Лабораторна робота №4, Використання міжмережного екрану MS Windows XP
Код роботи: 1054
Вид роботи: Лабораторна робота
Предмет: Мережева безпека
Тема: №4, Використання міжмережного екрану MS Windows XP
Кількість сторінок: 14
Дата виконання: 2016
Мова написання: українська
Ціна: 150 грн
Мета: Ознайомитися з прийомами налагодження і використання міжмережного екрану (МЕ) у MS Windows XP.
Зауваження
1. Для виконання завдання лабораторної роботи потрібно зайти в систему з обліковим записом «Администратор» або як член групи «Администраторы».
2. Якщо комп’ютер підключений до мережі, то параметри мережної політики можуть обмежити виконання цієї роботи.
3. Засоби «Общий доступ к подключению к Интернету», «Брандмауэр подключения к Интернету», функція виявлення і контролю і «Сетевой мост» недоступні в 64-розрядному виданні Windows XP.
Теоретичні відомості
1. Загальні відомості про компоненти домашньої або малої офісної мережі
1.1. Майстер налагодження мережі
У Windows XP створення домашньої або малої офісної мережі помітно спрощується завдяки наявності спеціального майстра. Встановивши все необхідне мережне устаткування і з'єднавши комп'ютери один з одним, запустите Мастер настройки сети.
При використанні засобу загального доступу до підключення Інтернету (Internet Connection Sharing, ICS) майстер спочатку повинен бути запущений на вузловому комп'ютері ICS. Під час роботи майстра потрібно вибрати підключення, яке використовуватиметься для доступу в Інтернет, після чого буде активізовано засіб ICS і брандмауер підключення до Інтернету (Internet Connection Firewall, ICF).
Через цей комп'ютер проходитиме весь трафік з Інтернету на решту комп'ютерів мережі. Після виконання майстра налагодження мережі на комп'ютері вузла ICS запустите цей майстер на решті (званих клієнтськими) комп'ютерів мережі. Отримавши відповіді на декілька основних питань, майстер набудує комп'ютери для роботи в мережі.
1.2. Майстер створення підключення
Майстер створення підключення Windows XP дає можливість швидко встановлювати наступні підключення: до Інтернету, віддаленого доступу, віртуальної приватної мережі, що входять і прямі.
Мастер новых подключений замінює майстер підключення до Інтернету, який використовувався в попередніх версіях Windows. Майстер створення нового підключення спрощує установку підключення до Інтернету, що використовує модем для комутованої лінії, модем DSL (digital subscriber line – цифрова абонентська лінія) або кабельний модем.
Для створення нового підключення відкрийте компонент Сетевые подключения. У списку Типичные сетевые задачи клацніть посилання Создание нового подключения. За допомогою майстра виконати процедуру створення підключення.
Підключення локальної мережі автоматично створюються при установці мережного адаптера на комп'ютері. Встановивши адаптер, можна налагодити його для доступу в Інтернет або для зв'язку з домашньою або малою офісною мережею.
1.3. Загальний доступ до підключення Інтернету
Засіб загального доступу до підключення Інтернету (Internet Connection Sharing, ICS) дає можливість декільком комп'ютерам користуватися одним підключенням для доступу в Інтернет. Один з комп'ютерів, званий вузлом ICS, підключається безпосередньо до Інтернету і надає це підключення в загальний доступ решті комп'ютерів мережі.
Клієнтські комп'ютери дістають доступ в Інтернет через вузловий комп'ютер. При включенні засобу ICS система безпеки мережі зміцнюється, оскільки в Інтернеті представлений тільки комп'ютер вузла ICS.
Будь-які дані, що направляються клієнтськими комп'ютерами в Інтернет, повинні будуть пройти через вузол ICS, а адреси клієнтських комп'ютерів залишаться прихованими для глобальної мережі. Таким чином клієнтські комп'ютери захищені, оскільки доступ до них ззовні локальній мережі неможливий. З боку Інтернету видно тільки комп'ютер, на якому запущений засіб ICS.
Крім того, вузловий комп'ютер ICS управляє мережною адресацією. Він привласнює собі постійну адресу і надає клієнтам ICS послуги з протоколу динамічного налагодження вузлів (Dynamic Host Configuration Protocol, DHCP), призначаючи кожному з них унікальні адреси і забезпечуючи таким чином взаємодію комп'ютерів в мережі.
