Internet, как и любое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети Internet что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра - оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Многие традиционные компании и центры обработки данных разработали правила и принципы компьютерной безопасности, которым надо следовать. Если правила работы компании указывают, как необходимо защищать данные, брандмауэр становится особенно важным, становясь частью корпоративной системы безопасности. Зачастую при подключении большой компании к сети Internet самым трудным является не обоснование того, что это выгодно или полезно, а объяснение руководству, что это вполне безопасно. Брандмауэр не только обеспечивает реальную защиту, он часто играет существенную роль гаранта безопасности для руководства.

Наконец, брандмауэр может служить корпоративным "посланником" ("лицом") в Internet. Многие компании используют системы брандмауэров для предоставления широкой общественности информации о продукции и услугах компании, в качестве хранилища файлов для загрузки, источника исправленных версий программ и т.д. Некоторые из этих систем стали важной составляющей спектра услуг сети Internet (например, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), что положительно сказалось на имидже их организаторов.

Некоторые брандмауэры пропускают только сообщения электронной почты, тем самым защищая сеть от любых атак, кроме атак на почтовую службу. Другие брандмауэры обеспечивают менее строгую защиту и блокируют лишь службы, определенно угрожающие безопасности.

Обычно брандмауэры конфигурируются для защиты от неавторизованной интерактивной регистрации из "внешнего" мира. Именно это, больше, чем все остальное, помогает предотвратить проникновение вандалов в машины вашей сети. Более развитые брандмауэры блокируют передачу информации извне в защищаемую сеть, разрешая при этом внутренним пользователям свободно взаимодействовать с внешним миром. При правильной настройке брандмауэр может защитить от любого типа сетевой атаки.

Брандмауэры также важны, поскольку позволяют создать единую "уязвимую точку" ("choke point"), где можно организовать защиту и аудит. В отличие от ситуации, когда компьютерная система атакуется извне путем дозвона по модему, брандмауэр может служить эффективным средством "прослушивания" и регистрации подключений. Брандмауэры обеспечивают важные функции журнализации и аудита; часто они позволяют администраторам получать отчеты о типах и объемах переданной через них информации, о количестве попыток взлома и т.п.

Важно, что создание такой "уязвимой точки" может служить в сети той же цели, что и ворота с охраной возле здания фирмы. Тем самым, при изменении "зон" или уровней защищенности имеет смысл создавать такую "проходную". Редко когда в здании фирмы есть только ворота для выезда транспорта и нет дежурного или охранников, проверяющих пропуска у входящих. Если в офисе есть различные уровни доступа, логичным будет и создание нескольких уровней защиты в офисной сети.

Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. К несчастью для них, магнитную ленту использовать для передачи данных ничуть не сложнее. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Смешно устанавливать стальную дверь двухметровой толщины в деревянном доме, но многие организации покупают дорогие брандмауэры и игнорирую другие многочисленные лазейки в корпоративную сеть. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом. Например, для систем с совершенно секретными или конфиденциальными данными брандмауэр вообще не нужен - их просто не надо подключать к Internet, или же надо изолировать системы с действительно секретными данными от остальной части корпоративной сети.

Брандмауэр практически не может защитить вас и от саботажников или идиотов внутри сети. Хотя агент, занимающийся промышленным шпионажем, может передавать информацию через ваш брандмауэр, он точно так же может предавать ее по телефону, по факсу или на дискете. Дискеты - куда более вероятные каналы утечки информации из компании, чем брандмауэр! Брандмауэры также не могут защитить от глупости. Пользователи, предоставляющие важную информацию по телефону, - хорошая цель для обработки психологически подготовленным злоумышленником. Он может взломать сеть, полностью обойдя брандмауэр, если сможет найти "полезного" сотрудника в организации, которого сможет обманом заставить дать доступ к модемному пулу. Прежде чем решить, что в вашей организации такой проблемы не существует, спросите себя, насколько сложно представителю организации-партнера получить доступ в сеть, или будет ли трудно пользователю, забывшему пароль, добиться его сброса. Если сотрудники справочной службы считают, что им звонят только из вашего офиса, у вас определенно есть проблема.

