• Что такое. Что такое файрвол и для чего он нужен

    Интернет, не знает что такое фаервол и не принимает никаких мер защиты информации, то он неоправданно рискует. Согласно статистике, компьютер с (нет фаервола) подвергается риску заражения каждые 2-5 минут.

    О том, что существует огромное количество различных слышали все. А истории о потенциальных опасностях одна страшнее другой. Хотя, фокусировка лучей в одну точку или стирание микросхемы БИОС давно остались в прошлом, уступив место практической выгоде для создателей вредоносных программ, тем не менее, во время пребывания в Интернете защищать данные на компьютере просто необходимо.

    Прежде чем ответить на вопрос «что такое фаервол», необходимо указать, что антивирус и фаервол - это разные вещи. Не нужно путать эти термины! Часть вирусов распространяются путем запуска зараженного файла в «чистой» системе. Причем не принципиально, кто именно запускает инфицированную программу - пользователь или операционная система (функция автозапуск). А вот другие используют для распространения возможности глобальной Сети, не требуя непосредственного запуска. Очевидно, что если первых могут распознать программы антивирусной защиты, то против сетевого заражения они практически бессильны.

    Чтобы ответить на вопрос «что такое фаервол», рассмотрим простой пример. Компьютер, подключенный к сети - это дом, с множеством окон и дверей. Некоторые двери предназначены для гостей, так как ведут сразу в гостиную, другие - для котов и собак и пр. То же самое с окнами: одно должно быть постоянно приоткрыто, так как через него проходит нитка, с помощью которой ребенок переговаривается с другом-соседом, другое открывается периодически, а третье - глухое. Очевидно, что держать их все «нараспашку» - довольно опасно, ведь любой вор может без труда вынести из дома что угодно.

    Окна и двери в данном примере - это сетевые компьютерные порты. Если пользователь не знает, что такое фаервол и не установил соответствующую программу, то все Через них можно получить доступ к информации на компьютере: непосредственно украсть или инфицировать систему вредоносным кодом. Фаервол это специальная программа, закрывающая «лишние» порты и позволяющая гибко настроить работу с необходимыми. По аналогии с домом - это страж, безошибочно определяющий, где посетитель желанный, а где - нет. Название произошло от англ. Firewall (стена огня). Иногда встречается термин брандмауэр - это немецкий синоним. Проверить состояние портов компьютера можно на российском сайте 2ip.

    Брандмауэр входит в состав системы Виндовс, однако он довольно простой, поэтому рекомендуется обратить внимание на специализированные продукты. Их очень много и каждый найдет для себя наилучшее решение.

    Пользователям, желающим полностью обезопасить информацию на своем компьютере, стоит попробовать воспользоваться комплексными программными решениями. Обычно в их названии есть слово «Security». Например, Kaspersky Internet Security, Comodo Internet Security, Norton Internet Security и пр. Эти программы объединяют в себе качественный антивирус и фаервол. Однако многие подобные решения распространяются на платной основе. В то же время, существуют как бесплатные фаерволы, так и антивирусы. Так, установив, например, антивирус Avira Free (бесплатный) и Comodo Firewall, можно организовать надежную защиту от вредоносных программ. Все фаерволы обеспечивают различные возможности защиты, поэтому перед окончательным выбором нужно попробовать выбранных «претендентов». Например, фаервол, входящий в состав Dr.Web, при попытках пользовательских программ получить доступ в Сеть, выводит с вариантами действий. Это может быть удобно, если какая-либо программа «без спроса» хочет выйти в Интернет.

    С приходом широкополосного доступа в Интернет, увеличением пропускной возможности, Интернет вошел в нашу повседневную жизнь где мы общаемся, обмениваемся информацией и решаем повседневные задачи быстрее, чем на старых коммутируемых линиях. Тем не менее, не все так гладко, так как те же самые преимущества в плане скорости есть и у злоумышленников. Распространение вирусов, проведение хакерских атак на все виды компьютеров (личные, рабочие, корпоративные) через сеть увеличилось в разы.