1.4. Брандмауер підключення до Інтернету
Windows XP забезпечує для невеликих мереж, підключених до Інтернету, додатковий захист у вигляді брандмауера (міжмережного екрану, файрволу). Брандмауер підключення до Інтернету захищає комп'ютер, на якому він включений. У більшості домашніх або малих офісних мереж таким комп'ютером є вузловий комп'ютер ICS, проте брандмауер можна встановити на будь-якому підключенні до Інтернету.
Брандмауер перевіряє весь трафік, що передається між Інтернетом і комп'ютером, і фільтрує отримувані дані. При цьому брандмауер захищає систему комп'ютера, вирішуючи або забороняючи передавати адресовані на цей комп'ютер дані.
1.5. Мережний міст
Мережні мости спрощують установку і налагодження невеликих мереж, що складаються з мережних пристроїв різних типів, таких, як адаптери Ethernet, HPNA та IEEE 1394, а також адаптери бездротової мережі. Пристрої кожного типу утворюють свій мережний сегмент. Використовуючи мережні мости між сегментами різних типів, можна створити єдину підмережу в домашній або малій офісній мережі.
Мережні мости забезпечують підвищену гнучкість, надаючи можливість використовувати різні види мережної інфраструктури і автоматизуючи складні процедури налагодження конфігурації, які зазвичай потрібні для мережі змішаного типу.
При запуску майстер налагодження мережі перевіряє, скільки мережних адаптерів встановлено на комп'ютері. Якщо їх декілька, він пропонує створити мережний міст. До мережного мосту небажано підключати мережні адаптери, підключені до Інтернету, наприклад адаптер Ethernet, сполучений із зовнішнім модемом DSL або кабельним модемом.
1.6. Функція виявлення і контролю ICS
Засіб загального доступу до підключення Інтернету (ICS) підтримує функцію виявлення і контролю, що дає можливість клієнтам ICS отримувати у віддаленому режимі доступ до даних про підключення мережі до Інтернету. Функція виявлення і контролю ICS використовує технологію Universal Plug and Play (UPnP). Клієнти ICS можуть знаходити вузол ICS, контролювати стан підключення цього комп'ютера до постачальника послуг Інтернету і проглядати основні статистичні дані про роботу цього підключення.
2. Брандмауер підключення до Інтернету
2.1. Загальні відомості про брандмауер підключення до Інтернету
Брандмауер (міжмережний екран, файрвол) це система безпеки, що діє як захисний бар'єр між мережею і зовнішнім світом. Брандмауер підключення до Інтернету (Internet Connection Firewall, ICF) — це програмний засіб, використовуваний для налагодження обмежень, регулюючих обмін даними між Інтернетом і домашньою або невеликою офісною мережею.
Якщо в мережі використовується служба загального доступу до підключення Інтернету (Internet Connection Sharing, ICS), що забезпечує доступ в Інтернет відразу для декількох комп'ютерів, на цьому загальному підключенні до Інтернету потрібно активізувати брандмауер ICF. Втім, ICS і ICF можна включати незалежно один від одного. Брандмауер ICF необхідно встановити для будь-якого комп'ютера, що має пряме підключення до Інтернету.
Брандмауер ICF також захищає одиночні комп'ютери, підключені до Інтернету. Якщо комп'ютер підключений до Інтернету за допомогою кабельного модему, модему DSL або модему віддаленого доступу, брандмауер ICF забезпечить захист цього підключення. Не рекомендується використовувати ICF на підключеннях VPN, оскільки це створюватиме перешкоди для роботи механізму загального доступу до файлів і інших функцій VPN.
2.2. Опис роботи брандмауера підключення до Інтернету
ICF відноситься до категорії так званих брандмауерів, які реєструють стан зв'язку. Такі брандмауери відстежують всі характеристики трафіку, що передається через них, і перевіряють початкову адресу і адресу призначення в кожному оброблюваному повідомленні. Щоб захистити приватне середовище мережі даних, що надходять із загальнодоступного боку підключення без запиту, брандмауер підключення до Інтернету веде таблицю всіх вихідних сеансів зв'язку, ініційованих з комп'ютера ICF.