Наконец, брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр - не панацея, и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто, и это можно легко продемонстрировать. Защита - это не то, что можно "сделать и забыть".

Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки на базе данных, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.

Организации, серьезно обеспокоенные проблемой вирусов, должны применять специальные меры для контроля распространения вирусов в масштабе всей организации. Вместо того, чтобы пытаться оградить сеть от вирусов с помощью брандмауэра, проверьте, что каждое уязвимое рабочее место оснащено программами сканирования вирусов, запускаемыми при перезагрузке машины. Оснащение сети программами сканирования вирусов защитит ее от вирусов, полученных с дискет, через модемы и по сети Internet. Попытка заблокировать вирусы на брандмауэре защитит только от попадания вирусов из Internet, а подавляющее большинство вирусов переносится как раз на дискетах.

Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows-Intel или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.

Мощный брандмауэр не заменяет чувствительного программного обеспечения, знающего природу обрабатываемых данных - ненадежных и поступивших из не обладающего доверием источника, - и обрабатывающего их соответствующим образом. Не думайте, что вы в безопасности, раз "все" используют некую почтовую программу, произведенную гигантской транснациональной компанией.

Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников. Также можно изменить конфигурацию брандмауэра, чтобы настроить обмен данными через порт, известный только вам.

Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения. Брандмауэры рекомендуется использовать для распознавания вирусов (вирусов-червей и некоторых видов троянов), которые могут проникать в систему или из нее через открытый порт. Они не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.

Защита ArcGIS Server с помощью брандмауэра

Существует ряд стратегий, цель которых – обеспечить защиту сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).

Один брандмауэр

Самый простой и наименее безопасный вариант предполагает использование только одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 80. Веб-сервер, ArcGIS Web Adaptor, ГИС-сервер и ваши данные находятся в безопасной внутренней сети, защищенной брандмауэром.

Несколько брандмауэров с обратным прокси и веб-адаптером (Web Adaptor) в пограничной сети

Более безопасный, но и более сложный вариант, который предполагает настройку веб-сервера и веб-адаптера (Web Adaptor) в пределах пограничной сети (также известной как демилитаризованная зона или промежуточная подсеть). При этом сценарии веб-адаптер (Web Adaptor) получает входящие запросы через порт 80. Затем он отправляет запрос на ГИС-сервер через другой брандмауэр, используя при этом порт 6080. Благодаря Web Adaptor компьютер работает как обратный прокси (reverse proxy).

Рассмотрим этот вариант более подробно:

• Пограничная сеть содержит компьютеры, доступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
• Веб-адаптер (Web Adaptor) в пограничной сети принимает веб-запросы через общий порт (например, порт 80). Брандмауэр блокирует доступ через все остальные порты. После этого Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6080 ArcGIS Server.
• ГИС-сервер и сервер данных (если есть) размещаются в безопасной внутренней сети. Запрос, поступающий в безопасную сеть, должен поступать с веб-адаптера (Web Adaptor) и проходить через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Сначала отклик передается через брандмауэр назад в Web Adaptor. Затем Web Adaptor отправляет его в клиент через другой брандмауэр.

В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.

Интеграция существующего обратного прокси

Если ваша организация уже использует обратный прокси, можно его настроить таким образом, чтобы он направлял запросы на ArcGIS Server в безопасной внутренней сети. Основным вариантом является прямое подключение к ГИС-серверу через порт 6080 без установки Web Adaptor.

Если вы хотите, чтобы порт между обратным прокси и вашей безопасной внутренней сетью оставался неизвестным, на другом веб-сервере в пределах этой безопасной внутренней сети может быть установлен Web Adaptor. Этот Web Adaptor можно настроить, чтобы он принимал трафик через тот порт, который вы выберете.