    Чтобы не стать жертвами сетевых атак, есть несколько видов программ, предназначенных для защиты системы. И один из этих видов это брандмауэр или файервол.

    Закрываем окна и двери

    Для того что бы воры не проникли в ваш дом вы запираете свои двери и окна, устанавливаете решетки, сигнализацию. Брандмауэр выполняет те же задачи «блокируя» все двери и окна вашего компьютера, так что только авторизованные(знакомые) данные могут прийти и уйти. У пользователя есть возможность вручную отрыть или закрыть дверь (порт), например для корректной работы нужной программы.

    Говоря техническим языком, брандмауэр отвечает за контроль данных, передаваемых как в, так и из вашего компьютера через Интернет и иные сети, предотвращая утечку или кражу личной или конфиденциальной информации, предотвращая вторжение извне злоумышленников, так называемых хакеров.

    ПРИМЕЧАНИЕ: Файрвол не заменит антивирус! Он работает как таможенный фильтр, который ограничивает прохождение данных, через ваш компьютер. Антивирус необходим, поскольку защищает от другого типа угроз, например пользователь может сам разрешить какой-нибудь программе доступ к сети, даже не подозревая, что она вредоноснная, вот здесь то и поможет антивирус.

    Виды файрволов

    В зависимости от типа соединения, используемого на компьютере, может использовать два типа брандмауэра:

    • Аппаратный
    • Программный

    Аппаратные файрволы встроены в маршрутизаторы и модемы широкополосного доступа в Интернет. А программным считаем тот, который можно скачать и установить в операционной системе. Например Windows поставляется со встроенным программным брандмауэр, но вы можете его отключить и с большим количеством опций и гарантий безопасности.

    Большое преимущество использования аппаратного брандмауэра, проявляется, если ваша сеть имеет более одного компьютера. Все машины в сети будут подключены к одному маршрутизатору, который сразу для машин будет выполнять функцию межсетевого экрана. Конечно, же та или иная функциональность будет зависеть от модели используемого маршрутизатора, поэтому проверяйте эту информацию прежде чем приобрести себе оборудование. Отдавайте предпочтения маршрутизаторам, роутерам, которые идут с встроенным брандмауэром, это повысит безопасность машин в вашей сети.

    В случае если все таки у вас есть маршрутизатор, но без файрвола, то остается использовать программный брандмауэр. Есть возможность на одном из компьютеров настроить политику безопасности под себя и через импорт/экспорт правил перенести их на другую машину.

    Принцип работы брандмауэра

    Аппаратные и программные фаерволы работают одинаково. В соответствии с конфигурацией, определяемой пользователем, брандмауэр сравнивает полученные данные с политиками безопасности и либо пропускает, либо блокирует пакеты. Для иллюстрации работы, давайте представим, что компьютер — это хозяйственная сумка. Вы брандмауэр, а интернет — это магазин с продуктами. У вас есть список покупок того, что надо купить, рассмотрим его как разрешения для брандмауэра. Пусть он у нас содержит такие элементы как “овощи”, “фрукты” и “хлеб”.

    На компьютере, брандмауэр будет блокировать прохождение любого элемента, который отличается от «овощей», «фруктов» и «хлеба», и не допустит их в вашу «сумку», а пропустит только то что есть в списке, такой список называется белым. Отсюда важность правильной настройки брандмауэра, потому что, если вы включите «пиво» или «чипсы» в белый список, фаервол не будет их блокировать.

    Метод, описанный выше, называется «Фильтрация пакетов» . Все данные проходящие в сети организованы в пакеты.

    Так же, как и любое другое решение безопасности, брандмауэр не сможет обеспечить 100% защиту, поскольку существуют злоумышленники, специализирующиеся на проникновении через все элементы безопасности, использующие недокументированные особенности Windows и иные средства и методы. Так например опытные хакеры могут представить свой продукт «чипсы» под видом «хлеба», спрятавшись внутри, что естественно соответствует разрешенным «правилам» брандмауэра и он его пропустит, а затем получив доступ к Вашей машине сделает свое грязное дело.

