Інструкція до лабораторної роботи № 24

Настроювання параметрів безпеки браузера. Настроювання та використання брандмауера

Мета роботи: Ознайомитися з прийомами налагодження і використання міжмережного екрана (МЕ) у MS Windows XP.

Короткі теоретичні відомості

Брандмауер - це система безпеки, що діє як захисний бар'єр між мережею і зовнішнім світом. Брандмауер підключення до Інтернету (Internet Connection Firewall, ICF) - це програмний засіб, використовуваний для налагодження обмежень, регулюючих обмін даними між Інтернетом і домашньою або невеликою офісною мережею.

Якщо в мережі використовується служба загального доступу до підключення Інтернету (Internet Connection Sharing, ICS), що забезпечує доступ в Інтернет відразу для декількох комп'ютерів, на цьому загальному підключенні до Інтернету потрібно активізувати брандмауер ICF. Втім, ICS і ICF можна включати незалежно один від одного. Брандмауер ICF необхідно встановити для будь-якого комп'ютера, що має пряме підключення до Інтернету.

Брандмауер ICF також захищає одиночні комп'ютери, підключені до Інтернету. Якщо комп'ютер підключений до Інтернету за допомогою кабельного модему, модему DSL або модему віддаленого доступу, брандмауер ICF забезпечить захист цього підключення. Не рекомендується використовувати ICF на підключеннях VPN, оскільки це створюватиме перешкоди для роботи механізму загального доступу до файлів і інших функцій VPN.

Опис роботи брандмауера підключення до Інтернету

ICF належить до категорії так званих брандмауерів, які реєструють стан зв'язку. Такі брандмауери відстежують всі характеристики трафіку,що передається через них, і перевіряють початкову адресу і адресу призначення в кожному оброблюваному повідомленні. Щоб захистити приватне середовище мережі даних, що надходять із загальнодоступного боку підключення без запиту, брандмауер підключення до Інтернету веде таблицю всіх вихідних сеансів зв'язку, ініційованих з комп'ютера ICF. У разі одиночного комп'ютера ICF контролює його вихідний трафік. Якщо брандмауер ICF використовується у поєднанні із службою ICS, то він відстежує весь трафік, що відправляється з комп'ютера ICF/ICS, а також весь трафік, що виходить з комп'ютерів приватної мережі. Весь вхідний трафік з Інтернету перевіряється по записах таблиці брандмауера. Цей трафік пропускається на комп'ютери мережі тільки тоді, коли в таблиці є відповідний запис, який показує, що обмін даними був ініційований з даного комп'ютера або з приватної мережі.

Сеанси зв'язку, які ініціюються з джерел, що знаходяться із зовнішнього боку комп'ютера ICF, наприклад з Інтернету, припиняються брандмауером (окрім випадків, якщо на вкладці Службы зроблений запис, який дає можливість здійснити таке з'єднання). Брандмауер ICF не посилає користувачеві ніяких повідомлень, а просто перериває передачу даних, які він не запитував; в такийспосіб можна зупинити багато поширених видів атак, наприклад сканування портів. Повідомлення про подібні події довелося б направляти досить часто, що сильно відволікало б від роботи. Натомість брандмауер може вести журнал безпеки, записуючи в нього всі необхідні відомості про спостережувану активність.

Служби можна налагоджувати так, щоб дозволити комп'ютеру ICF пересилати в приватну мережу дані, що поступають з Інтернету без запиту. Наприклад, якщо на комп'ютері ICF включена служба веб-сервера HTTP, трафік незапитаних даних HTTP прямуватиме комп'ютером ICF на веб-сервер HTTP. Для того щоб пропускати незапитаний вхідний трафік на веб-сервер приватної мережі, брандмауеру підключення до Інтернету потрібний набір операційних параметрів під назвою визначення служби (див. Додавання визначення служби і Загальні відомості про визначення служб).

 

Хід роботи

1. Налагодити МЕ підключення до Інтернету.

1.1. Включити МЕ підключення до Інтернету.

Включення (відключення) брандмауера підключення до Інтернету

1. Відкрийте компонент Сетевые подключения.

2. Виділіть підключення віддаленого доступу, підключення по локальній мережі або високошвидкісне підключення до Інтернету, яке потрібно захистити брандмауером, і потім в групі Типичные сетевые задачи клацніть посилання Изменение настроек отдельного подключения.

3. На вкладці Дополнительные параметры в групі Брандмауер підключенню до Інтернету виконати одну з наступних дій.

o Щоб включити брандмауер підключення до Інтернету (ICF), встановіть прапорець Защитить мое подключение к Интернету.

o Щоб відключити брандмауер підключення до Інтернету, зніміть прапорець Защитить мое подключение к Интернету.

Примітки

· Щоб відкрити папку Сетевые подключения, натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.

· Якщо зняти прапорець Защитить мое подключение к Интернету, брандмауер на комп'ютері перестає діяти, і мережа стає уразливою для проникнення ззовні.

