Брандмауэры, NAT и безопасность

Используется ли модемное или выделенное подключение к Интернету, необходим брандмауэр для защиты системы от проникновения в результате DoS - и других видов атак. NAT защищает сеть от вторжения, но не может обеспечить такую же защиту, как брандмауэр. Рассмотрим варианты.

Windows ХР Internet Connection Firewall

Windows XP имеет собственный брандмауэр - Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF), который можно использовать для защиты системы. В большинстве случаев нужно запустить его только на компьютере, который предоставляет общий доступ к Интернету. Запуск его на каждой машине повлияет на возможность общего доступа к файлам и принтерам в сети.

Совет Брандмауэр в Windows ХР SP2 называется просто Брандмауэр Windows

(Windows Firewall). Обратитесь к разделу «Брандмауэр Windows пакета обновлений SP2» далее в главе для получения дополнительной информации.

Включение и настройка ICF относительно просты. Для включения ICF откройте папку Сетевые подключения, щелкните правой кнопкой по подключению к Интернету и выберите пункт Свойства (Properties). Щелкните по вкладке Дополнительно (Advanced) и выберите параметр, который начинается со слов Защитить мой компьютер н сеть.

Разрешение доступа к внутренним службам

Службы

Далее щелкните по кнопке Параметры (Settings), чтобы открыть диалоговое окно Дополнительные параметры (Advanced Settings) — рис. 24.6. Вкладка Службы (Services) служит для назначения гіорта адресу, которое позволит пользователям Интернета получить доступ к службам за брандмауэром. К примеру, если в сети есть Web-сервер, то нужно открыть порт 80, чтобы HTTP-трафик мог достигнуть сервера.

Выверите службы, работающие в вашей сети, к. которым могут получать доступ пользователи Интернета.

Службы:

Telnet-сервер

Безопасный веб-сервер (HTTPS)

Веб-сервер (HTTP)

О Дистанционное управление рабочим столом

Почтовый сервер Интернета (SMTP)

Протокол Internet Mai Access Protocol, версия З (ІМАРЗ)

Протокол Internet Mai Access Protocol, версия 4 (IMAP4)

Протокол Post-Office Protocol, версия З (РОРЗ)

ICF позволяет назначить различные службы компьютерам за брандмауэром. Эти службы Могут быть запущены на одном или нескольких компьютерах. Однако можно направить трафик для конкретной службы только на один компьютер.

Выберите службу, к которой требуется дать доступ пользователям Интернета. После установки флажка Windows ХР отобразит диалоговое окно Параметры службы (Service Settings), похожее на то, что изображено на рис. 24.7. Как видно из рисунка, можно ввести ІР-адрес или имя конечного компьютера, но нельзя изменить порт.

Совет Если вы указали имя компьютера, то ICF-компьютер должен иметь возможность преобразования этого имени в локальный ІР-адрес внутри сети.

Вкладка Службы (Services) содержит девять вариантов, включающих большую часть часто используемых служб, но сюда можно добавить и другие службы, например, чтобы разрешить подключения pcAnywhere или VNC к внутреннему серверу либо перенаправить весь входящий трафик по порту 80 на другой порт внутреннего сервера. Вы можете выполнить эту задачу, создав собственную службу.

1. Щелкните по кнопке Добавить (Add), чтобы открыть пустое диалоговое окно Параметры службы.

2. Введите имя службы, которое будет отображаться на вкладке Службы, и ІР-адрес или имя внутрисетевого компьютера, предоставляющего услугу.

3. В поле Внешний порт (External Port) введите порт, используемый внешними компьютерами для доступа к службе. Для HTTP-трафика, к примеру, это порт 80.

4. В поле Внутренний порт (Internal Port) введите порт внутрисетевого компьютера, который следит за трафиком.

Совет Почему Web-сервер может работать на порту, отличном от 80? Возможно, вы установили сторонний Web-сервер на компьютере, где запущены IIS, обеспечивающие доступ к принтерам компьютера. Таким образом, вы настраиваете сторонний сервер на использование порта 8080 (к примеру) и продолжаете использовать порт 80 для IIS.