    Так какой лучше использовать аппаратный или программный firewall

    Ответ на этот вопрос будет спорным, поскольку многие придерживаются мнения, что достаточно и одного из двух, но в идеале лучше иметь как программный так и аппаратный firewall.
    Рассмотрим один из возможных случаев: У вас только программный файервол, вы запускаете вредоносную программу, только что загруженную из Интернета, и в ней реализовано возможность автоматически перенастроить правила вашего брандмауэра, чтобы принимать вредоносные пакеты. Аппаратный же так не получится перенастроить, потому что даже если ваша машина инфицирована, она не будет иметь доступа к программному обеспечению внешних устройств, таких как маршрутизаторы, модемы, роутеры.

    Нужен ли антивирус если у меня файрвол?

    Как уже объяснялось выше, файрвол действует как фильтр соединений, предотвращая передачу и получение нежелательных данных путем закрытия всех нежелательных портов. Тем не менее, порты, используемые вашим браузером Chrome, Safari, Opera или электронной почтой, по умолчанию открыты (иначе вы не смогли попасть ни на какой сайт или получить почту).
    Таким образом на компьютер могут попасть вирусы из спам-сообщений электронной почты, или быть загруженными с веб-сайтов, потому что загрузка не защищена межсетевым экраном, так как она проходит через открытые порты.

    Таким образом, брандмауэр не заменяет антивирусы! Он просто необходим. Поэтому скачайте и установите с нашего сайта.

    Подводим итоги

    Что делает файрвол:

    • Предотвращает вашу машину от вторжений извне.
    • Блокирует передачу данных с вашего компьютера, кроме тех, которые разрешены.

    Что не делает файрволл?

    • Не защищает от загружаемых пользователем программ.
    • Не блокирует сообщения почтовых программ.
    • Не в силах воспрепятствовать пользователю создать ошибочные исключения, которые могут подвергнуть компьютер риску.

    Лучший способ защитить компьютер, это настроить брандмауэр, на блокировку всего! Это может показаться немного странным, но это только первый шаг. Если заблокировать все, то очевидно, что ничего не будет работать, но затем вы последовательно разрешаете лишь то, что вам необходимо для работы на компьютере, тем самым не пропустите и не забудете заблокировать какую-нибудь стороннюю программу..

    Что такое firewall?
    Владимир Красавин

    Все больше людей, купив компьютер с модемом для решения задач различного вида, отваживаются на подключение своих новеньких компьютеров к глобальной сети Internet, не подозревая о проблемах ее безопасности. Применяя компьютеры, имеющие выход в Internet, в коммерческих целях, а, главное, при передаче и хранении информации, содержащей сведения конфиденциального характера, вы очень рискуете.


    Ежегодные потери, связанные с компьютерными преступлениями в глобальной Сети, оцениваются сотнями миллионов долларов. Поэтому использование локальных компьютеров как для передачи и хранения информации, содержащей коммерческую или личную тайну, так и для работы в Internet, требует построения эффективной системы защиты.

    Однако создание слишком мощной, а, следовательно, очень дорогой системы защиты ведет к неэффективному использованию материальных ресурсов и снижению производительности системы в целом из-за ее высокой сложности. Проще говоря, компьютер будет сильно "тормозить".

    Полностью защитить информацию на удаленном компьютере практически невозможно из-за появления новых типов угроз в компьютерных сетях. Значит, необходим постоянный анализ и достаточно частое обновление систем обеспечения информационной безопасности на локальном компьютере. Сегодня мы рассмотрим проблемы, связанные с использованием удаленного (модемного) доступа, а также пути решения задачи обеспечения безопасности компьютера, имеющего выход в Internet, при помощи межсетевого экрана, который чаще называют firewall.

