Примечание | от автора: убрать из списка литературы ссылку на google.ru |
Загрузить архив: | |
Файл: ref-30010.zip (902kb [zip], Скачиваний: 163) скачать |
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
Реферат
по курсу МиСЗКИ на тему:
«Брандмауэры»
Выполнил:
Студент группы А-46
Сафонов Д.В
Проверил:
Пескова О.Ю.
Дата: ___.___.______ г.
Таганрог 2009 г.
Содержание:
1.Понятие брандмауэра(firewall)________________________________________3
2.Типы firewall_______________________________________________________4
3.Работа firewall______________________________________________________5
4.Встроенные в Windows firewall________________________________________6
1)Windows XP SP2_______________________________________________7
2)Windows Vista_________________________________________________8
3)Windows 7___________________________________________________12
5.Персоальные Firewall_______________________________________________16
6.Список используемой литературы____________________________________20
Понятие брандмауэра(firewall)
В анлийском "firewall" имеет исходное значение "противопожарная стена", которая должна была защищать здание от распространения огня. Точно такое же значение имеет и немецкое слово "brandmauer". В русском языке не появилось однословного аналога этому термину, наиболее укоренившийся аналог "firewall" на русском - это "сетевой экран" (вариант - межсетевой) . firewall из мира компьютерных технологий должен блокировать разные виды нежелательных проникновений внутрь вашего компьютера через компьютерную сеть. Сейчас firewall - необходимый элемент сетевой безопасности, в т. ч. безопасности пользователя, подключившегося к сети интернет Для того, чтобы фильтровать и контролировать сетевой трафик, существуют самые различные средства - и аппаратные и программные. Однако в данной работе обращается внимание именно на то, что должно защищать обычного пользователя, подключившегося к сети интернет, а таким средством обычно является персональный файрволл - обычная компьютерная программа, которая устанавливается на отдельный компьютер и защищает его без помощи какого-либо дополнительного оборудования.
На сегодняшний день даже корректно настроенная антивирусная программа с самыми свежими вирусными базами не в силах полностью защитить компьютер от угроз извне. Отчасти из-за того, что при разработке глобальной сети Интернет требованиям безопасности не уделялось достаточного внимания, а основной упор делался на удобство обмена информацией. Незащищен и стек протоколов TCP/IP (TransmissionControlProtocol/InternetProtocol), который по своей природе не отвечает современным требованиям безопасности. Разумеется, профессиональные и доморощенные хакеры не упускают возможность использовать такие уязвимости. Именно для защиты от разрушительных действий и для предотвращения кражи информации с компьютеров и предназначены файрволы.
Большая часть функцийфайрвола дублирует функции межсетевого экрана, однако персональный файрвол так же может обеспечивать дополнительные возможности:
- Контроль за приложениями, использующими порты. В отличие от обычных межсетевых экранов, персональный файрвол может определять не только используемый протокол и адреса, но и точное название приложения, запрашивающего соединение (или пытающегося слушать на каком-то порту), в частности, возможен контроль за неизменностью приложения (в случае изменения приложения вирусами или троянами, устанавливающимися в качестве плагинов, сетевая активность приложения блокируется).
- Назначение раздельных правил разным пользователям без дополнительной сетевой авторизации.
- Режим обучения, когда при первом обращении программы к сетевым ресурсам пользователю выдаётся запрос (обычно вида «запретить всегда, запретить однократно, всегда разрешить, разрешить однократно, создать правило»).
- Режим смешанной фильтрации (при которой проверяются различные параметры на различных уровнях сетевых протоколов — от второго (проверка на фальсификацию MAC-адреса) до 4 (фильтрация портов), и даже вышестоящих уровней (фильтрация содержимого веб-сайтов, проверка почты, отсеивание спама).
Типы firewall
Файрволы бывают двух видов – аппаратные и программные.
Аппаратный брандмауэр представляет собой устройство, которое подключается между компьютером (или локальную сеть) и точкой доступа в Интернет. Его достоинство заключается в том, что, являясь отдельным приспособлением, оно не потребляет ресурсы ПК, возможность защищенной работы без изменения настроек на любом компьютере, встроенная аппаратная защита от вирусов, предотвращения и защиты от атак (IDP) и функция фильтрации спама, . Недостатком, как правило, оказывается сравнительно высокая цена для домашних пользователей, и, как следствие, основной областью применения файрволов становятся локальные сети различных компаний.