Вы можете добавить свой сайт ArcGIS Server непосредственно в указатели прокси (proxy directives). Например, если вы используете в качестве обратного прокси Apache, то вам потребуется добавить свой сайт ArcGIS Server в указатели ProxyPass файла конфигурации веб-сервера Apache.

ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis

Если вы используете обратный прокси, и окончание URL вашего сайта отличается от заданного по умолчанию /arcgis (все буквы строчные), то вам нужно также установить свойство ArcGIS Server WebContextURL (ArcGIS Server"s WebContextURL property). Это позволит ArcGIS Server построить корректные URL на все ресурсы, которые он направляет конечному пользователю. Чтобы изменить WebContextURL, сделайте следующее:

Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin как пользователь с правами доступа администратора.

Щелкните система (system) > свойства (properties) > обновить (update) .

В окне для текста Свойства (Properties) вставьте следующий JSON, заменив свой собственный URL ArcGIS Server, который видят пользователи за пределами брандмауэра вашей организации.

{ "WebContextURL": "http://gisserver.domain.com/mygis" }

1. Щелкните Обновить (Update) .

Перезапустите ArcGIS Server на каждом ГИС-сервере сайта. В Linux это выполняется посредством скриптов stopserver и startserver, которые можно найти в установочной директории каждого компьютера.

Брандмауэры между ГИС-серверами

В стандартной ситуации установка брандмауэров между ГИС-серверами не требуется. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server .

Copyright © 1995-2014 Esri. All rights reserved.

Брандмауэр Windows - это программный комплекс, через который проходит весь сетевой трафик. Но основное назначение Брандмауэра Windows не в том, чтобы быть проводником трафика. Основное назначение Брандмауэра Windows в проверке этого самого трафика. И в зависимости от результатов проверки, трафик либо пропускается, либо отвергается. В основном, Брандмауэр Windows настроен таким образом, чтобы отбрасывать вредоносный трафик и пропускать «чистый». Вдобавок, Брандмауэр по умолчанию закрывает некоторые уязвимые к места, например, некоторые порты. Но все эти правила, на основании которых и работает Брандмауэр, настраиваемые. Пользователь сам волен выбирать какой трафик пропускать, а какой нет, какой порт открыть, а какой закрыть. Но всё это будет описано позже, а сейчас нужно знать то, что Брандмауэр Windows защищает компьютер от проникновения и различных вредоносных программ.

Что нового в Брандмауэре в Windows 7?

В отличие от Брандмауэра в предыдущих операционных системах, в Брандмауэре Windows 7 появились несколько дополнительных функций, среди которых особое место играют три, которые перечислены ниже:

1. Запрет на создание отпечатка операционной системы . Что такое отпечаток операционной системы? Отпечаток ОС - это техника, с помощью которой можно узнать версию операционной системы удаленной машины. Хакеру намного проще будет взломать компьютер, если он будет знать с какой операционной системой имеет дело. Именно поэтому, Брандмауэр Windows 7 использует функцию полного сокрытия, благодаря которому создание отпечатка операционной системы внешними хостами невозможно.
2. Функция фильтрации во время загрузки обеспечивает защиту компьютера с того самого момента, как только активизируются сетевые интерфейсы. А вот в Windows XP Брандмауэр включался только через некоторое время после активизации сетевой карты, что приводило к тому, что компьютер оставался некоторое время незащищенным.
3. Брандмауэр Windows 7 блокирует большую часть исходящего трафика. Благодаря этому, вредоносный трафик не выйдет за пределы зараженного компьютера(в теории). В предыдущих версиях Брандмауэр работал только с входящим трафиком, никак не защищая компьютеры вокруг.

Вот три самых серьезных и достойных внимания изменения, которые ставят Брандмауэр в операционной системе Windows 7 выше своих предыдущих версий. Так же это говорит о том, что операционная система Windows 7 стала намного безопаснее, чем его предки. Об этом я уже писал в статье

Защита вашего компьютера Яремчук Сергей Акимович

4.1. Для чего нужен брандмауэр

Антивирус защищает системные и пользовательские файлы от вредоносного программного обеспечения. Задача брандмауэров – фильтрация входящего и исходящего трафика и блокирование несанкционированного доступа к компьютеру.