    Доступ при помощи модема является потенциально опасным и может свести на нет всю систему защиты. Злоумышленник может попытаться проникнуть в удаленный компьютер, даже, не выходя из дома. Через Internet нарушитель может получить пароли, адреса серверов, а иногда и их содержимое, незаконно скопировать важную и ценную для владельца информацию, вторгнуться на удаленный компьютер и получить несанкционированный доступ к личной информации.

    Поскольку цель статьи - помощь пользователю в обеспечении информационной безопасности на его собственном удаленном (по отношению к Internet) компьютере, то имеет смысл сначала рассмотреть, что же это такое - межсетевой экран, а затем и принципы его функционирования.

    Межсетевой экран - это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере, а также для контроля за внешними ресурсами, к которым имеют доступ другие пользователи данного компьютера. Например, вы понимаете, что некоторые сетевые службы небезопасны с точки зрения компьютерной защиты информации, а другие члены вашей семьи могут этого не понимать.

    В основном межсетевые экраны работают с программами маршрутизации и фильтрами всех сетевых пакетов, чтобы определить, можно ли пропустить данный информационный пакет и если можно, то отправить его точно по назначению к компьютерной службе. Для того чтобы межсетевой экран мог сделать это, ему необходимо определить набор правил фильтрации. Главная цель систем межсетевого экранирования - это контролирование удаленного доступа внутрь или изнутри защищаемого компьютера. Основными устройствами удаленного доступа являются модемы. Управлять безопасностью подключений с помощью модемов будет намного легче, если сосредоточиться на проверке и оценке всех соединений, а затем осуществлять допустимые соединения с ответственными компьютерными службами (TELNET, FTP).

    Пользователь через модем соединяется с модемным пулом провайдера, чтобы затем с его помощью осуществить необходимые соединения (например, с помощью протокола TELNET) с другими системами в мировой сети. Некоторые межсетевые экраны содержат средства обеспечения безопасности и могут ограничивать модемные соединения с некоторыми системами или потребовать от пользователей применения средств аутентификации.


    Рис. 1. То, что вы видите - это не набор отдельно взятых аппаратных средств, а программно-реализованный алгоритм. Управлять безопасностью подключений с помощью модемов будет намного легче, если сосредоточиться на проверке и оценке всех соединений, а затем произвести допустимые соединения с ответственными компьютерными службами (TELNET, FTP). Стандартное размещение модема и межсетевого экрана на компьютере заставляет модемные соединения осуществляться через систему firewall, т. е. сначала происходит модемное соединение, а затем функции обеспечения безопасности принимает на себя межсетевой экран.

    На рис. 1 показан модем и межсетевой экран. Поскольку к соединениям с модемами нужно относиться с тем же подозрением, что и к соединениям с Internet, то стандартное размещение модема и межсетевого экрана на компьютере заставляет модемные соединения осуществляться через систему firewall, т.е. сначала происходит модемное соединение, а затем межсетевой экран принимает на себя функции обеспечения безопасности.

    Межсетевой экран по представленной схеме реализует довольно-таки безопасный метод управления модемами. Если компьютер использует для защиты модемного доступа средства аутентификации, то он должен строго придерживаться политики, предоставляющей подключение к модемам любого пользователя. Даже если модемы обладают свойствами безопасности, это усложняет схему защиты с помощью межсетевого экрана, и тем самым добавляет в цепь обеспечения безопасности еще одно слабое звено.

    Так как другого пути в сеть, кроме как через модем и межсетевой экран нет, то при помощи проверки и оценки подключений обеспечивается выполнение политики доступа к компьютеру. Межсетевой экран в нашем случае является программой, установленной на персональном компьютере специально для того чтобы защищать компьютер от протоколов и служб, которые злоумышленники могли бы использовать для выполнения незаконных действий из мировой сети Internet. Межсетевой экран устанавливается на компьютере таким образом, чтобы не было входящих запросов, которые могли бы получить ресурсы частного компьютера в обход межсетевого экрана (см. рис.2).


