Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 1970 / 251 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 6:

Особенности процесса разработки

Структура сети и фильтрация пакетов в интранет-сети

В результате работы по физической защите сайта (укрепления сервера, настройки локальной политики безопасности, аутентификации, настройки доступа и аудита действий пользователей) создаются защитные барьеры, предотвращающие несанкционированный доступ к системе. Во внутренней сети еще одним барьером защиты является фильтрация.

Совет. Если вы используете фильтрацию на веб-сервере в интранет-сети и физически расположили сервер в защищенном месте, то фильтрация на сетевом интерфейсе, предназначенном для управления сервером, не нужна. Не используйте фильтрацию, если приняты основательные меры по физической защите.

Возможности фильтрации пакетов в Windows 2000

Windows 2000 содержит возможность фильтрации в стеке протоколов TCP/IP. Используется простой набор правил, блокирующий все порты, кроме указанных (или открывающий доступ ко всем портам, кроме указанных), либо блокирующий (разрешающий) доступ по всему протоколу в целом.

Совет. Возможности Windows 2000 используются как в интернете, так и в интранет-сетях. Тем не менее, если сайт организации подключен к интернету, то сетевые экраны обычно используются для блокировки и фильтрации пакетов. Сетевые экраны имеют большие возможностями по блокировке, используя сложный набор методов для предотвращения проникновения в сеть различных видов трафика интернета. Полезные в интранет-сетях фильтры Windows 2000 не заменят собой хороший сетевой фильтр интернета.

Ниже приведены шаги по применению фильтрации TCP/IP в Windows 2000.

  1. Выберите команду Start\Settings\Control Panel (Пуск\Настройка\ Панель управления) либо щелкните правой кнопкой мыши на значке My Network Places (Сетевое окружение) на рабочем столе и откройте панель управления.
  2. Щелкните на значке Network And Dialup Connections (Сеть и удаленный доступ), щелкните правой кнопкой мыши на значке Local Area Connection (Подключение по локальной сети) и в появившемся меню выберите команду Properties, чтобы открыть окно Local Area Connection Properties (Свойства подключения по локальной сети), показанное ниже.

  3. Отметьте компонент Internet Protocol (TCP/IP) и нажмите на кнопку Properties, чтобы открыть окно Internet Protocol (TCP/IP) Properties (Свойства протокола интернета TCP/IP).
  4. Нажмите на кнопку Advanced (Дополнительно) в левом нижнем углу окна Internet Protocol Properties, чтобы открыть окно Advanced TCP/IP Settings (Дополнительные параметры TCP/IP), после чего откройте вкладку Options (Параметры). На рисунке показаны параметры TCP/IP.

  5. В списке опций выберите TCP/IP Filtering (Фильтрация TCP/IP) и нажмите на кнопку Properties, чтобы открыть диалоговое окно TCP/IP Filtering (Фильтрация TCP/IP), показанное на рисунке.

  6. Используемые правила фильтрации зависят от назначения сайта и от выполняемых на нем приложений. Если веб-сайт содержит только статические веб-страницы, заблокируйте все, за исключением порта TCP 80 для HTTP. Для этого выберите опцию Permit Only (Разрешить только) в столбце TCP, нажмите на кнопку Add (Добавить) и в появившемся диалоговом окно укажите номер порта. При использовании сайтом протокола защищенных сокетов (SSL) необходимо указать порт 443. Перед нажатием на кнопку OK отключите опцию Enable TCP/IP Filtering (all adapters) [Включить фильтрацию TCP/IP (все адаптеры)], если не будете применять это правило к сетевому интерфейсу, используемому для управления сервером.

Важно. Будьте осторожны с правилами! Если вы выберете Permit Only (Разрешить только) и не укажете ни одного номера порта, это будет интерпретировано как запрет по всем портам, и на сайт не сможет попасть ни один пользователь.

Процесс фильтрации аналогичен процессу, выполняемому для протокола UDP. Необходимо знать номер порта, для которого создается правило. Третий столбец в диалоговом окне TCP/IP Filtering (Фильтрация TCP/IP), имеющий заголовок IP Protocol (Протокол IP), используется для фильтрации по определенному протоколу. Необходимо указать протокол по номеру из справочной таблицы, поддерживаемой орагнизацией интернет-стандартов Internet Engineering Task Force (IETF) (см. "Приложение С. Справочные таблицы" ). По мере необходимости можете добавлять в список новые протоколы.

Совет. Информация по параметрам IP-протокола имеется на сайте Microsoft Technet (http://www.Microsoft.com/technet) в разделе "IP Protocol Filtering" или в документе с номером Q309798.

Дмитрий Дряничкин
Дмитрий Дряничкин
Россия, Казань
Виктор Шахов
Виктор Шахов
Россия, Москва