У разі одиночного комп'ютера ICF контролює його вихідний трафік. Якщо брандмауер ICF використовується у поєднанні із службою ICS, то він відстежує весь трафік, що відправляється з комп'ютера ICF/ICS, а також весь трафік, що виходить з комп'ютерів приватної мережі. Весь вхідний трафік з Інтернету перевіряється по записах таблиці брандмауера. Цей трафік пропускається на комп'ютери мережі тільки в тому випадку, якщо в таблиці є відповідний запис, що показує, що обмін даними був ініційований з даного комп'ютера або з приватної мережі.
Сеанси зв'язку, які ініціюються з джерел, що знаходяться із зовнішнього боку комп'ютера ICF, наприклад з Інтернету, припиняються брандмауером (окрім випадків, якщо на вкладці Службы зроблений запис, що дає можливість здійснити таке з'єднання).
Брандмауер ICF не посилає користувачеві ніяких повідомлень, а просто перериває передачу даних, які він не запитував; таким чином можна зупинити багато поширених видів атак, наприклад сканування портів. Повідомлення про подібні події довелося б направляти достатньо часто, що сильно відволікало б від роботи. Натомість брандмауер може вести журнал безпеки, записуючи в нього всі необхідні відомості про спостережувану активність.
Служби можна налагоджувати так, щоб дозволити комп'ютеру ICF пересилати в приватну мережу дані, що поступають з Інтернету без запиту. Наприклад, якщо на комп'ютері ICF включена служба веб-сервера HTTP, трафік незапитаних даних HTTP прямуватиме комп'ютером ICF на веб-сервер HTTP. Для того, щоб пропускати незапитаний вхідний трафік на веб-сервер приватної мережі, брандмауеру підключення до Інтернету потрібний набір операційних параметрів, під назвою визначення служби. (Див. Додавання визначення служби і Загальні відомості про визначення служб).
2.3. ICF і з'єднання домашньої або невеликої офісної мережі
Брандмауер ICF небажано активізувати на підключенні, яке не веде прямо в Інтернет. Якщо брандмауер включений для мережного адаптера клієнтського комп'ютера ICS, він заважатиме нормальному обміну даними між цим комп'ютером і рештою комп'ютерів мережі. З цієї ж причини майстер налагодження мережі не дає можливості встановлювати ICF на приватному підключенні головного комп'ютера ICS, яке пов'язує його з комп'ютерами клієнтів ICS, оскільки в цьому випадку брандмауер повністю блокує мережний трафік.
Брандмауер підключення до Інтернету не потрібний, якщо в мережі вже встановлений брандмауер або проксі-сервер.
Якщо в мережі є тільки одне загальне підключення до Інтернету, його потрібно захистити за допомогою брандмауера ICF. Окремі клієнтські комп'ютери також можуть бути оснащені адаптерами (такими, як модем віддаленого доступу або модем DSL), які забезпечують індивідуальні підключення до Інтернету і стають уразливими без захисту брандмауера. Брандмауер ICF може перевіряти тільки трафік, що проходить через те підключення до Інтернету, на якому він активізований.
Оскільки ICF діє тільки на одному підключенні, для забезпечення захисту мережі в цілому його необхідно включити на всіх комп'ютерах, підключених до Інтернету. Якщо брандмауер встановлений на підключенні головного комп'ютера ICS, але який-небудь клієнтський комп'ютер з прямим виходом в Інтернет не використовує брандмауер для захисту, мережа буде доступна для проникнення через це незахищене підключення.
Визначення служб, що дають можливість службам працювати під захистом брандмауера підключення до Інтернету, також задаються для кожного підключення окремо. Якщо в мережі декілька підключень використовують брандмауер, необхідно скласти визначення служби для кожного підключення, на якому повинна діяти ця служба.
2.4. ICF і повідомлення
Оскільки брандмауер підключення до Інтернету перевіряє всі вхідні з'єднання, його включення може впливати на режим роботи деяких програм, особливо програм електронної пошти. Деякі програми для отримання нових повідомлень періодично опитують свій сервер електронної пошти, а інші програми можуть бути налаштовані на очікування повідомлення від сервера.
Наприклад, Outlook Express автоматично перевіряє наявність нових повідомлень по команді таймера. За наявності нової пошти Outlook Express відправляє користувачеві повідомлення.
