Конфигурация icf
Включать и отключать ICF очень просто. Проделайте следующие шаги.
Выберите Start\Control Panel (Пуск/Панель управления) и щелкните дважды на Network Connections (Сетевые подключения).
Щелкните на том интернет-соединении, которое вы хотите защитить с помощью ICF.
В окне Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
На вкладке Advanced (Дополнительно) можно включать ICF отметкой флажка Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мое подключение к интернету).
Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.
Входящие эхо-запросы.
Входящие метки времени.
Входящие запросы маршрутизатора.
Переадресацию.
Рис. 9.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)
Рис. 9.3. Детали настройки
На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.
Запись в журнал безопасности icf
Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.
Таблица 9.1. Поля ввода данных в журнале безопасности ICF |
|
Поле |
Описание |
action |
Операция, перехваченная межсетевым экраном. Входящие данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST (здесь указывается количество произошедших событий, не сохраненных в журнале). |
date |
Дата ввода файла в формате YY-MM-DD (год-месяц-день). |
Dst-ip |
IP-адрес конечного пункта доставки пакета. |
Dst-port |
Номер порта конечного пункта доставки пакета. |
icmpcode |
Число, обозначающее поле кода в ICMP-сообщении. |
icmptype |
Число, обозначающее поле ввода текста в ICMP-сообщении. |
info |
Поле для ввода информации о событии, которое зависит от типа действия. |
protocol |
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра. |
size |
Размер пакета. |
Src-ip |
IP-адрес устройства-отправителя. |
Src-port |
Номер порта отправителя. |
tcpack |
TCP-номер подтверждения пакета. |
tcpflags |
TCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности номеров); U-Urg (важность поля указателя срочности). |
tcpsyn |
TCP-последовательность номеров пакетов. |
tcpwin |
TCP-размер окна (байт). |
time |
Время регистрации файла в формате HH:MM:SS (часы:минуты:секунды). |
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.
Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.