В этой работе речь пойдет в основном о персональных программных брандмауэрах, однако почти все нижесказанное в равной степени касается и аппаратных. Программный файрвол представляет собой ПО, контролирующее выход компьютера в локальную сеть, а также попытки подключиться к нему извне, и на основе заранее заданного набора правил разрешающее или запрещающее те или иные действия. По сути, брандмауэр – это стена, разделяющая сетевой адаптер и операционную систему. Любые данные, как входящие, так и исходящие, «наталкиваются» на нее и проходят тщательную проверку.
Первые файрволы появились еще в 1980-х и представляли собой обычные маршрутизаторы, включающие фильтрацию пакетов (пересылаемые данные проверялись по заданному набору правил и не пропускались далее в случае несоответствия). В 1990-х годах появились так называемые firewall`ы цепного уровня. Далее по сложности и новизне - "защитники" программного уровня. Позже в основу файрволов легла динамическая фильтрация пакетов. А самая новая на
сегодня архитектура программ типа firewall - kernel proxy (эта архитектура имеет как программные, так и аппаратные реализации). В основном, каждое новое поколение основывается на принципе работы предыдущего. То есть то, что справедливо для первого поколения, может быть применимо для второго поколения, правда с некоторыми поправками и дополнениями.
Работа firewall
Следует знать, что антивирусы и файрволы хотя и служат одной и той же цели, на деле принципиально разнятся. В двух словах их отличия можно объяснить на примере «троянского коня» – антивирус будет пытаться найти его и уничтожить, в то время как файрвол просто перекроет ему доступ в сеть и не позволит отправить данные с вашего компьютера.
Перед тем как перейти непосредственно к описанию работы файрвола, стоит вкратце рассказать, как функционируют компьютерные сети. Итак, компьютеры в сети обмениваются некой информацией, передаваемой отдельными порциями, которые называются пакетами. Для отправки информации на конкретный ПК у каждого компьютера в сети есть свой адрес, уникальный в ее пределах, – IP. Он представляет собой набор из четырех групп чисел от 0 до 255, разделенных точками. К примеру, 212.20.123.15 (для локальных сетей зарезервированы области адресов 10.27.*.* или 192.168.*.*). Для отправки и приема данных у компьютера существуют специальные «двери» – порты, каждый под своим номером. Нумерация начинается с 0, а максимальное значение может быть 65535. Разные программы, как правило, используют различные порты для работы с внешним миром. Так, к примеру, для почты зарезервированы порты 25 и 110, браузеры для HTTP-протокола используют 80-й порт и т. д. Вот именно эти порты и проходящие через них пакеты и контролирует firewall. Любой порт может находиться в трех состояниях (открыт, закрыт и невидим), которые также контролируются посредством брандмауэра. Кроме дверей для информации, порты еще служат своего рода маяками, позволяющими определить присутствие компьютера в сети. ПК, у которого все порты невидимы, злоумышленник просто не обнаружит, а значит, и атаковать не будет. Поэтому одна из задач файрвола – обеспечить невидимость компьютера в Сети. Но даже в таком случае у хакера есть возможность получить адрес – например, пользуясь ICQ, легко узнать IP компьютера собеседника. Вот и еще одна задача брандмауэра – держать порты закрытыми для предотвращения взлома, а также проникновения в компьютер сетевых червей. Не менее важной функцией файрвола является наблюдение за всеми установленными и запущенными приложениями. Дело в том, что зачастую вредоносные программы, чтобы обойти брандмауэр и получить доступ в сеть, маскируются под обычное безопасное ПО или даже внедряются в память уже запущенных программ. Таким образом, firewall отсекает все подозрительные контакты с внешним миром Для многих приложений выход в Интернет необходим для работы, например для браузера или почтовых клиентов. Но если программа Notepad.exe пытается отправить какую-то информацию – это уже выглядит подозрительно. На подобный случай у брандмауэра есть набор правил, как встроенных по умолчанию, так и задаваемых самим пользователем. Например, можно указать перечень доверенных приложений, которым будет гарантирован свободный доступ в Интернет, и черный список из тех, кому такой доступ нельзя давать ни при каких обстоятельствах. Помимо основных возможностей, файрволы обычно обладают и рядом дополнительных: они умеют ограничивать трафик по дням, неделям или месяцам, а также вести статистику для каждого приложения. Еще довольно часто применяется встроенная в брандмауэр функция блокирования интернет-рекламы или различных сайтов по адресу либо содержимому.