    Рис.2. На рисунке показана стандартная схема подключения межсетевого экрана на компьютере. На схеме функции фильтра пакетов и шлюза прикладного уровня (уровня приложений) выполняются на двух раздельных устройствах, хотя обычно обе эти функции обеспечиваются одним устройством. Межсетевые экраны можно сравнить с «бутылочным горлышком» между модемами и стандартными системами компьютера.

    В компьютере часто происходят сбои, нарушающие управление системой. Поэтому встает вопрос поддержания компьютером некоторого уровня безопасности. Ошибки в обеспечении безопасности становятся общими, взломы чаще происходят не в результате комплекса атак, а из-за простых ошибок в конфигурации системы. Причина может крыться и в недостаточном уровне безопасности паролей. Поэтому для действительной безопасности компьютера требуется система, которая будет обладать всеми необходимыми характеристиками.


    Рис.3. Редактор политики безопасности. Firewall обеспечивает надежные средства для выполнения предписанной политики доступа к компьютеру. Фактически межсетевой экран обеспечивает управление доступом пользователей и служб. Таким образом, политика доступа к компьютеру может быть предписана межсетевому экрану, в то время как без firewall защита и безопасность компьютера полностью зависят от профессионализма пользователей.

    Firewall может частично решить проблемы, связанные с обеспечением безопасного функционирования компьютеров. Межсетевой экран разрешает работать только тем службам, которым было явно разрешено работать на защищаемом компьютере. В результате компьютер остается незащищенным перед небольшим количеством предварительно разрешенных служб, тогда как все остальные службы запрещены. Firewall также обладает способностью контролировать вид доступа к защищаемому компьютеру. Например, некоторые компьютерные службы могут быть объявлены достижимыми из глобальной сети Internet, в то время как другие могут быть сделаны недоступными. Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP). Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью.


    Рис. 4. Фильтрование TELNET и SMTP-пакетов. Пользователь может блокировать модемные соединения, идущие от конкретных адресов тех хостов, которые считаются враждебными или ненадежными. В качестве альтернативы фильтрующий маршрутизатор может заблокировать все возможные соединения, идущие от различных IP-адресов, внешних к вашему компьютеру (с некоторыми исключениями, такими как SMTP для получения электронной почты и TELNET). >

    Главное правило при описании политики доступа - это запрещение доступа к службам, которым для работы не требуется доступ из внешней сети. Firewall фактически обойдется и дешевле для пользователей, т. к. все основное и дополнительное программное обеспечение для гарантии безопасности может быть расположено на одном межсетевом экране.

    Секретность имеет важное значение для некоторых компьютеров и их владельцев. Даже если информация и не содержит секретных сведений, все равно найдутся данные, полезные для нападающего. Используя firewall, некоторые специалисты по компьютерной безопасности могут блокировать такие службы, как finger и Domain Name Service (DNS).

    Система firewall используется также для того, чтобы блокировать DNS-информацию о защищаемом компьютере, и делать это таким образом, чтобы имя и IP-адрес компьютера не были бы доступны злоумышленникам в Internet.

    Основные компоненты

    Основными компонентами системы firewall являются:

    • политика безопасности сети;
    • механизм аутентификации;
    • механизм фильтрации пакетов;
    • шлюзы прикладного уровня.

    Следующие разделы описывают некоторые из этих компонентов более подробно.

    Политика безопасности

    Существует два уровня политики безопасности компьютера, непосредственно влияющие на установку и использование межсетевого экрана. Политика высокого уровня или политика доступа к компьютеру определяет те службы, которые будут допускаться через модем и которым будет запрещено работать на компьютере, она описывает также, как эти службы будут использоваться, и какие условия являются исключениями в этой политике. Политика низкого уровня описывает, как межсетевой экран будет фактически выполнять задачу ограничения доступа и фильтрования служб, которые были определены политикой высокого уровня.


    Рис.5. Менеджер безопасности межсетевого экрана FireWall-1 фирмы CheckPoint. Эта система управления межсетевым экраном позволяет настраивать такие полезные свойства, как политику безопасности, аутентификацию, шифрование и многие другие.

