- •Практическая работа №1 Утилиты настройки сетевых компонентов в ms Windows 2000/xp/2003
- •Практическая работа №2 Анализ трафика в сетях Ethernet
- •Практическая работа №3 Выбор коммутационного оборудования
- •Практическая работа №4 Работа с адресами ip сетей
- •Практическая работа №5 Конфигурирование межсетевого экрана
- •Практическая работа №6 Маршрутизация в ip сетях
- •Практическая работа №7 dns.
Практическая работа №5 Конфигурирование межсетевого экрана
Цель: получить представление о работе классического межсетевого экрана. Закрепить понимание адресации на сетевом и транспортном уровне стека TCP\IP.
Необходимо:
Система Win32 (win9x/2000/XP/2003)
Доступ к Web
Пакет установки KerioWinRoute 4 (или любой другой файерволл)
Краткие теоретические сведения:
Под межсетевым экраном или firewall или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» TCP\IP.
В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:
IP адресам отправителя и получателя в заголовке IP пакета,
номерам портов приложения-получателя и приложения-отправителя,
инкапсулированным в IP протоколам транспортного (TCP, UDP) и сетевого уровней (ICMP).
Контролировать контент проходящих пакетов классический firewall не может.
В работе используется KerioWinRoute 4 поскольку из распространенных firewall под платформу Windows он обладает наименьшими средствами автоматизации (мастерами) и, как следствие, дает полное представление о сути настроек.
Порядок выполнения работы:
Зарегистрируйтесь на компьютере с администраторскими полномочиями и установите на вашем компьютере WinRoute
Настройте firewall таким образом, чтобы выполнялись следующие условия:
с вашей системы должны быть доступны: DNS сервер с адресом шлюза по умолчанию, DNS сервер c адресом 194.85.32.18, все наружные Web сервера и HTTP прокси с адресом вашего шлюза по умолчанию, FTP сервер ftp.ifmo.ru, все наружные POP3 сервера, и SMTP сервер mail.ifmo.ru.
с наружи, в вашей системе должен быть доступен SSH сервер на всех узлах с подсети 83.0.0.4 \ 255.255.0.0
отдельно блокируется доступ к вашей системе с хоста 10.10.11.173.
ваша система не должна отвечать на запросы команды PING.
работа с остальными сервисами должна быть блокирована.
Кроме правил разрешения, должно быть правило, ограничивающее передачу всего
неразрешенного трафика. А раз правила выполняются последовательно, то это правило
должно быть последним в списке.
Определить какой номер порта соответствует какому серверу можно
воспользовавшись Web.
Ограничивайте также диапазоны портов программ-клиентов.
Для каждого правила на исходящий трафик создается зеркальное правило на входящий
и наоборот. При написании этих правил обратите внимание что является в конкретном
случае источником (Source) а что получателем (Destination)
3) после завершения работы удалите WinRoute (Панель управления \ установка удаления программ)!
В отчет:
на адрес sergsavkov@gmail.com
в заголовке письма: №группы ФИО №работы (например: 3155 Фёдор Сумкин 5)
В теле письма:
Правила фильтрации в виде скриншотов WinRoute или в любой другой понятной мнемонической записи. Ответы на вопросы:
от чего не способен защитить классический firewall?
можно ли организовать доступ к Web серверу если у клиентов закрыт доступ к 80 порту?
в чем разница между правилами Deny и Drop?