Для работы в Сети операционная система использует сервисы, которые открывают порты и ждут подключения к ним. Зная номер порта, пользователь может подсоединиться к нему с удаленного компьютера и получить доступ к некоторым ресурсам. Проблема в том, что в реализации некоторых сервисов присутствуют ошибки, которые могут быть использованы для сетевой атаки – как вирусной, так и ставящей целью нарушение работы уязвимого сервиса или системы в целом. Брандмауэр, используя набор правил, разрешает или запрещает доступ к компьютеру из Сети.

Примечание

Первоначально брандмауэром называли перегородку в паровозах, находящуюся между машинным отделением и вагонами и защищающую последние от возможного возгорания. В современном значении это слово начало употребляться приблизительно в начале 1990-х годов, когда для английского слова firewall не смогли найти однозначного перевода. Поскольку немецкое слово Brandmauer означало то же самое и было уже известно, его и стали использовать, хотя только на постсоветском пространстве.

Первыми появились фильтры пакетов , которые действовали на основании информации, помещенной в заголовке: IP-адрес, номера портов источника и получателя, тип пакета и длина. Выглядело это следующим образом. Компьютеру из внутренней сети с определенным IP-адресом разрешается соединяться с любыми внешними компьютерами, используя только указанный порт. Например, протокол SMTP, который применяется для отправки электронной почты, использует 25-порт, протокол РОР3, с помощью которого почта получается, – 110-порт, веб-сервисы обычно настроены на 80-порт. При попытке получить доступ к другим сервисам брандмауэр блокировал соединение.

Постепенно стало понятно, что такой статической схемы недостаточно. Это привело к появлению фильтров, отслеживающих состояние соединений (stateful). Постепенно функциональность брандмауэров возрастала, появились фильтры уровня приложений и фильтры соединений, умеющие контролировать контекст. Не будем углубляться в историю, тем более что сегодня встретить их в чистом виде практически невозможно.

Чаще всего пользователю трудно решить, что кому запретить или разрешить. В операционной системе Windows принято следующее взаимодействие пользователя с используемым брандмауэром. Например, в строке веб-браузера набран адрес или имя сервера. Брандмауэр, проанализировав запрос, временно блокирует его и запрашивает у пользователя подтверждение, предоставляя ему всю информацию: приложение или сервис, IP-адрес или имя удаленного узла и порт назначения. Если выход в Интернет с использованием данной утилиты действительно планировался, пользователь подтверждает это, и брандмауэр разрешает соединение. Чтобы не беспокоить пользователя в дальнейшем, ответ запоминается. Хотя, чтобы уменьшить вероятность ошибки, через некоторое время процесс повторяется.

Таким образом, если случайно было разрешено соединение для спрятавшегося троянца, существует вероятность, что в следующий раз его не пропустят. Однако создатели вирусов также используют эту особенность взаимодействия. Теперь, чтобы скрыть свою программу, им достаточно загружать ее как расширение Internet Explorer, иногда вызывается и сам браузер, адресная строка которого содержит не только имя удаленного узла, но и информацию, которую удалось украсть. Пользователь не всегда вникает в суть запроса, поэтому в большинстве случаев обман удается.

Брандмауэр обязательно должен использоваться совместно с антивирусной программой. Это не взаимоисключающие, а дополняющие друг друга приложения, хотя многие сегодняшние брандмауэры выросли в настоящие системы защиты, умеющие отслеживать вышеописанную ситуацию.

Необходимо контролировать как входящий, так и исходящий трафик. В первом случае вы будете защищены от попытки несанкционированного доступа извне, а контроль исходящего трафика позволит блокировать трояны и другие зловредные программы, пытающиеся получить доступ в Интернет, а также ненужный трафик в виде баннеров. Следует отметить, что, хотя все брандмауэры похожи, каждая конкретная реализация может содержать ошибки.