    Правила доступа к защищаемым ресурсам должны базироваться на одном из следующих принципов:

    • разрешать все, что не запрещено в явной форме;
    • запрещать все, что не разрешено в явной форме.
    Службы, указанные ниже, по существу небезопасны и обычно фильтруются. Однако возможно ограниченное применение при соблюдении правил безопасной работы через модем на компьютере только теми службами, которые нуждаются в них.
    Эти сведения, скорее, относятся к системному администрированию. Но и для владельцев домашних компьютеров они будут познавательны. Итак, приведем некоторые из подобных служб:
    • TELNET, порт 23 - часто ограничивается для работы только в некоторых системах;
    • FTP, порты 20 и 21, как и TELNET - часто ограничивается только некоторыми системами;
    • SMTP, порт 25 - часто ограничен только центральным сервером электронной почты;
    • RIP, порт 520 - протокол маршрутизации может быть использован при перенаправлении пакетов маршрутизации;
    • DNS, порт 53 - служба имен доменов, содержит имена хостов и информацию о хостах, которая может быть полезна для нападающих;
    • UUCP, порт 540, UNIX-to-UNIX COPY - если неправильно сконфигурирована, то может быть использована для осуществления несанкционированного доступа;
    • NNTP, порт 119 - протокол передачи новостей в Сети может быть использован для доступа в Internet и чтения сетевых новостей;
    • Gopher и http, порты 70 и 80 - это информационные серверы и программы клиента для проведения поиска и для работы WWW-клиента.

    Межсетевой экран, осуществляющий первый принцип, разрешает по умолчанию всем службам работать на защищаемом компьютере, за исключением тех служб, которые политика доступа к службам отвергает, считая их небезопасными. Firewall, осуществляющий второй принцип, отвергает по умолчанию все службы, но пропускает те службы, которые были определены как безопасные. Этот второй принцип следует из классической модели доступа, используемой во всех областях информационной безопасности. Первая политика модемного доступа менее желательна, так как она предлагает большее количество путей для обхода межсетевого экрана.


    Рис. 6. Виртуальное соединение, выполненное шлюзом прикладного уровня. Чтобы противостоять недостаткам, возникающим при фильтровании пакетов фильтрующими маршрутизаторами, межсетевые экраны должны использовать специальные приложения для того чтобы фильтровать пакеты таких служб, как TELNET и FTP. Такие программы называются полномочными серверами, а хосты, на которых они установлены, называются шлюзами прикладного уровня.

    Политика доступа к службам - наиболее важный из четырех описанных компонентов межсетевого экрана, установленного на вашем компьютере. Другие три компонента используются, чтобы выполнять и предписывать политику. (И, как отмечено выше, политика доступа к службам должна быть симметрична мощной и всесторонней организации политики безопасности.) Эффективность межсетевого экрана для защиты компьютера зависит от типа используемого межсетевого экрана, процедур межсетевого экранирования и политики доступа к службам.

    Фильтрование пакетов

    Еще одной важной характеристикой обеспечения удаленного доступа является фильтрование пакетов. Обычно используют фильтрующий маршрутизатор, разработанный специально для фильтрования пакетов, проходящих через маршрутизатор. Фильтрующий маршрутизатор - это чаще всего программа, настроенная так, чтобы по отдельным данным фильтровать пакеты, доставленные модемом. Обычно фильтр проверяет данные, располагающиеся в заголовке пакета, такие, как IP-адрес источника и получателя, некоторые другие.


    С выходом в Internet пользователи начинают испытывать потребность в защите своих данных от атак извне. В связи с этим компаниями, продавцами межсетевых экранов, прогнозировался рост числа продаж firewall до 1,5 млн к 2000 г. что в результате и произошло.

    Отдельные фильтрующие маршрутизаторы исследуют, с какого сетевого маршрутизатора прибыл пакет, используя затем эту информацию как дополнительный критерий фильтрования. Фильтрование может происходить различными способами: блокировать соединения и с определенными хостами и сетями, и с определенными портами. Пользователь может блокировать соединения, идущие от конкретных адресов тех хостов, которые рассматриваются как враждебные или ненадежные. В качестве альтернативы фильтрующий маршрутизатор может заблокировать все возможные соединения, идущие от различных IP-адресов, внешних к данному компьютеру (с некоторыми исключениями, такими, как SMTP для получения электронной почты).