Брандмауер підключення до Інтернету не впливає на роботу даної програми, оскільки запит на повідомлення про наявність нової пошти не проходить через брандмауер. Брандмауер створює в таблиці запис про вихідне з'єднання. Коли поштовий сервер підтвердить отримання відповіді про наявність нової пошти, брандмауер знайде відповідний запис в таблиці і дозволить проходження даного з'єднання, після чого користувач отримає повідомлення про надходження нової пошти.
Проте додаток Outlook 2000 підключається до сервера Microsoft Exchange, який розсилає клієнтам повідомлення про нову пошту за допомогою віддалених викликів процедур (RPC).
Outlook 2000 не виконує пошук нової пошти при підключенні до сервера Exchange. Сервер сповіщає додаток Outlook 2000 про надходження нової пошти. Оскільки повідомлення RPC ініціюється сервером Exchange, що знаходиться по той бік брандмауера, а не програмою Outlook 2000, розташованою з цього боку, ICF не може знайти відповідний запис в таблиці і забороняє проходження повідомлень RPC з Інтернету в домашню мережу. Повідомлення RPC відкидається. Користувачі можуть відправляти і отримувати електронну пошту, але вимушені вручну перевіряти надходження нової пошти.
2.5. Додаткові параметри ICF
Засіб ведення журналу безпеки ICF дає можливість записувати відомості про всі події, пов'язані з роботою брандмауера. Брандмауер підключення до Інтернету може реєструвати як той трафік, що пропускається, так і той, що відхиляється. Наприклад, за умовчанням брандмауер не пропускає вхідні echo-запити з Інтернету. Якщо для протоколу ICMP (Internet Control Message Protocol) параметр Разрешить входящий запрос эха не включений, вхідний запит відкидається, а в журнал заноситься запис про невдалу спробу входу. (Див. «Загальні відомості про файл журналу безпеки брандмауера підключення до Інтернету»).
Протокол ICMP дає можливість змінювати режим роботи брандмауера за допомогою різних параметрів ICMP, таких як Разрешить входящий запрос эха, Разрешить входящий запрос отметки времени, Разрешить входящий запрос маршрутизатора и Разрешать перенаправление. Короткі описи цих параметрів дані на вкладці ICMP. (Див. Включення параметрів ICMP).
Максимальний розмір журналу безпеки можна обмежити, щоб уникнути переповнювання, яке може бути викликане атаками типу «відмова в обслуговуванні» (DoS). Журнал створюється у форматі Extended Log File Format (розширений формат файлу журналу), стандарт на який встановлений організацією W3C (World Wide Web Consortium).
3. Служби
Служби запускаються явним чином і призначаються для підтримки інших програм. Прикладом служби є веб-сервер HTTP, що підтримує розміщення і супровід веб-сторінок з домашньої або невеликої офісної мережі. Якщо в мережі запущена служба веб-сервера HTTP, з її допомогою можна створювати власні веб-сторінки в Інтернеті.
Окрім веб-сервера, в мережі можна використовувати службу FTP для обміну файлами через Інтернет, поштовий сервер Інтернету для зберігання і розсилки електронної пошти, а також безліч інших служб.
Щоб забезпечити проходження трафіку з Інтернету на комп'ютер, на якому працює служба, необхідно включити службу в список Службы; для цього потрібно ввести дані про операційні параметри служби на вкладці Службы головного комп'ютера загального доступу до Інтернету (Internet Connection Sharing, ICS) або брандмауера підключення до Інтернету (Internet Connection Firewall, ICF).
До операційних параметрів відносяться параметри, необхідні для того, щоб брандмауер ICF дозволив проходження трафіку Інтернету в мережу, а засіб ICS — передачу даних через загальне підключення. Набір операційних параметрів називається «Визначенням служби», оскільки вони визначають конфігурацію необхідного середовища. Щоб додати нове визначення служби, необхідно ввести наступні відомості: опис служби, ім'я або IP-адреса комп'ютера, на якому працює служба, і номер порту TCP або UDP для служби.
Для ICS і ICF передбачено декілька стандартних, заздалегідь визначених служб. Прикладами таких служб є «Сервер FTP», «Поштовий сервер Інтернету», «Безпечний веб-сервер», «Сервер Telnet» і «Веб-сервер». Ці служби запускаються на комп'ютерах клієнтів ICS або на головному комп'ютері ICS або ICF.