Появление встроенного Брандмауэра в Windows XP многие приветствовали, однако вскоре выяснилось, что он контролирует только входящий трафик, а по удобству настроек уступает большинству решений. Усовершенствованный Брандмауэр в Windows Vista обладает несколько большими возможностями – поддерживается фильтрация входящего и исходящего трафика. С его помощью можно запретить приложениям обращаться к другим компьютерам или отвечать на их запросы, поэтому мультимедийные программы могут воспроизводить мультимедийные файлы на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Брандмауэр в Windows Vista следит за ресурсами операционной системы, и, если они начинают вести себя иначе, что обычно указывает на наличие проблем, блокирует соединение. Если другая программа попытается обратиться в Интернет, чтобы установить дополнительный модуль, пользователь увидит предупреждение, посылаемое Брандмауэром .

Однако на практике у пользователя мало средств для тонкой настройки, а вредоносное приложение, попав на компьютер, в первую очередь попытается создать разрешающее правило, ориентируясь именно на встроенный Брандмауэр Windows , или просто отключить его, поэтому рассмотрим не его, а несколько типичных решений.

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

Из книги Железо ПК [Популярный самоучитель] автора Пташинский Владимир

Для чего нужен компьютер Оглянитесь вокруг. Если вы находитесь не в поле или глухой тайге, то можно с уверенностью сказать, что где-то недалеко от вас при желании легко обнаружится компьютер. И поверьте, он не один. В современном городе компьютер встречается буквально на

Из книги Компьютер на 100. Начинаем с Windows Vista автора Зозуля Юрий

Для чего нужен монитор В очень старой инструкции по технике безопасности можно было прочесть, что максимально допустимое время работы перед монитором компьютера для взрослого человека составляет два часа в день. «О ужас! – могут воскликнуть некоторые из вас. – Неужели

Из книги Эффективное делопроизводство автора Пташинский Владимир Сергеевич

Брандмауэр Брандмауэр служит для защиты компьютера от несанкционированного доступа через локальную сеть или Интернет. По умолчанию брандмауэр включен; если его отключить, система безопасности Windows Vista выдаст предупреждение (см. рис. 8.7). Если компьютер подключен к

Из книги Как заработать в Интернете: Практическое пособие автора Дорохова Марта Александровна

Для чего нужен документооборот В свете всего вышеизложенного этот вопрос звучит риторически, но тем не менее.Документооборот – это движение документов в организации с момента их получения или создания до завершения исполнения или отправки. Организация

Из книги Компьютерные советы (сборник статей) автора Автор неизвестен

Из книги Бесплатные разговоры через Интернет автора Фрузоров Сергей

Что такое брандмауэр? Автор: Александр КрасоткинИсточник: http://www.computerra.ru/Что такое брандмауэр?Брандмауэр (firewall) - перегородка из огнеупорного материала, возводимая на пути распространения пожара. Также данный термин стал использоваться для обозначения аппаратных и

Из книги Интернет для ваших родителей автора Щербина Александр

Брандмауэр и для чего он нужен Брандмауэр, или, как его называют индейцы из племени Пумба-Юмба, firewall (огненная стена) - довольно интересная и полезная штука. В отличие от антивирусной программы, он не сможет найти и обезвредить вражеский вирус, однако он ставит надежный

Из книги Наглядный самоучитель работы на нетбуке автора Сенкевич Г. Е.