    Решение на фильтрование некоторых протоколов зависит от политики доступа через модем к вашему компьютеру, т. е. - какая служба должна иметь доступ из Internet и какой тип доступа к этой службе можно разрешить.


    Фильтры пакетов анализируют приходящие IP-пакеты и пропускают или не пропускают их в зависимости от предопределенного списка правил фильтрации. В целом фильтры пакетов представляют наименее дешевые решения для брандмауэра, но благодаря своему умению проверять пакеты различных протоколов, они являются и наиболее гибкими. Кроме того, фильтры работают быстро, поскольку они просто просматривают информацию о пакете при принятии решения.

    В то время как некоторые службы, такие, как TELNET или FTP, по существу небезопасны, то, блокируя модемный доступ к ним в редакторе политики доступа, вы увеличиваете вероятность долгого и нормального функционирования вашего компьютера. Не все системы обычно требуют доступа ко всем службам. Например, ограничивая TELNET или FTP-доступ из Internet, можно улучшить состояние безопасности компьютера. Службы типа NNTP могут казаться безопасными, но ограничение этих служб позволяет создавать более высокий уровень безопасности на компьютере и снижает вероятность применения данной службы при атаке.


    Шлюзы приложений следят за пакетами на уровне приложений и инициируют уполномоченный сеанс, а не устанавливают прямое соединение между внешним миром и компьютером. Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания запрашиваемой услуги, допустим TELNET, FTP, World Wide Web или электронная почта.

    Фильтрование входящих и исходящих пакетов упрощает правила фильтрования пакетов и дает возможность фильтрующему маршрутизатору более легко определять степень опасности IP-адреса. Фильтрующие маршрутизаторы, не владеющие такой способностью, имеют большое количество ограничений при выполнении стратегии фильтрования. Отвечающие за это фильтрующие маршрутизаторы должны выполнять обе перечисленные выше политики фильтрования.

    Шлюз прикладного уровня

    Пользователь, который хочет соединиться с каким-либо удаленным компьютером Сети, должен сначала соединиться с межсетевым экраном и только затем с нужной службой требуемого компьютера через шлюз прикладного уровня системы firewall. Шлюз прикладного уровня - это программа, реализующая доступ к требуемым службам. Модемное соединение происходит следующим образом:

    • сначала внешний пользователь устанавливает TELNET-соединение со шлюзом прикладного уровня;
    • сервер проверяет IP-адрес отправителя и разрешает или запрещает соединение в соответствии с критерием доступа;
    • внешнему пользователю может понадобиться доказать свою подлинность (возможно, при помощи одноразовых паролей);
    • шлюз прикладного уровня устанавливает TELNET-соединение между ним самим и TELNET-сервером затребованного компьютера;
    • шлюз прикладного уровня осуществляет обмен информацией по установленному соединению;
    • шлюз прикладного уровня регистрирует соединение.

    Шлюз прикладного уровня пропускает только те службы, которые ему разрешено обслуживать. Другими словами, если шлюз прикладного уровня имеет полномочия на обслуживание только FTP и TELNET, то только FTP и TELNET могут быть допущены в защищаемую подсеть, а все другие службы будут полностью блокироваться. Firewall также предотвращает доступ всех оставшихся небезопасных служб. Другая польза от использования шлюза прикладного уровня - это то, что он может фильтровать протоколы. Некоторые межсетевые экраны, например, могут фильтровать FTP-соединения и запрещать использование команд FTP, таких, как put, что гарантирует невозможность записи информации на анонимный FTP-сервер.

    Firewall служит маршрутизатором к системе назначения и вследствие этого может перехватывать модемные соединения и затем делать обязательную проверку, например, запрос пароля. В дополнение к TELNET, шлюзы прикладного уровня используются обычно для фильтрования FTP, электронной почты и некоторых других служб.