У мережу можна додати нову службу, встановивши необхідне програмне забезпечення на одному з комп'ютерів мережі і потім додавши визначення служби, і тоді засоби ICS і ICF, якщо вони включені, забезпечать доступ до служби з Інтернету. Для заздалегідь створених служб у визначення необхідно включити тільки ім'я або IP-адресу комп'ютера, на якому запущена служба. Решта відомостей для цих служб, такі як опис служби і номер порту TCP або UDP, є вбудованими і не можуть бути змінені. ( Див. Зміна визначення служби).
4. Журнал безпеки брандмауера підключення до Інтернету
Для брандмауера підключення до Інтернету (Internet Connection Firewall, ICF) передбачений журнал безпеки, причому найбільш досвідчені користувачі можуть самі вибирати, які відомості потрібно заносити в журнал. Журнал безпеки ICF підтримує наступні можливості:
- Записывать пропущенные пакеты. Цей параметр задає запис в журнал відомостей про всі втрачені пакети, що виходять з домашньої або невеликої офісної мережі або з Інтернету.
- Записывать успешные подключения. Цей параметр задає запис в журнал відомостей про всі успішні підключення, ініційовані з домашньої або невеликої офісної мережі або з Інтернету.
Якщо встановити прапорець Записывать потерянные пакеты, збиратимуться відомості про кожен пакет, який намагався пройти через ICF, але був виявлений і знехтуваний брандмауером. Так, якщо параметри протоколу ICMP (Internet Control Message Protocol) не вирішують прийом вхідних echo-запитів, наприклад, що відправляються за допомогою команд Ping і Tracert, то echo-запит, що поступив ззовні мережі, буде відхилена, і в журналі з'явиться відповідний запис.
Якщо встановити прапорець Записывать успешные исходящие подключения, збиратимуться відомості про всі успішні підключення, що проходять через брандмауер. Наприклад, якщо користувач, що працює в мережі, успішно увійде на який-небудь веб-вузол за допомогою оглядача Internet Explorer, про це буде записано в журнал.
Журнал безпеки створюється у форматі Extended Log File Format (розширений формат файлу журналу), запропонованому організацією W3C; він аналогічний формату, використовуваному звичайними засобами аналізу журналів. (див. Перегляд журналу безпеки, Зміна шляху і імені файлу журналу безпеки).
Журнал безпеки брандмауера підключення до Інтернету складається з двох розділів.
У заголовку містяться зведення про версію журналу і полях, в які можна записувати дані. Вміст заголовка має вид статичного списку.
Тіло журналу безпеки є даними, що відкомпілювалися, які вводяться при виявленні трафіку, що намагається пройти через брандмауер. Поля журналу заповнюються зліва направо, як вони розташовані на сторінці. Тіло журналу безпеки є динамічний список; нові дані записуються в кінець журналу. Для того, щоб в журнал вводилися дані, необхідно вибрати хоч би один параметр ведення журналу або обидва параметри. (Див. Включення параметрів журналу безпеки).
За умовчанням ведення журналу безпеки ICF відключене.
У наступних таблицях описуються відомості, що зберігаються в журналі безпеки.
Таблиця 7.1
Заголовок журналу
|
Елемент |
Опис |
Приклад |
|
#Version: |
Номер встановленої версії журналу безпеки брандмауера підключення до Інтернету |
1.0 |
|
#Software: |
Ім'я журналу безпеки |
Брандмауер підключення до Інтернету Microsoft (ICF) |
|
#Time: |
Задає використання місцевого часу при записі в журнал відміток часу |
Місцеве |
|
#Fields: |
Статичний список полів, доступних для записів журналу безпеки за наявності даних |
date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, info |
Таблиця 7.2
Тіло журналу
|
Поле |
Опис |
Приклад |
|
date |
Рік, місяць і день реєстрації події. Дата представляється в наступному форматі: РР-ММ-ДД де РР позначає рік, ММ — місяць, а ДД — число |
2001-01-27 |
|
time |
Час реєстрації події з точністю до секунди. Час записується в наступному форматі: ГГ:ХХ:СС де ГГ позначає години в 24-годинному циклі, ХХ — хвилини, а СС — секунди |
21:36:59 |
|
action |