Встроенные в Windowsfirewall
Брандмауэры сетевого уровня защищают сеть от атак, при которых злоумышленники отыскивают бреши в защите сети или пытаются использовать уязвимости внутренних серверов сети. Эти брандмауэры не защищают сеть от червей и вирусов, передающихся через легитимный трафик, как, например, вложенные файлы электронной почты или при загрузке файлов из сети. К сожалению, пользователи не всегда подключают свои компьютеры к Internet через защищенные брандмауэром соединения. В аэропорте, гостинице, при посещении клиента или дома - компьютер может быть подключен к небезопасной сети, вне безопасного периметра. Администраторы корпоративных сетей могут минимизировать эти риски, применяя на сетевых компьютерах пользователей персональные брандмауэры, такие как брандмауэр Windows. Персональный брандмауэр работает на более низком уровне стека протоколов, чем прикладные программы и проверяет весть входящий и исходящий трафик на компьютере, на котором он установлен.
Как и другие брандмауэры сетевого уровня, брандмауэр Windows проверяет весь входящий трафик и блокирует весь трафик, который не запрошен пользователем и не разрешен списками доступа ACL. Брандмауэр Windows использует технологию определения состояния подключения для определения запрошенного трафика. При Web-серфинге брандмауэр запоминает соединения браузера и динамически открывает порт для получения данных на локальном компьютере. После закрытия соединения брандмауэр автоматически закрывает порт.
Использование персональных брандмауэров типа брандмауэра Windows на настольных компьютерах в дополнение к общей защите периметра сети позволяет достичь более высокой степени безопасности корпоративной сети. Нередким является сценарий, когда червь заражает ноутбук мобильного пользователя через незащищенное соединение, а затем ноутбук подключается к корпоративной сети, и червь распространяется по корпоративной сети, защищенной только по внешнему периметру. Персональные брандмауэры, установленные на настольных системах, позволяют предотвратить распространение вредоносных программ и минимизировать возможный ущерб.
Использование персональных брандмауэров в корпоративной сети требует значительных усилий со стороны ИТ-персонала, поскольку требует установки и настройки на каждом отдельном компьютере в сети. ICF требует индивидуальной настройки брандмауэра для каждого сетевого адаптера, что делает развертывание защиты весьма трудоемким процессом. Брандмауэр Windows позволяет сократить трудозатраты, защищая компьютер в целом и используя централизованное управление параметрами защиты. Кроме того, брандмауэр Windows является чувствительным к состоянию подключения, т.е. когда компьютер подключен к корпоративной сети, можно использовать более мягкие правила защиты, чем когда компьютер подключен к Internet и необходима максимальная защита. Защиту брандмауэра Windows следует включить даже в случае подключения к локальной корпоративной сети, чтобы исключить распространение червей, использующих для распространения подключение к случайным портам или сканирование портов. Необходимо настроить брандмауэр Windows таким образом, чтобы разрешить работу легальных приложений, таких как удаленный мониторинг и управление, совместный доступ к файлам и другие службы, используемые в корпоративной сети.
WindowsXPSP2
В WindowsXP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с WindowsXP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для WindowsXP, которой, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Появилась возможность задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.
Доступ к настройкам файрвола (брандмауэра) WindowsXPServicePack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками файрвола показан на рисунке справа.
В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт Не разрешать исключения включает режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.
Файрвол разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек файрвола собраны дополнительные настройки.
Можно отключить файрвол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файрвола к исходным.
Если заранее известно приложение, которое должно принимать входящие подключения из сети, то для него можно создать исключение вручную. Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающем на открываемом порту.
Результаты сканирования демонстрируют, что включение файрвола закрывает открытые порты и скрывает компьютер в сети.
Можно настроить брандмауэр Windows для ведения журнала в виде текстового файла на локальном компьютере или сетевом диске. Брандмауэр Windows может записывать события блокирования пакетов и успешных подключений. Журнал содержит необходимые сведения для устранения неисправностей и ошибок при невозможности подключиться к необходимым ресурсам или просмотре разрешенных соединений.
Вывод
Встроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный файрвол не сможет.
Нынешняя версия встроенного файрвола может рассматриваться лишь как универсальное решение для защиты от некоторых типов вирусов и ограничения доступа к сервисам операционной системы.
