Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

ордена Трудового Красного Знамени Федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский технический университет связи и информатики»

(МТУСИ)

Кафедра: «Информационная безопасность»

Дисциплина: «Методы и средства защиты информации в компьютерных сетях»

Отчёт по лабораторной работе №3

на тему

«Изучение межсетевых экранов. Zone Alarm.»

Выполнил:

Проверил:

Москва, 2025

Содержание

Цель работы 3

Ход выполнения задания 4

Вывод 8

Контрольные вопросы 9

Цель работы

Ознакомиться с принципами работы межсетевых экранов. Освоить методы работы с распространенной программой межсетевого экранирования Zone Alarm.

Ход выполнения задания

Для начала необходимо установить программу Zone Alarm с официального сайта. После установки и запуска программы появится главный экран, представленный на рисунке 1.

Рисунок 1 – Главный экран программы

Нас интересует брандмауэр, основные его настройки представлены на рисунке 2. На рисунке 3 показаны настройки правил зоны защиты.

Рисунок 2 – Основные настройки файрвола

Рисунок 3 – Настройка правил зоны защиты

Рисунок 4 – Настройка разрешений приложений

На рисунке 5 представлены события защитника. Те соединения, что он заблокировал.

Рисунок 5 – События брандмауэра

Вывод

Мы ознакомились с принципами работы межсетевых экранов. Освоили методы работы с распространенной программой межсетевого экранирования Zone Alarm. Провели настройку этой программы и на практике убедились в её работоспособности.

Контрольные вопросы

1. Какие виды межсетевых экранов вы знаете?

Межсетевые экраны можно классифицировать по уровню модели OSI, на котором они работают, и по типу развертывания:

• Пакетные фильтры (Packet Filtering Firewall): Работают на сетевом уровне (L3), фильтруя трафик на основе IP-адресов, портов и протоколов.

• Шлюзы сеансового уровня (Circuit-level Gateway): Работают на сеансовом уровне (L5), контролируя установление TCP/UDP-сессий.

• Экраны прикладного уровня (Application-level Gateway / Proxy Firewall): Работают на прикладном уровне (L7), анализируя содержимое трафика конкретных приложений (HTTP, FTP, DNS).

• Экраны состояния (Stateful Inspection Firewall): Современный стандарт. Отслеживают состояние активных соединений (сессий) и принимают решения на основе контекста, а не только отдельных пакетов.

• Межсетевые экраны нового поколения (NGFW - Next-Generation Firewall): Включают возможности Stateful Firewall, а также глубокий анализ пакетов (DPI), системы предотвращения вторжений (IPS), контроль приложений и фильтрацию URL.

По типу развертывания:

• Аппаратные (выделенное устройство)

• Программные (ПО на сервере или пользовательском компьютере)

• Облачные (виртуальные, Firewall-as-a-Service)

2. В каких узлах локальной сети следует устанавливать межсетевые экраны?

• На границе сети (перед маршрутизатором, ведущим в интернет): Это ключевая точка для защиты всей внутренней сети от угроз извне.

• Между сетевыми сегментами (например, между сетью бухгалтерии и сетью гостевого Wi-Fi): Для изоляции сегментов и минимизации ущерба в случае компрометации одного из них (микросегментация).

• На критических серверах (например, на сервере баз данных): Для защиты конкретного узла, даже если злоумышленник проник во внутреннюю сеть (хост-ориентированная защита).

• На рабочих станциях и пользовательских ПК: В виде персонального файрвола для защиты от внутренних угроз и вредоносного ПО.

3. Почему при создании правил фильтрации в случае, если пользователем отмечен протокол IP, блокируется доступ к указанию порта?

Потому что протокол IP (Internet Protocol) работает на сетевом уровне (L3) модели OSI. Понятия "порт" относятся к транспортному уровню (L4) — это характеристики протоколов TCP и UDP. Когда вы выбираете протокол IP, вы фильтруете трафик на более низком уровне, где порты не определены. Указание порта для протокола IP не имеет смысла, так как IP-пакеты инкапсулируют в себе сегменты TCP/UDP, где и содержатся номера портов.