Операція, зареєстрована брандмауером. Можуть записуватися наступні дії: OPEN (відкриття), CLOSE (закриття), DROP (відхилення) і INFO-EVENTS-LOST (втрачені події). Для дії INFO-EVENTS-LOST указується число подій, які мали місце, але не були занесені в журнал. |
OPEN, CLOSE, DROP, INFO-EVENTS-LOST |
|
protocol |
Протокол, що використався для передачі даних. Якщо протокол відмінний від TCP, UDP і ICMP, в цьому полі указується число пакетів |
TCP, UDP, ICMP |
|
src-ip |
Початкова IP-адреса (адреса комп'ютера, що намагався встановити зв'язок). Записується в наступному форматі: (число).(число).(число).(число) |
192.168.0.1 |
|
dst-ip |
IP-адреса призначення (адреса пункту призначення, з яким початковий комп'ютер намагався встановити зв'язок). Записується в наступному форматі: (число).(число).(число).(число) |
192.168.0.1 |
|
src-port |
Номер початкового порту на комп'ютері-відправнику. Номер порту задається цілим числом в діапазоні від 1 до 65 535. Дійсне значення порту повертають тільки протоколи TCP і UDP. Решта всіх протоколів не підтримує параметр src-port, для них в цьому полі записується - (дефіс) |
4039 |
|
dst-port |
Порт комп'ютера призначення. Номер порту задається цілим числом в діапазоні від 1 до 65 535. Дійсне значення порту повертають тільки протоколи TCP і UDP. Решта всіх протоколів не підтримує параметр dst-port, для них в цьому полі записується - (дефіс) |
53 |
|
size |
Розмір пакету в байтах |
60 |
|
tcpflags |
Прапори управління TCP, що містяться в заголовку TCP пакету IP: - Ack Acknowledgment field significant (Включення поля підтвердження) - Fin No more data from sender (Кінець масиву даних відправника) - Psh Push Function (Функція примусової доставки) Rst Reset the connection (Скидання підключення) Syn Synchronize sequence numbers (Синхронізація порядкових номерів) - Urg Urgent Pointer field significant (Включення поля покажчика термінових даних) Прапори записуються прописними буквами. Вміст полів прапорів TCP призначений для користувачів, що володіють поглибленими знаннями про протокол TCP (Transmission Control Protocol). Додаткові відомості про протокол TCP можна знайти в специфікації RFC 793 |
AFP |
|
tcpsyn |
Порядковий номер TCP в пакеті. Вміст поля tcpsyn призначений для користувачів, що володіють поглибленими знаннями про протокол TCP |
1315819770 |
|
tcpack |
Номер підтвердження TCP в пакеті. Вміст поля tcpack призначений для користувачів, що володіють поглибленими знаннями про протокол TCP |
0 |
|
tcpwin |
Розмір вікна TCP в байтах, вказаний в пакеті. Вміст поля tcpwin призначений для користувачів, що володіють поглибленими знаннями про протокол TCP |
64240 |
|
icmptype |
Число, що представляє значення поля Type (Тип) в повідомленні ICMP |
8 |
|
icmpcode |
Число, що представляє значення поля Code (Код) в повідомленні ICMP |
0 |
|
info |
Відомості, залежні від типу дії. Наприклад, для дії INFO-EVENTS-LOST записується число подій, які відбулися з моменту останньої реєстрації події цього типу, але не були занесені в журнал |
23 |
У поля, для яких відомості відсутні, записується символ (-).
Примітки
Документи RFC можна завантажити з веб-вузла RFC Editor (http://www.rfc-editor.org/). Цей веб-вузол зараз підтримується співробітниками Інституту інформатики (Information Sciences Institute, ISI), які публікують на нім класифікований перелік всіх документів RFC. Матеріали класифікуються по наступних категоріях: затверджені стандарти Інтернету, пропозиції по стандартах Інтернету (у вигляді попередніх проектів), рекомендації по роботі із засобами Інтернету і інформаційні документи (FYI).
Практичне завдання
1. Налагодити МЕ підключення до Інтернету.
1.1. Включити МЕ підключення до Інтернету.
Включення (відключення) брандмауера підключення до Інтернету
1. Відкрийте компонент Сетевые подключения.
2. Виділіть підключення віддаленого доступу, підключення по локальній мережі або високошвидкісне підключення до Інтернету, яке потрібно захистити брандмауером, і потім в групі Типичные сетевые задачи клацніть посилання Изменение настроек отдельного подключения.
3. На вкладці Дополнительные параметры в групі Брандмауер підключенню до Інтернету виконати одну з наступних дій.