    Аутентификация пользователя. С тех пор как межсетевой экран может централизовать доступ к сети и управлять им, он является логичным местом для установки программного и аппаратного обеспечения усиления аутентификации.

    В завершение хотелось бы еще раз подчеркнуть, что компьютеры, имеющие модемный выход в Internet, подвержены значительному риску быть атакованными нарушителями или стать плацдармом для атаки на другие компьютеры. Также хочу отметить, что хотя применение систем межсетевого экранирования позволяет защититься от целого ряда угроз, однако они обладают целым рядом недостатков и, кроме того, существуют угрозы, которым они не могут противостоять. Различные схемы применения межсетевых экранов и модемов предназначаются для обеспечения безопасности компьютеров от угроз определенного вида. Для успешного противодействия угрозам из Internet должны применяться сочетания из основных типов межсетевых экранов, эффективно перекрывающих небезопасные модемные соединения. Системы межсетевого экранирования в настоящее время все же могут служить достаточно надежным барьером для защиты удаленных компьютеров от атак со стороны Internet.

    31Окт

    Что такое Брандмауэр (Файрвол)

    Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и . Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.

    Что такое Брандмауэр (Файрвол) – простыми словами.

    Простыми словами, Брандмауэр (Фаервол) – это специальные защитные компьютерные программы, которые постоянно сканируют получаемые и отправляемые в интернет данные. Образно говоря, это виртуальные стены, которые защищают компьютер от опасностей интернета: вирусы, руткиты, шпионские программы, и тд. Хотя стоит отметить, что брандмауэр не является единственным или самым надежным источником защиты вашего компьютера. Как правило, для обеспечения наибольшей безопасности, брандмауэр (Файрвол), всегда работает в связке с антивирусом и анти-шпионским программным обеспечением.

    В большинстве случаев, брандмауэр устанавливается непосредственно на рабочую машину (ПК), но иногда, как в случаях с различными офисами, где присутствует много компьютеров, файрвол ставится в виде физического устройства (но об этом позже ). Пользователям операционной системы Windows, нет нужды устанавливать брандмауэр самостоятельно (отдельно ), так как в ОС изначально присутствует собственный — Брандмауэр Windows .

    Брандмауэр – как это работает, простыми словами.

    Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую ​​как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран (файрвол ), где в зависимости от установленных параметров, данные будут пропущены или остановлены.

    Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам. Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.

    Что такое Аппаратный брандмауэр и способы защиты сети?

    Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.

    Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.

    Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.

    Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве . Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.

    Основные проблемы с брандмауэрами.

    Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми, так как фаервол, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами.

    Категории: , / / от


    И наконец, что такое файрвол и как его отключить на windows xp?

    Файрвол в переводе из английского - огненная стена. Что по аналогии можно понять как стена не позволяющая нежелательным объектам попадать внутрь чего либо.

    Файрвол - это специализированный программа-помощник, который не позволяет определенному трафику получать доступ в ваш компьютер. Своего рода сторожевая собака, которая впускает своих и не пускает чужих информационных объектов.

    Кто чужой, а кто свой вы сами определяете путем настройки параметров файрвола. Часто задают вопрос типа, что такое файрвол и как его отключить на windows xp? Иногда стандартно настроенный файрвол не позволяет получить нужную информацию, из за блокировки порта. В этом случае, либо нужно разблокировать порт все в тех же настройках файрвола, либо отключить файрвол вообще.

    Чтобы отключить файрвол, необходимо в панели управления перейти на поле Система и безопасность. Потом, выбираете включение и отключение параметров брандмауэра windows (это официальное название файрвола). Потом проставляете соответствующие галочки и подтверждаете, что делали все это сознательно. Вот и все, и вы уволили своего охранника трафика.

    Файрвол это часть системы безопасности от вирусов вашего компьютера, и правильная настройка его параметров позволит спокойно и безопасно колесить просторами интернета.

    Читать еще: