта приложением и если выбор будет неверен, то в последствии можно будет исправить автоматически созданное исключение вручную.
Создание исключений для приложений вручную
Если заранее известно приложение, которое должно принимать входящие подключения из сети, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения.
Рис. 6. Создание исключений вручную
Чтобы создать исключение нужно нажать кнопку Добавить программу.... откроется окно, пример которого показан ниже.
Рис.
7 Добавление программы
В этом окне в списке программ перечислены те программы, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок необходимо снять.
Создание исключений для портов
Фаейрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающем на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт.... Пример окна для добавления порта в список исключений показан ниже.
Рис. 8 Добавление порта в таблицу исключений
В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины, по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.
Изменение адресов, с которых разрешено устанавливать подключения
При ручном создании или при редактировании созданного ранее исключения для приложений или порта можно указать диапазон адресов, с которых могут быть установлены подключения к указанному приложению или порту. Для этого предназначена кнопка Изменить область..., при помощи которой открывается окно, показанное ниже.
Рис.
9 Изменение адресов с которых разрешено
устонавливать исключения
В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.
Дополнительные настройки файрвола
Доступ к дополнительным настройкам файрвола можно получить на вкладке Дополнительно главного окна настройки файрвола.
Рис. 10 Дополнительные настройки
Параметры сетевого подключения – здесь перечислены все сетевые подключения, которые существуют на компьютере под защитой встроенного файрвола. Путем установки или снятия флажка напротив каждого из подключений можно включить или выключить файрвол для каждого из подключений. При помощи кнопки Параметры можно настроить параметры работы файрвола для каждого из подключений, если используется общий доступ к этому подключению.
Ведение журнала безопасности – при помощи кнопки Параметры можно настроить протоколирование событий, происходящих во время работы файрвола в журнале работы.
Протокол ICMP – позволяет настроить фильтрацию файрволом сообщений, которыми обмениваются по протоколу ICMP. В частности, можно запретить или разрешить отклик компьютера на команду ping.
Параметры по умолчанию – нажатие кнопки По умолчанию возвращает все настройки файрвола к исходным.