- Щоб включити брандмауер підключення до Інтернету (ICF), встановіть прапорець Защитить мое подключение к Интернету.
- Щоб відключити брандмауер підключення до Інтернету, зніміть прапорець Защитить мое подключение к Интернету.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- Якщо зняти прапорець Защитить мое подключение к Интернету, брандмауер на комп’ютері перестає діяти, і мережа стає уразливою для проникнення ззовні.
- Брандмауер підключення до Інтернету не треба встановлювати на підключеннях віртуальних приватних мереж (VPN) і на клієнтських комп’ютерах, оскільки він створюватиме перешкоди для загального доступу до файлів і принтерів.
- Брандмауер ICF не можна активізувати на приватних підключеннях головного комп’ютера загального доступу до підключення Інтернету.
1.2. Включити параметри протоколу ICMP.
Включення параметрів протоколу ICMP
1. Відкрийте компонент Сетевые подключения.
2. Виділіть підключення, захищене брандмауером підключення до Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Смена настроек отдельного подключения.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці ICMP встановіть прапорці для тих типів запитів відомостей, на які вибраний комп'ютер повинен буде відповідати.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- За умовчанням всі параметри протоколів ICMP (Internet Control Message Protocol) відключені. При включенні параметрів ICMP мережа може стати доступною з Інтернету і тому уразливішою.
1.3. Додати визначення служби.
Додавання визначення служби
1. Відкрийте компонент Сетевые подключения.
2. Виділіть загальне підключення або підключення до Інтернету, захищене брандмауером підключення Інтернету, і потім в групі Задачи клацніть посилання Изменение настроек отдельного подключения.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці Службы натисніть кнопку Додати і введіть наступні відомості.
- У полі Описание службы введіть ім'я служби; використовуйте легко впізнанні імена.
- У полі Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба введіть ім'я або IP-адресу комп'ютера мережі, на якому встановлена дана служба.
- У полі Номер внутреннего порта службы введіть номер порту, використовуваного службою в мережі.
- Встановіть перемикач в положення TCP або UDP.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- Для додавання служб потрібно, щоб був включений загальний доступ до підключення Інтернету або брандмауер підключення до Інтернету.
- Правильні значення номерів портів TCP або UDP можна дізнатися в документації по даній службі або на її веб-вузлі.
- Щоб дістати доступ до вкладки Службы системи Windows XP на клієнтському комп'ютері, що працює під управлінням Windows 98, Windows 98 Second Edition або Windows Millennium Edition, запустите на ньому майстер налагодження мережі, використовуючи компакт-диск або гнучкий диск Windows XP. Коли майстер закінчить роботу, натисніть на клієнтському комп'ютері кнопку Пуск і виберіть послідовно команди Стандартные, Связь і Шлюз Интернета. У діалоговому вікні Состояние натисніть кнопку Свойства і потім перейдіть на вкладку Службы.
1.4. Змінити визначення служби.
Зміна визначення служби
1. Відкрийте компонент Сетевые подключения.
2. Виділіть загальне підключення або підключення до Інтернету, захищене брандмауером підключення Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Изменение настроек отдельного подключения.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці Службы натисніть кнопку Змінити і зміните будь-які з наступних значень.
- У полі Имя або IP-адрес комп'ютера вашої мережі, на якому розташовується ця служба введіть ім'я або IP-адресу комп'ютера мережі, на якому встановлена дана служба.
- У полі Номер внешнего порта службы введіть номер порту, який повинен буде використовуватися зовнішніми комп'ютерами для доступу до служби.
- У полі Номер внутреннего порта службы введіть номер порту, використовуваного службою в мережі.
- Встановіть перемикач в положення TCP або UDP.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- У визначеннях служб, що створюються за умовчанням, можна змінювати тільки поле Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба.
- У визначеннях служб, створених користувачем, можна змінювати тільки поля Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба, Номер зовнішнього порту служби і Номер внутрішнього порту служби.
- Правильні значення номерів портів TCP або UDP можна дізнатися в документації по даній службі або на її веб-вузлі.
- Ніякі два визначення служб не можуть одночасно використовувати одні і ті ж номери портів або значення діапазонів.
- Для зміни визначення служби потрібний, щоб був включений загальний доступ до підключення Інтернету або брандмауер підключення до Інтернету.
