л_р_4_МиСЗИвКС_БСт2154_Архангельский_Ключанский_Ларин_
.pdf
После добавления нового правила, разрешающего доступ в необходимой подсети, открылся доступ к ранее заблокированному ресурсу, как видно исходя из данных выполнения команды ping, представленных на рисунке 9.
Рисунок 9 — Результат выполнения команды ping
Контрольные вопросы
1.Какие виды межсетевых экранов вы знаете?
Аппаратные межсетевые экраны — специальные устройства или компоненты сетевого оборудования/компьютеров, на которых установлено фильтрующее программное обеспечение. Всё ПО внутри этого устройства специализировано на фильтрации трафика и нескольких смежных задачах, дополнительные программы на аппаратный межсетевой экран поставить нельзя. Это снижает уязвимость такого устройства к атакам и позволяет обеспечивать защищенность более высокого класса.
Программные межсетевые экраны — программное обеспечение, которое занимается фильтрацией трафика по заданным правилам.
2.В каких узлах локальной сети следует устанавливать межсетевые
экраны?
На границе периметра локальной сети для защиты внутренних хостов от атак извне.
3.Почему при создании правил фильтрации в случае, если
пользователем отмечен протокол IP, блокируется доступ к указанию порта?
11
Блокировка протокола IP блокирует также все доступные порты.
4.Работу каких протоколов нужно разрешить в фаерволе, если необходимо предоставить возможность выхода в Интернет?
IP, DNS, FTP, TCP, UDP
5.Работу каких протоколов нужно разрешить в фаерволе, если необходимо предоставить возможность работы с электронной почтой?
SMTP, POP3, IMAP.
6.Какая политика по умолчанию более надежна с точки зрения безопасности?
Политика строгой (наивысшей) безопасности.
7.Для каких атак могут быть использованы широковещательные сообщения?
Для DoS-атак.
8.Зачем нужен пакетный фильтр?
Пакетный фильтр является модулем системы, который принимает решения, разрешить или запретить конкретному пакету пройти через межсетевой экран. Это означает, что определенный сервис разрешен или запрещен.
Чтобы решать, какие действия следует выполнять для каждого полученного межсетевым экраном пакета, пакетный фильтр использует набор правил, которые описываются системным администратором. Для каждого пакета межсетевой экран просматривает весь набор правил в порядке их создания, проверяя, удовлетворяет ли пакет какому-либо из них. Если соответствующее правило существует, то в соответствии с ним будет выполняться заданное действие. Если данный пакет не удовлетворяет ни одному из правил, то будет выполняться действие по умолчанию.
9. На каком уровне модели OSI/ISO работает пакетный фильтр? Пакетный фильтр функционирует на сетевом уровне модели OSI, но для
выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня
12
10. Что такое трансляция адресов (NAT)? Зачем она используется? NAT (Network Address Translation) – технология преобразования
приватных IP-адресов во внешние в IPv4.
Преобразования NAT имеет важную особенность с точки зрения обеспечения безопасности: трансляция частных IP-адресов в публичные из пула маршрутизатора, позволяет скрыть топологию внутренней сети от внешних пользователей, что затрудняет несанкционированный доступ к ресурсам сети.
13