- •Практичне заняття № 4
- •1. Загальні відомості про компоненти домашньої або малої офісної мережі
- •1.1. Майстер налагодження мережі
- •1.2. Майстер створення підключення
- •1.3. Загальний доступ до підключення Інтернету
- •1.4. Брандмауер підключення до Інтернету
- •1.5. Мережний міст
- •1.6. Функція виявлення і контролю ics
- •2. Брандмауер підключення до Інтернету
- •2.1. Загальні відомості про брандмауер підключення до Інтернету
- •2.2. Опис роботи брандмауера підключення до Інтернету
- •2.3. Icf і з'єднання домашньої або невеликої офісної мережі
- •2.4. Icf і повідомлення
- •2.5. Додаткові параметри icf
- •3. Служби
- •4. Журнал безпеки брандмауера підключення до Інтернету
- •Заголовок журналу
- •Тіло журналу
2.2. Опис роботи брандмауера підключення до Інтернету
ICF належить до категорії так званих брандмауерів, які реєструють стан зв'язку. Такі брандмауери відстежують всі характеристики трафіку,що передається через них, і перевіряють початкову адресу і адресу призначення в кожному оброблюваному повідомленні. Щоб захистити приватне середовище мережі даних, що надходять із загальнодоступного боку підключення без запиту, брандмауер підключення до Інтернету веде таблицю всіх вихідних сеансів зв'язку, ініційованих з комп'ютера ICF. У разі одиночного комп'ютера ICF контролює його вихідний трафік. Якщо брандмауер ICF використовується у поєднанні із службою ICS, то він відстежує весь трафік, що відправляється з комп'ютера ICF/ICS, а також весь трафік, що виходить з комп'ютерів приватної мережі. Весь вхідний трафік з Інтернету перевіряється по записах таблиці брандмауера. Цей трафік пропускається на комп'ютери мережі тільки тоді, коли в таблиці є відповідний запис, який показує, що обмін даними був ініційований з даного комп'ютера або з приватної мережі.
Сеанси зв'язку, які ініціюються з джерел, що знаходяться із зовнішнього боку комп'ютера ICF, наприклад з Інтернету, припиняються брандмауером (окрім випадків, якщо на вкладці Службы зроблений запис, який дає можливість здійснити таке з'єднання). Брандмауер ICF не посилає користувачеві ніяких повідомлень, а просто перериває передачу даних, які він не запитував; в такийспосіб можна зупинити багато поширених видів атак, наприклад сканування портів. Повідомлення про подібні події довелося б направляти досить часто, що сильно відволікало б від роботи. Натомість брандмауер може вести журнал безпеки, записуючи в нього всі необхідні відомості про спостережувану активність.
Служби можна налагоджувати так, щоб дозволити комп'ютеру ICF пересилати в приватну мережу дані, що поступають з Інтернету без запиту. Наприклад, якщо на комп'ютері ICF включена служба веб-сервера HTTP, трафік незапитаних даних HTTP прямуватиме комп'ютером ICF на веб-сервер HTTP. Для того щоб пропускати незапитаний вхідний трафік на веб-сервер приватної мережі, брандмауеру підключення до Інтернету потрібний набір операційних параметрів під назвою визначення служби (див. Додавання визначення служби і Загальні відомості про визначення служб).
2.3. Icf і з'єднання домашньої або невеликої офісної мережі
Брандмауер ICF небажано активізувати на підключенні, яке не веде прямо в Інтернет. Якщо брандмауер включений для мережного адаптера клієнтського комп'ютера ICS, він заважатиме нормальному обміну даними між цим комп'ютером і рештою комп'ютерів мережі. З цієї ж причини майстер налагодження мережі не дає можливості встановлювати ICF на приватному підключенні головного комп'ютера ICS, яке пов'язує його з комп'ютерами клієнтів ICS, оскільки в цьому випадку брандмауер повністю блокує мережний трафік.
Брандмауер підключення до Інтернету не потрібний, якщо в мережі вже встановлений брандмауер або проксі-сервер.
Якщо в мережі є тільки одне загальне підключення до Інтернету, його потрібно захистити за допомогою брандмауера ICF. Окремі клієнтські комп'ютери також можуть бути оснащені адаптерами (такими, як модем віддаленого доступу або модем DSL), які забезпечують індивідуальні підключення до Інтернету і стають уразливими без захисту брандмауера. Брандмауер ICF може перевіряти тільки трафік, що проходить через те підключення до Інтернету, на якому він активізований. Оскільки ICF діє тільки на одному підключенні, для забезпечення захисту мережі в цілому його необхідно включити на всіх комп'ютерах, підключених до Інтернету. Якщо брандмауер встановлений на підключенні головного комп'ютера ICS, але який-небудь клієнтський комп'ютер з прямим виходом в Інтернет не використовує брандмауер для захисту, мережа буде доступна для проникнення через це незахищене підключення.
Визначення служб, що дають можливість службам працювати під захистом брандмауера підключення до Інтернету, також задаються для кожного підключення окремо. Якщо в мережі декілька підключень використовують брандмауер, необхідно скласти визначення служби для кожного підключення, на якому повинна діяти ця служба.