Фильтрующие мэ

Такие фильтруют входящие и исходящие пакеты на основе анализа информации, хранящейся в проходящих пакетах. Наиболее часто используемой информацией при этом, являются IP-адреса отправителя/получателя, порт отправителя/получателя, содержимое передаваемой информации. Например, с помощью фильтрующих МЭ можно заблокировать прием/передачу мультимедийных файлов или запретить обращение к конкретным адресам Интернет.

Достоинствами фильтрующих МЭ являются невысокая стоимость, гибкость правил фильтрации, скорость работы.

Недостатками фильтрующих МЭ является трудность формирования правил фильтрации, плохая аутентификация, возможность осуществления подмены адресов, они не скрывают внутреннюю структуру сети.

Мэ сетевого уровня

Данные МЭ принимают запрос доверенного клиента на конкретные услуги, и после проверки доступности запроса устанавливает соединение. После этого осуществляется обмен пакетами без фильтрации. Основная функция МЭ сетевого уровня – сокрытие внутренней структуры сети. Он транслирует внутренние адреса в некоторый надежный адрес. Таким образом, отсутствует прямой контакт с сетью.

Например, DNAT (Destination Network Address Translation), с помощью МЭ сетевого уровня может быть организован следующим образом. Пусть в сети организации имеются WEB-сервер, FTP-сервер и почтовый сервер. Кроме того, имеется шлюз Интернета, с установленным на этой машине межсетевым экраном сетевого уровня.

М ожно настроить DNAT так, чтобы при обращении клиента к одному из серверов его запрос транслировался межсетевым экраном к соответствующему серверу во внутренней сети, но клиент при этом будет думать, что работает с одной машиной (той, на которой установлен межсетевой экран).

Мэ прикладного уровня

Данные межсетевые экраны фильтруют входящие и исходящие пакеты на прикладном уровне.

МЭ прикладного уровня пропускают только те службы, которые им поручено обслуживать, другие же службы полностью заблокированы. Таким образом, данные МЭ пропускают только безопасные службы.

В данных МЭ возможна фильтрация в пределах одного протокола (например, возможно запретить исполнение некоторых ftp-команд).

В данной лабораторной работе будут рассмотрены два популярных межсетевых экрана, которые возможно отнести к универсальным. Это Agnitum Outpost Firewall Pro 4.0 и McAfee Kerio WinRoute Firewall 6.3.1.

OUTPOST FIREWALL PRO

Межсетевой экран Outpost Firewall Pro 4.0 обладает следующими возможностями.

• Контролирует каждое соединение между вашим компьютером и сетью Интернет, немедленно оповещая вас обо всех подозрительных соединениях и предоставляя вам возможность предпринять необходимое действие. Такая возможность обеспечена наличием активной защиты, блокирующей все известные на сегодняшний день методики обхода безопасности (ликтесты), таким образом, полностью предотвращая утечку важных данных с компьютеров пользователей

• Облегчает создание наиболее безопасной конфигурации, предоставляя возможность использовать макроопределения в правилах для приложений и глобальных правилах. Макроопределения могут быть использованы, например, для обозначения локальной сети как LOCAL_NETWORK или всех DNS-серверов просто как DNS_SERVERS. Это дает продвинутым пользователям возможность быстро настраивать правила для их внутренних соединений, а также некоторых служб Windows (например, DNS).

• Имеется новый режим внутренней защиты. С включенной внутренней защитой Outpost предотвращает попытки вирусов, троянов и шпионского ПО завершить работу брандмауэра. Обнаруживает и предотвращает все попытки имитации нажатия клавиш пользователем, которые могут привести к приостановке работы брандмауэра. Он также отслеживает изменение своих собственных компонентов на жестком диске, значений реестра, состояние памяти, запущенные службы и т.д. и блокирует любые изменения, предпринятые вредоносными приложениями.

• Модуль «Детектор атак» автоматически блокирует сканирование сети, атаки и другие удаленные попытки получить доступ к вашему компьютеру.

• Модуль «Интерактивные элементы» блокирует потенциально опасные сценарии, которые могут захватить контроль над вашим браузером, а также другие компоненты WEB-сайтов, которые могут отслеживать ваши предпочтения в сети и историю посещений.

• Полностью интегрированная защита от spyware предотвращает заражение компьютера spyware-программами и блокирует spyware до того, как они доберутся до ваших данных.