WindowsVista
Новая оснастка MMC
Оснастка консоли управления (MMC) ОС Windows Vista™ Брандмауэр Windows в режиме повышенной безопасности – это брандмауэр, регистрирующий состояние сети, для рабочих станций, фильтрующий входящие и исходящие соединения в соответствии с заданными настройками.На первый взгляд можно даже не заметить никаких отличий по сравнению с предыдущей версией брандмауэра, так как Microsoft упаковала все новые возможности в новую MMC-консоль, получившуюназвание Windows Firewall with Advanced Security (см. экран 1). Некоторые параметры брандмауэра можно по-прежнему настроить централизованно через Group Policy или же настроить брандмауэр локально при помощи командной утилиты Netsh. Как и другие оснастки, Windows Firewall with Advanced Security поддерживает удаленный доступ, который позволяет управлять настройкой брандмауэра на удаленной станции.
Брандмауэр Windows в режиме повышенной безопасности – это брандмауэр, регистрирующий состояние сети, для рабочих станций. В отличие от брандмауэров для маршрутизаторов, которые развертывают на шлюзе между локальной сетью и Интернетом, брандмауэр Windows создан для работы на отдельных компьютерах. Он отслеживает только трафик рабочей станции: трафик, приходящий на IP-адрес данного компьютера, и исходящий трафик самого компьютера. Брандмауэр Windows в режиме повышенной безопасности выполняет следующие основные операции:
-Входящий пакет проверяется и сравнивается со списком разрешенного трафика. Если пакет соответствует одному из значений списка, брандмауэр Windows передает пакет протоколу TCP/IP для дальнейшей обработки. Если пакет не соответствует ни одному из значений списка, брандмауэр Windows блокирует пакет, и в том случае, если включено протоколирование, создает запись в файле журнала.
-Список разрешенного трафика формируется двумя путями:
1 Когда подключение, контролируемое брандмауэром Windows в режиме повышенной безопасности, отправляет пакет, брандмауэр создает значение в списке разрешающее прием ответного трафика. Для соответствующего входящего трафика потребуется дополнительное разрешение.
2 Когда Вы создаете разрешающее правило брандмауэра Windows в режиме повышенной безопасности, трафик, для которого создано соответствующее правило, будет разрешен на компьютере с работающим брандмауэром Windows. Этот компьютер будет принимать явно разрешенный входящий трафик в режимах работы в качестве сервера, клиентского компьютера или узла однораноговой сети.
Первым шагом по решению проблем, связанных с Брандмауэром Windows, является проверка того, какой профиль является активным. Брандмауэр Windows в режиме повышенной безопасности является приложением, отслеживающим сетевое окружение. Профиль брандмауэра Windows меняется при изменении сетевого окружения. Профиль представляет собой набор настроек и правил, который применяется в зависимости от сетевого окружения и действующих сетевых подключений.
Брандмауэр различает три типа сетевого окружения: домен, публичная и частная сети. Доменом является сетевое окружение, в котором подключения проходят аутентификацию на контроллере домена. По умолчанию все другие типы сетевых подключений рассматриваются как публичные сети. При обнаружении нового подключения Windows Vista предлагает пользователю указать, является ли данная сеть частной или публичной. Общий профиль предназначен для использования в общественных местах, например, в аэропортах или кафе. Частный профиль предназначен для использования дома или в офисе, а также в защищенной сети. Чтобы определить сеть как частную, пользователь должен обладать соответствующими административными полномочиями.
Хотя компьютер может быть подключен одновременно к сетям разного типа, активным может быть только один профиль. Выбор активного профиля зависит от следующих причин:
Если для всех интерфейсов применяется аутентификация на контроллере домена, используется профиль домена.
Если хотя бы один из интерфейсов подключен к частной сети, а все остальные – к домену или к частным сетям, используется частный профиль.
Во всех остальных случаях используется общий профиль.
Для определения активного профиля нажмите узел Наблюдение в оснастке Брандмауэр Windows в режиме повышенной безопасности. Над текстом Состояние брандмауэра будет указано, какой профиль активен. Например, если активен профиль домена, наверху будет отображена надпись Профиль домена активен.
При помощи профилей брандмауэр Windows может автоматически разрешать входящий трафик для специальных средств управления компьютером, когда компьютер находится в домене, и блокировать тот же трафик, когда компьютер подключен к публичной или частной сети. Таким образом, определение типа сетевого окружения обеспечивает защиту вашей локальной сети без ущерба безопасности мобильных пользователей.
Входящие и исходящие сообщения
Брандмауэр Windows Vista блокирует входящий трафик по умолчанию, так что необходимо сразу же настроить список Exceptions, если планируется работать с сетевым приложением. Exceptions — это то, что Microsoft называет правилами (rules), а более точно, списки ACL.