4. Работу каких протоколов нужно разрешить в фаерволе, если необходимо предоставить возможность выхода в Интернет?

• DNS (порт 53 UDP/TCP): Для преобразования доменных имен (например, google.com) в IP-адреса. Без DNS браузер не сможет найти нужный сервер.

• HTTP (порт 80 TCP): Для загрузки незашифрованных веб-страниц.

• HTTPS (порт 443 TCP): Для загрузки зашифрованных веб-страниц. Это основной протокол для современного интернета.

• ICMP (протокол 1): Для диагностики сети (команда ping). Хотя его часто блокируют для безопасности, он очень полезен для пользователей.

5. Работу каких протоколов нужно разрешить в фаерволе, если необходимо предоставить возможность работы с электронной почтой?

Зависит от используемых протоколов и способа шифрования:

Для получения почты:

• POP3 (порт 110 TCP) и POP3S (порт 995 TCP).

• IMAP (порт 143 TCP) и IMAPS (порт 993 TCP). IMAPS является современным стандартом.

Для отправки почты:

• SMTP (порт 25 TCP) и SMTPS (порт 587 TCP или 465 TCP). Порт 587 (STARTTLS) является предпочтительным для клиентов.

• Дополнительно:

• DNS (порт 53 UDP/TCP): Для поиска почтовых серверов (MX-записи).

6. Какая политика по умолчанию более надежна с точки зрения безопасности?

Более надежной является политика «Запретить всё, что не разрешено явно» (Deny All, Explicit Allow).

При этой политике по умолчанию блокируется весь трафик, и администратор должен вручную создавать правила, разрешающие только необходимые для работы службы и приложения. Это минимизирует поверхность атаки и предотвращает доступ неавторизованных сервисов.

7. Для каких атак могут быть использованы широковещательные сообщения?

• DDoS-атаки с усилением (Amplification Attacks): Злоумышленник отправляет широковещательный запрос с поддельным IP-адресом жертвы. Множество компьютеров в сети отправляют ответ жертве, перегружая ее канал. Пример: Smurf-атака (ICMP-эхо), атаки с использованием DNS, NTP, SNMP.

• Широковещательные штормы (Broadcast Storms): Ошибка или атака, приводящая к лавинообразному умножению широковещательных пакетов, которые полностью загружают полосу пропускания сети и парализуют ее.

• ARP Poisoning / Spoofing: Использование широковещательных ARP-сообщений для "отравления" ARP-таблиц других узлов, чтобы перенаправить их трафик через атакующего.

8. Зачем нужен пакетный фильтр?

Пакетный фильтр нужен для базовой контроля сетевого трафика на основе предустановленных правил. Он анализирует заголовки каждого входящего и исходящего пакета (источник/назначение IP, порт, протокол) и решает, пропустить его или отбросить. Это первая и фундаментальная линия обороны сети.

9. На каком уровне модели OSI/ISO работает пакетный фильтр?

Классический пакетный фильтр работает на сетевом уровне (Level 3). Он принимает решения на основе информации из IP-заголовков. Однако простейшие фильтры также могут учитывать порты, которые относятся к транспортному уровню (Level 4).

10. Что такое трансляция адресов (NAT)? Зачем она используется?

NAT (Network Address Translation) — это механизм, преобразующий IP-адреса в заголовках пакетов при их прохождении через маршрутизатор или межсетевой экран.

Основные цели использования:

1. Экономия публичных IPv4-адресов: Позволяет множеству устройств в частной сети (с приватными адресами, например, 192.168.0.0/24) использовать один общий публичный IP-адрес для выхода в интернет. Это основная причина его повсеместного распространения.

2. Безопасность: Скрывает внутреннюю структуру сети (частные IP-адреса устройств) от внешнего мира. Устройства извне не могут установить прямое соединение с внутренним хостом, если это не разрешено правилами NAT (например, проброс портов). NAT выступает как простой файрвол.

3. Гибкость: Позволяет легко менять провайдера или публичный IP-адрес, не перенастраивая каждое устройство во внутренней сети.