Опубликован: 29.04.2006 | Доступ: свободный | Студентов: 11894 / 1950 | Оценка: 4.30 / 3.92 | Длительность: 28:09:00
ISBN: 978-5-9570-0039-6
Лекция 5:

Подключения к рабочим группам

ICS в рабочей группе

Многие организации обеспечивают безопасность своих сетей с помощью защитного экрана (firewall), установленного между локальной сетью и интернетом. Обычно такие устройства располагаются в одном помещении с сервером, где они отфильтровывают все нежелательные проникновения, атаки и тому подобную информацию. В Windows XP Professional есть своя система защиты. Не такая выносливая, как автономное устройство, программа брандмауэр подключения к интернету (Internet Connection Firewall, ICF) является инструментом, ограничивающим информацию, которой обменивается ваше устройство и интернет.

Особенно эффективен ICF при работе с ICS. Используя ICF на своем ICS-сервере, вы защищаете ICS-клиентов от нападения. Несмотря на то что ICF, в основном, применяется в ICS-сетях, эта защита весьма эффективна и для отдельных компьютеров, соединенных с интернетом.

Обзор ICF

ICF является системой защиты, отслеживающей все аспекты работы линии связи и проверяющей все исходные и конечные адреса информационных пакетов. Для предотвращения попадания нежелательного трафика в вашу сеть из интернета ICF содержит список всех соединений исходного компьютера. Входящий трафик сравнивается с данными этой таблицы. При несовпадении данных входящие пакеты блокируются. Это препятствует таким атакам хакеров, как сканирование портов. ICF не надоедает пользователю сообщениями о каждом нежелательном действии, вместо этого записи о работе ICF ведутся в специальном журнале безопасности.

Примечание. Общий доступ к подключению к интернету и брандмауэр подключения к интернету отсутствуют в системе Windows XP 64-Bit Edition.

Однако не весь непредусмотренный трафик обязательно является вредным. Поэтому ICF можно сконфигурировать таким образом, чтобы пропускать сообщения и направлять их в соответствующее устройство. Например, при наличии веб-сервера ICF может отправлять информационные пакеты на этот сервер.

Использование ICF

ICF не следует включать там, где нет интернет-соединения. Например, если ICF работает на ICS-клиенте (а не на ICS-сервере), то связь между этим компьютером и остальными компьютерами сети будет нарушена. Именно поэтому мастер установки сети не включает ICF в частных соединениях между ICS-сервером и ICS-клиентами. В противном случае эти соединения оказались бы заблокированными.

Примечание. Если у вас уже имеется брандмауэр или прокси-сервер, то в ICF нет необходимости.

Посмотрите на сеть, изображенную на рис. 5.11. В этой конфигурации есть два места, где следует применить ICF. Во-первых, в соединении между ICF-сервером и ISP. Во-вторых, один из ICS-клиентов имеет свое собственное интернет-соединение. Применив ICF в интернет-соединении (но не в частной линии между ICS-сервером и ICS-клиентом), можно отфильтровывать нежелательные пакеты. Без применения ICF в этих местах сеть станет уязвимой для атаки.

Размещение ICF

Рис. 5.11. Размещение ICF

ICF-несовместимость

На первый взгляд ICF может показаться весьма полезным инструментом для предотвращения атак на сеть. И до некоторой степени так оно и есть. Однако в связи с тем, что ICF блокирует любой пакет, неожиданно приходящий в сеть, работа некоторых приложений типа электронной почты или онлайнового чата может стать проблематичной. Это случается потому, что программы электронной почты типа Outlook Express ожидают некоторое время, перед тем как запросить почтовый сервер. Это неплохо, так как ICF сделает запись в своей таблице о том, что почтовая программа отправила пакет на почтовый сервер. Когда данные возвращаются с почтового сервера, ICF уже имеет запись в таблице и пропускает обратное сообщение.

С другой стороны, Outlook Express устанавливает соединение с Microsoft Exchange Server. Используя удаленный вызов процедуры (RPC), сервер рассылает сообщения своим клиентам о поступлении новой почты. Так как в таблице ICF нет записи о том, что клиент инициировал контакт, то система заблокирует RPC-уведомление. Это не означает потерю почтовых данных. Они будут по-прежнему сохраняться на Exchange Server, однако клиенты должны будут проверять почту вручную.

Ведение журналов

Для просмотра списка пакетов, не пропущенных системой ICF, откройте журнал безопасности ICF. Для этого проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Internet Connections (Подключение к интернету) и выберите Network Connections (Сетевые подключения).
  2. Щелкните на соединении, для которого включена система ICF.
  3. В Network Tasks (Сетевые задачи) щелкните на опции Change settings for this connection (Изменение настроек выбранных подключений).
  4. На вкладке Advanced (Дополнительно) щелкните на Settings (Настройка).
  5. На вкладке Security Logging (Запись в журнал событий безопасности) в области Log file options (Параметры файла журнала) поля Name (Имя) выберите Browse (Обзор).
  6. Найдите файл pfirewall.log. Щелкните на нем правой кнопкой мыши и выберите Open.

Ведение журналов можно настроить для записи как запрещенного, так и разрешенного трафика. Если опция Allow incoming request echo (Разрешить отклик на входящий запрос) протокола ICMP не включена, то входящий пакет будет заблокирован, и в журнале будет сделана запись.

Существует целый ряд опций ICMP (расположенных на вкладке ICMP диалогового окна Advanced Settings [Дополнительные параметры], которое вы открывали, проделывая шаги 1 - 4, чтобы найти журнал безопасности), которые можно использовать. Эти опции позволяют регулировать функциональность ICF и включают в себя следующее.

  • Разрешить пересылку.
  • Разрешить входящий запрос о временной метке.
  • Разрешить входящий запрос маршрутизатора.

Вы можете управлять величиной журнала безопасности, чтобы он не переполнялся запросами, которым отказано в обслуживании. Также можно устанавливать те сервисы, которыми вы собираетесь пользоваться на своем Windows XP Professional-устройстве.

Конфигурация ICF

Включать и отключать ICF очень просто. Проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск/Панель управления) и щелкните дважды на Network Connections (Сетевые подключения).
  2. Щелкните на том интернет-соединении, которое вы хотите защитить с помощью ICF.
  3. В окне Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).

На вкладке Advanced (Дополнительно) можно включать ICF отметкой флажка Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мое подключение к интернету).

Лиана Дронова
Лиана Дронова

Добрый день! Я записывалась на курс "Системное администрирование" в апреле, цена была 1 рубль. Пройти не смогла по причине декретного отпуска, зашла на обучение, сдала несколько экзаменов и только сейчас увидела стоимость 9900 рублей. Скажите пожалуйста как я буду обучаться и по поводу оплаты. Спасибо! 

Юрий Гребенкин
Юрий Гребенкин