• Контроль компонентов и новый Контроль Anti-Leak позволяет решать, что разрешается делать приложениям и процессам на вашем компьютере, и какие исходящие соединения им позволены. Предоставляются возможности, такие как блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки и другие. Таким образом, Spyware не смогут передать информацию с компьютера, защищенного Outpost.

• Журнал событий позволяет просматривать историю ваших Интернет-соединений, включая списки заблокированных сайтов, отраженных атак и еще множество различных журналов, помогая вам оптимизировать вашу защиту.

Панель инструментов

Панель инструментов расположена по верхнему краю главного окна. Наведя курсор на любую из кнопок, вы увидите ее предназначение. Каждая кнопка на панели управления является клавишей для быстрого доступа к какому-то пункту меню. Эти клавиши – быстрый и прямой путь к отдельным функциям, вам не придется идти через ряд пунктов меню или диалоговых окон, чтобы их вызвать.

Левая и правая информационные панели

Чтобы отобразить собранную информацию доступным и простым для пользователя способом, Outpost использует две панели. Левая панель напоминает проводник Windows. Она отображает список категорий: соединения, порты и подключаемые модули. Правая информационная панель предоставляет подробную информацию о каждой категории, выбранной на левой панели.

Список на левой панели и информационная панель отображают содержание следующих категорий.

Мой Интернет

Выбрав эту категорию, вы увидите вводную информацию и информацию о текущей лицензии. Здесь также можно прочитать последние новости компании Agnitum и получить быстрый доступ к настройкам конфигурации Outpost. Открыв эту категорию, вы увидите следующие подкатегории.

1. Сетевая активность. Отображает все приложения и процессы, имеющие текущие активные соединения, и подробную информацию по каждому из соединений.

2. Открытые порты. Отображает все приложения и процессы, у которых в данный момент открыты порты для соединения с сетью.

3. Разрешенные. Отображает общую статистику для всех соединений, разрешенных Outpost.

4. Заблокированные. Отображает общую статистику для всех соединений, заблокированных Outpost.

5. Сообщенные. Отображает общую статистику всех попыток приложений получить доступ к Интернету или локальной сети, о которых должен сообщать брандмауэр (по умолчанию не отображается).

Подключаемые модули

Выбрав эту категорию, вы увидите общую информацию о подключаемых модулях Outpost, последние новости по этой теме от компании Agnitum, и получите быстрый доступ к настройкам конфигурации подключаемых модулей. Категорию включает в себя список установленных подключаемых модулей Outpost. По умолчанию устанавливаются следующие подключаемые модули:

1. Интерактивные элементы. Отображает общую статистику для сайтов, для которых была заблокированы часть интерактивных элементов на основе сценариев Java, VB, ActiveX и другие.

2. Реклама. Отображает общую статистику для всей заблокированной рекламы.

3. Anti-Spyware. Отображает общую статистику всех шпионских программ, которые были обнаружены и удалены или помещены в карантин на вашем компьютере.

4. Фильтрация почтовых вложений. Отображает общую статистику для всех почтовых вложений, которые были обезврежены и отфильтрованы на вашем компьютере

5. Детектор атак. Отображает общую статистику всех атак на ваш компьютер из Интернета, задействованные порты и источники атак.

6. Содержимое. Отображает общую статистику WEB-сайтов и страниц, которые были заблокированы этим подключаемым модулем и причины блокировки.

7. DNS. Отображает общую статистику WEB-адресов, сохраненных Outpost для последующего ускоренного к ним доступа.

Значок в системном лотке

Еще одним элементом для контроля работы брандмауэра является значок в трее. По умолчанию, значком является голубой кружок со знаком вопроса внутри. Он появляется сразу после окончания установки брандмауэра и является одним из простейших способов получения доступа к управляющим элементам брандмауэра, настройкам и записям Журнала событий. Значок может менять свой вид в зависимости от текущей политики брандмауэра.

Политики брандмауэра

Один из самых полезных и важных параметров Outpost – политика брандмауэра. Политика задает, каким образом Outpost будет контролировать доступ вашего компьютера к Интернету или другой любой сети, к которой он подключен.

Outpost может действовать согласно одной из следующих политик:

1. Запрещать. Блокирует все соединения.

2. Блокировать. Блокирует все соединения кроме тех, которые были явно разрешены глобальными правилами или правилами для приложения.

3. Режим обучения. Помогает создать правила для взаимодействия приложения с сетью при первом запуске приложения.

4. Разрешать. Разрешает все соединения кроме тех, которые были явно запрещены глобальными правилами или правилами для приложения.