· Брандмауер підключення до Інтернету не треба встановлювати на підключеннях віртуальних приватних мереж (VPN) і на клієнтських комп'ютерах, оскільки він створюватиме перешкоди для загального доступу до файлів і принтерів.

· Брандмауер ICF не можна активізувати на приватних підключеннях головного комп'ютера загального доступу до підключення Інтернету.

1.2. Включити параметри протоколу ICMP.

Включення параметрів протоколу ICMP

1. Відкрийте компонент Сетевые подключения.

2. Виділіть підключення, захищене брандмауером підключення до Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Смена настроек отдельного подключения.

3. На вкладці Дополнительные параметры натисніть кнопку Настройка.

4. На вкладці ICMP встановіть прапорці для тих типів запитів відомостей, на які вибраний комп'ютер повинен буде відповідати.

Примітки

· Щоб відкрити папку Сетевые подключения, натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.

· За умовчанням всі параметри протоколів ICMP (Internet Control Message Protocol) відключені. При включенні параметрів ICMP мережа може стати доступною з Інтернету і тому уразливішою.

1.3. Додати визначення служби.

Додавання визначення служби

1. Відкрийте компонент Сетевые подключения.

2. Виділіть загальне підключення або підключення до Інтернету, захищене брандмауером підключення Інтернету, і потім в групі Задачи клацніть посилання Изменение настроек отдельного подключения.

3. На вкладці Дополнительные параметры натисніть кнопку Настройка.

4. На вкладці Службы натисніть кнопку Добавить і введіть наступні відомості.

o У полі Описание службы введіть ім'я служби; використовуйте легко впізнанні імена.

o У полі Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба введіть ім'я або IP-адресу комп'ютера мережі, на якому встановлена дана служба.

o У полі Номер внутреннего порта службы введіть номер порту, використовуваного службою в мережі.

o Встановіть перемикач в положення TCP або UDP.

Примітки

· Щоб відкритипапку Сетевые подключения, натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.

· Для додавання служб потрібно, щоб був включений загальний доступ до підключення Інтернету або брандмауер підключення до Інтернету.

· Правильні значення номерів портів TCP або UDP можна дізнатися в документації по даній службі або на її веб-вузлі.

· Щоб дістати доступ до вкладки Службы системи Windows XP на клієнтському комп'ютері, що працює під управлінням Windows 98, Windows 98 Second Edition або Windows Millennium Edition, запустити на ньому майстер налагодження мережі, використовуючи компакт-диск або гнучкий диск Windows XP. Коли майстер закінчить роботу, натисніть на клієнтському комп'ютері кнопку Пуск і виберіть послідовно команди Стандартные, Связь і Шлюз Интернета. У діалоговому вікні Состояние натисніть кнопку Свойства і потім перейдіть на вкладку Службы.

1.4. Змінити визначення служби.

Зміна визначення служби

1. Відкрийте компонент Сетевые подключения.

2. Виділіть загальне підключення або підключення до Інтернету, захищене брандмауером підключення Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Изменение настроек отдельного подключения.

3. На вкладці Дополнительные параметры натисніть кнопку Настройка.

4. На вкладці Службы натисніть кнопку Змінити і зміните будь-які з наступних значень.

o У полі Имя або IP-адрес комп'ютера вашої мережі, на якому розташовується ця служба введіть ім'я або IP-адресу комп'ютера мережі, на якому встановлена дана служба.

o У полі Номер внешнего порта службы введіть номер порту, який повинен буде використовуватися зовнішніми комп'ютерами для доступу до служби.

o У полі Номер внутреннего порта службы введіть номер порту, використовуваного службою в мережі.

o Встановіть перемикач в положення TCP або UDP.

Примітки

· Щоб відкритипапку Сетевые подключения, натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.

· У визначеннях служб, що створюються за умовчанням, можна змінювати тільки поле Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба.

· У визначеннях служб, створених користувачем, можна змінювати тільки поля Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба, Номер внешнегого порта службы і Номер внутреннего порта службы.

· Правильні значення номерів портів TCP або UDP можна дізнатися в документації по даній службі або на її веб-вузлі.

· Ніякі два визначення служб не можуть одночасно використовувати одні і ті ж номери портів або значення діапазонів.

· Для зміни визначення служби потрібний, щоб був включений загальний доступ до підключення Інтернету або брандмауер підключення до Інтернету.

· Щоб дістати доступ до вкладки Службы системи Windows XP на клієнтському комп'ютері, що працює під управлінням Windows 98, Windows 98 Second Edition або Windows Millennium Edition, запустіть на ньому майстер налагодження мережі, використовуючи компакт-диск або гнучкий диск Windows XP. Коли майстер закінчить роботу, натисніть на клієнтському комп'ютері кнопку Пуск і виберіть послідовно команди Стандартные, Связь і Шлюз Интернета. У діалоговому вікні Состояние натисніть кнопку Свойства і потім перейдіть на вкладку Службы.

1.5. Включити параметри ведення журналу безпеки.