Опубликован: 03.08.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Санкт-Петербургский государственный политехнический университет
Самостоятельная работа 1:

Межсетевые экраны

< Лекция 5 || Самостоятельная работа 1: 12345

Лабораторная работа 11. Вcтроенный межсетевой экран (firewall) Windows Server 2008

Персональный межсетевой экран появился в операционных системах семейства Windows, начиная с Windows XP / Windows Server 2003. В Windows Server 2008 возможности этого компонента существенно расширены, что позволяет более гибко производить настройки.

Текущие настройки можно посмотреть, запустив из Панели управления ( Control Panel ) Windows Firewall и выбрав в открывшемся окне ссылку Change Settings. Появившееся окно управления параметрами межсетевого экрана содержит 3 вкладки (Рис.11.1 a),b),c)). Первая из них позволяет включить или отключить межсетевой экран. Во включенном состоянии он может разрешать определенные входящие подключения или запрещать все входящие подключения (флажок Block all incoming connections ).

Окно управления параметрами межсетевого экрана

увеличить изображение
Рис. 11.1. Окно управления параметрами межсетевого экрана

Упомянутые исключения определяются на вкладке Exceptions. Там есть ряд предопределенных правил, а также пользователь может добавлять свои. Если нужно, чтобы какое-то приложение при включенном межсетевом экране обслуживало входящие подключения, для него должно быть описано правило. Сделать это можно либо указав программу (кнопка Add program ), либо описав разрешаемый порт и протокол (кнопка Add Port ). Пример формирования подобного правила представлен на рис.11.1 d). Там дается разрешение для подключения на TCP-порт 8080. Если надо ограничить перечень ip-адресов, с которых производится подключение, это можно сделать, нажав кнопку Change Scope (по умолчанию, разрешены подключения с любого адреса).

Установка флажка Notify me when Windows Firewall blocks a new program приводит к тому, что при попытке нового приложения принимать входящие подключения, пользователю будет выдано сообщение. Если пользователь разрешит такой программе работать, для нее будет сформировано разрешающее правило.

Вкладка Advanced (рис.11.1 c)) позволяет включить или отключить межсетевой экран для отдельных сетевых интерфейсов.

Задание

Откройте окно управления межсетевым экраном.

Опишите действующие настройки.

Создайте новое разрешающее правило.

Пока что работа с межсетевым экраном практически не отличалась от того, что было в Windows Server 2003. Новые возможности мы увидим, если из меню Administrative Tools запустить оснастку Windows Firewall with Advanced Security. В окне оснастки можно увидеть настройки для разных профилей и выполнить более тонкую настройку правил фильтрации ( рис. 11.2).

Окно оснастки Windows Firewall with Advanced Security

увеличить изображение
Рис. 11.2. Окно оснастки Windows Firewall with Advanced Security

Обратим внимание на правила фильтрации. Они разделены на две группы - входящие правила и исходящие правила. В нашем примере мы работаем на контроллере домена. И для контроллеров определено правило, разрешающее отправку icmp пакетов echo request (они, в частности, отправляются, если надо проверить доступность удаленного узла с помощью команды ping ).

Задание

  1. Найдите правило, разрешающее отсылку ICMP-пакетов echo reguest. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его ip-адрес (например, командой ping 192.168.0.10 можно проверить доступность компьютера с указаным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.
  2. Выбрав кнопку New Rule создайте правило, запрещающее отсылку icmp-пакетов на данный узел. Проверьте его работу.

Теперь рассмотрим настройку, связанную с ведением журналов межсетевого экрана. По умолчанию журналирование отключено. Но если возникает подозрение, что межсетевой экран мешает установлению какого-то типа сетевых соединений, можно включить эту опцию и проанализировать журнал.

На рис. 11.3 представлено главное окно оснастки. Выберем пункт Firewall Properties и активируем ведение журнала отброшенных пакетов ( рис. 11.4).

Главное окно оснастки

увеличить изображение
Рис. 11.3. Главное окно оснастки
Активируем ведение журнала

увеличить изображение
Рис. 11.4. Активируем ведение журнала

Для этого в группе Logging в окне рис.11.4 a) надо нажать кнопку Customize и выполнить настройку, представленную на рис. 11.4 b).

Задание

Активируйте ведение журнала.

Выполните команду ping для узла, для которого создавалось блокирующее правило.

Проверьте содержимое файла журнала (путь к нему описан в окне 11.4 b) ).

Записи должны быть примерно следующего вида:

Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

2009-01-31 22:43:02 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:03 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:04 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:05 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
< Лекция 5 || Самостоятельная работа 1: 12345
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Татьяна Гусельникова
Татьяна Гусельникова
Алексей Приходько
Алексей Приходько
Украина, Днепропетровск, Украинский государственный Химико-технологический университет, 2013
Юрий Волоховский
Юрий Волоховский
Украина, Харьков, ХарГАЖТ, 2007