5. Отключить. Разрешает все соединения.

Чтобы изменить текущую политику брандмауэра: щелкните кнопку ПАРАМЕТРЫ на панели инструментов. Выберите закладку ПОЛИТИКИ. Выберите соответствующий значок и щелкните OK.

Настройка сетевого доступа для приложений

Один из основных принципов работы Outpost – предоставление доступа к сети процессам и приложениям, согласно действующим правилам для приложений. Это позволяет задать гибкий доступ к сети и гарантирует, что ни один из процессов не получит неавторизованного доступа в сеть (т.е. доступа, не определенного ни одним из действующих правил).

Outpost создает список установленных приложений и автоматически устанавливает для них правила еще во время установки программы, но также предусматривает возможность модифицировать список приложений и правила для приложений вручную.

Управление списком приложений

Во время конфигурации брандмауэра обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам. Чтобы просмотреть список обнаруженных приложений, щелкните кнопку ПАРАМЕТРЫ на панели инструментов и выберите вкладку ПРИЛОЖЕНИЯ.

Согласно установкам Outpost, каждое приложение может относиться к одной из трех групп.

1. Запрещенные приложения. Любая сетевая активность приложений, относящихся к этой группе, блокируется. Рекомендуется добавлять в эту группу приложения, не требующие доступа в сеть Интернет, такие как текстовые редакторы, калькуляторы и т.п.

2. Пользовательский уровень. Этим приложениям Outpost разрешает доступ в сеть на основании стандартных и созданных вами вручную правил. Этим приложениям разрешен только определенный вид сетевой активности. Во время установки и создания конфигурации брандмауэра, Outpost автоматически обнаруживает установленные приложения и создает для них набор стандартных правил. Рекомендуется помещать большинство приложений, не обнаруженных брандмауэром, в эту группу.

3. Доверенные приложения. Приложениям, относящимся к этой группе, разрешена любая сетевая активность. Не рекомендуется включать сюда приложения, в полной безопасности которых вы не совсем уверены.

Вы можете изменить статус приложения и процесса, просто перетащив их в нужную категорию.

Также вы можете управлять списком приложений, добавляя приложения вручную и удаляя их. Для того чтобы добавить приложение, щелкните кнопку ДОБАВИТЬ. Вам будет предложено найти нужное приложение в появившемся окне. После того, как вы добавите файл, на экране появится окно диалога Правила, в котором можно будет задать правила для нового приложения. После того, как правила будут установлены, щелкните OK и добавленное приложение появится в группе Пользовательский уровень.

Настройка правил для приложений

Чтобы увидеть список существующих правил для приложения, щелкните ПАРАМЕТРЫ на панели инструментов, выберите вкладку ПРИЛОЖЕНИЯ, выберите приложение и щелкните РЕДАКТИРОВАТЬ ПРАВИЛА (или СОЗДАТЬ ПРАВИЛО, чтобы создать правило для Запрещенных или Доверенных приложений) в меню ИЗМЕНИТЬ. На экране появится диалог Правила, в котором вы сможете изменять существующие правила для выбранного приложения и создавать новые.

Добавление нового правила

Чтобы создать новое правило, щелкните СОЗДАТЬ в окне диалога ПРАВИЛА. В редакторе правил вам нужно будет задать соответствующие параметры для вашего приложения. Укажите: событие для правила, критерии и описание правила, действия для данного правила (например, разрешить или блокировать данные). Щелкните OK, чтобы сохранить правило. Правило отобразится в списке. Расшифровка выбранного правила отображается в нижней части окна диалога.

Добавление правила на основе стандартного

Позволяет брандмауэру создавать стандартные наборы правил для приложения. Например, если вы используете редко встречающийся браузер, который не был обнаружен брандмауэром во время установки, нет необходимости создавать все правила вручную. Просто щелкните кнопку СТАНДАРТНЫЕ в окне диалога ПРАВИЛА для этой программы и выберите BROWSER в выпадающем меню. Все необходимые правила для данного типа приложения будут добавлены автоматически.

Изменение существующих правил

Для того чтобы изменить уже существующее правило, выделите его в списке и щелкните ИЗМЕНИТЬ. Внесите требуемые изменения, следуя приведенной выше инструкции, и щелкните OK, чтобы сохранить изменения.

Выбранные правила активны (включены) и обрабатываются брандмауэром. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок.

Правила выполняются по порядку сверху вниз. Помните, что Outpost выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками ВВЕРХ/ВНИЗ.