Брандмауэр Брандмауэр (Firewall, файрволл) - программа, назначение которой состоит в том, чтобы защищать ваш компьютер от вредоносных программ. Это некий экран, располагающийся между вашим компьютером и сетью Интернет. Его задача - предотвращать проникновение на ваш

Из книги Linux: Полное руководство автора

Для чего нужен Блокнот? Блокнот предназначен для работы с небольшими простыми документами, в которых есть только текст.Запустите программу Блокнот: Пуск|Все программы|Стандартные|Блокнот (1).На экране откроется окно Блокнота.Щелкните мышью в рабочей области окна. В этом

Из книги HTML5 для веб-дизайнеров автора Джереми Кит

19.4. Что такое брандмауэр Брандмауэр (межсетевой экран, бастион, firewall) - это компонент системы, обеспечивающий защиту сети от несанкционированного доступа.Как известно, весь трафик в сети состоит из пакетов. Каждый пакет состоит из двух частей: заголовка и тела. В

Из книги Анонимность и безопасность в Интернете. От «чайника» к пользователю автора Колисниченко Денис Николаевич

Canvas. Ага! И для чего он нужен? Создавать картинки на лету с использованием JavaScript и Canvas – это все здорово и прекрасно, но если вы не убежденный мазохист, то зачем?Истинная сила Canvas заключается в том, что его содержимое может быть обновлено в любой момент, на нем можно

Из книги Компьютер – это просто! автора Алиев Валерий

3.3.4. I2P и брандмауэр Когда вы запускаете I2P на локальном компьютере, проблем с настройкой брандмауэра, как правило, не возникает, – это если брандмауэр способен обучаться – обучающий режим имеется во многих программных продуктах (Comodo Internet Security, Outpost Firewall Pro и др.). Совсем

Из книги автора

6.6. А нужен ли вообще брандмауэр? Некоторые пользователи пренебрегают установкой брандмауэра на свой компьютер, мотивируя тем, что на домашнем маршрутизаторе уже есть брандмауэр, да и на сервере провайдера тоже наверняка есть. Некоторые продолжают использовать

Из книги автора

Для чего нужен текстовый процессор? Программы обработки текста позволяют быстро и просто вносить любые изменения в написанный (набранный) текст, создавать новые документы, хранить их, получать печатные копии набранного текста в любом количестве экземпляров.Кроме этого,

Из книги автора

Для чего нужен табличный процессор? Основное назначение табличного процессора – это осуществление многоступенчатых расчетов и автоматизация часто повторяемых расчетов. Впрочем, вопросы подготовки и печати обычных документов с его помощью тоже решаются неплохо, хотя и

Брандмауэр, он же файервол - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, зта граница проводится между локальной сетью предприятия и ИНТЕРНЕТ, хотя ее можно провести и внутри локальной сети предприятия или домашней сети. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить.

Обычно под брандмауэром подразумевают комплекс программных средств, устанавливаемых на компьютер, выполняющий функции шлюза в интернет. Существуют так же специализированные программно-аппаратные комплексы, обычно включающие в себя функции шлюза и маршрутизатора. Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации.

С целью обеспечения безопасности доступ к операционной системе должен быть только у администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Типы брандмауэров:

• пакетные фильтры (packet filter)
• сервера прикладного уровня (application gateways)
• сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики

Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

• относительно невысокая стоимость
• гибкость в определении правил фильтрации
• небольшая задержка при прохождении пакетов

Недостатки у данного типа брандмауэров следующие:

• локальная сеть видна (маршрутизируется) из ИНТЕРНЕТ
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
• отсутствует аутентификация на пользовательском уровне

К преимуществам серверов прикладного уровня следует отнести следующие:

• локальная сеть невидима из ИНТЕРНЕТ
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа являются:

• более высокая, чем для пакетных фильтров стоимость;
• невозможность использования протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в ИНТЕРНЕТ в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по ИНТЕРНЕТ шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.

Как правило, используется принцип, получивший название \\\\\"что он знает\\\\\" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - последние представляют из себя устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд брандмауэров поддерживают Kerberos - один из наиболее распространенных методов аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем.

На данный момент на рынке присутствует множество видов программных и аппаратных решений для защиты локальной сети либо отдельного компьютера от несанкционированного доступа. Не пренебрегайте собственной безопасностью.