- Щоб дістати доступ до вкладки Службы системи Windows XP на клієнтському комп'ютері, що працює під управлінням Windows 98, Windows 98 Second Edition або Windows Millennium Edition, запустите на нім майстер налагодження мережі, використовуючи компакт-диск або гнучкий диск Windows XP. Коли майстер закінчить роботу, натисніть на клієнтському комп'ютері кнопку Пуск і виберіть послідовно команди Стандартні, Зв'язок і Шлюз Інтернету. У діалоговому вікні Стан натисніть кнопку Властивості і потім перейдіть на вкладку Служби.
1.5. Включити параметри ведення журналу безпеки.
Включення параметрів ведення журналу безпеки
1. Відкрийте компонент Сетевые подключения.
2. Виділіть підключення, на якому встановлений брандмауер підключення до Інтернету (ICF), і потім в групі Типовые сетевые задания клацніть посилання Зміна настройок окремого підключення.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці Ведение журнала безопасности в групі Параметры журнала виконайте одну або обидві з наступних дій.
- Щоб включити реєстрацію невдалих спроб встановити вхідне підключення, встановіть прапорець Записывать пропущенные пакеты.
- Щоб включити реєстрацію успішних вихідних підключень, встановіть прапорець Записывать успешные подключения.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- При установці брандмауера підключення до Інтернету ведення журналу безпеки за умовчанням відключене.
- Брандмауер підключення до Інтернету діє незалежно від того, включено ведення журналу безпеки або відключено.
1.6. Переглянути файл журналу безпеки.
Проглядання файлу журналу безпеки
1. Відкрийте компонент Сетевые подключения.
2. Виділіть підключення, захищене брандмауером підключення до Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Изменить параметры этого подключения.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці Ведение журнала безопасности в групі Параметры файла журналу в розділі Имя натисніть кнопку Обзор.
5. Знайдіть в списку файл pfirewall.log, клацніть його правою кнопкою миші і виберіть команду Открыть.
6. Відкрийте файл журналу, двічі клацнувши його, і прогляньте його вміст.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- За умовчанням журнал брандмауера ведеться у файлі pfirewall.log, що зберігається в теці Windows.
- Як тільки файл pfirewall.log досягне максимально допустимого розміру, його вміст переписується в новий файл і зберігається з ім’ям pfirewall.log.1. Нові відомості записуватимуться у файл pfirewall.log.
1.7. Змінити шлях і ім’я файлу журналу безпеки.
Зміна шляху і імені файлу журналу безпеки
1. Відкрийте компонент Сетевые подключения.
2. Виділіть підключення, захищене брандмауером підключення до Інтернету, і потім в групі Типичные сетевые задачи клацніть посилання Зміна настройок окремого підключення.
3. На вкладці Дополнительные параметры натисніть кнопку Настройка.
4. На вкладці Ведение журнала безопасности в групі Параметры файла журналу натисніть кнопку Огляд і знайдіть те місце, де повинен буде зберігатися файл журналу.
5. У полі Имя файла введіть нове ім'я файлу журналу (або залиште поле незаповненим, щоб було привласнено ім'я за умовчанням — pfirewall.log) і натисніть кнопку Відкрити.
Примітки
- Щоб відкрити папку «Сетевые подключения», натисніть кнопку Пуск, виберіть команди Настройка і Панель управления, потім двічі клацніть значок Сетевые подключения.
- Як тільки файл pfirewall.log досягає максимально допустимого розміру, його вміст зберігається у файлі з ім'ям pfirewall.log.1, після чого нові відомості записуються у файл pfirewall.log.
2. Описати процес налагодження МЕ підключення до Інтернету.
3. Привести параметри налагодження МЕ підключення до Інтернету у початковий стан.
Контрольні запитання
1. Що таке міжмережний екран?
2. Яким чином реалізовано МЕ у ОС MS Windows 2000/XP?
3. Яким чином реалізовано управління службами у ОС MS Windows 2000/XP?
4. Які служби заздалегідь визначені для ICS і ICF?
5. Які можливості надає журнал безпеки брандмауера підключення до Інтернету?
6. Які елементи містить заголовок журналу безпеки?
7. Які поля включає тіло журналу безпеки?
8. Як включити брандмауер підключення до Інтернету?
9. Як додати або змінити визначення служби?
10. Як включити параметри ведення журналу безпеки?