Россия |
Особенности процесса разработки
Структура сети и фильтрация пакетов в интранет-сети
В результате работы по физической защите сайта (укрепления сервера, настройки локальной политики безопасности, аутентификации, настройки доступа и аудита действий пользователей) создаются защитные барьеры, предотвращающие несанкционированный доступ к системе. Во внутренней сети еще одним барьером защиты является фильтрация.
Совет. Если вы используете фильтрацию на веб-сервере в интранет-сети и физически расположили сервер в защищенном месте, то фильтрация на сетевом интерфейсе, предназначенном для управления сервером, не нужна. Не используйте фильтрацию, если приняты основательные меры по физической защите.
Возможности фильтрации пакетов в Windows 2000
Windows 2000 содержит возможность фильтрации в стеке протоколов TCP/IP. Используется простой набор правил, блокирующий все порты, кроме указанных (или открывающий доступ ко всем портам, кроме указанных), либо блокирующий (разрешающий) доступ по всему протоколу в целом.
Совет. Возможности Windows 2000 используются как в интернете, так и в интранет-сетях. Тем не менее, если сайт организации подключен к интернету, то сетевые экраны обычно используются для блокировки и фильтрации пакетов. Сетевые экраны имеют большие возможностями по блокировке, используя сложный набор методов для предотвращения проникновения в сеть различных видов трафика интернета. Полезные в интранет-сетях фильтры Windows 2000 не заменят собой хороший сетевой фильтр интернета.
Ниже приведены шаги по применению фильтрации TCP/IP в Windows 2000.
- Выберите команду Start\Settings\Control Panel (Пуск\Настройка\ Панель управления) либо щелкните правой кнопкой мыши на значке My Network Places (Сетевое окружение) на рабочем столе и откройте панель управления.
- Щелкните на значке Network And Dialup Connections (Сеть и удаленный доступ), щелкните правой кнопкой мыши на значке Local Area Connection (Подключение по локальной сети) и в появившемся меню выберите команду Properties, чтобы открыть окно Local Area Connection Properties (Свойства подключения по локальной сети), показанное ниже.
- Отметьте компонент Internet Protocol (TCP/IP) и нажмите на кнопку Properties, чтобы открыть окно Internet Protocol (TCP/IP) Properties (Свойства протокола интернета TCP/IP).
- Нажмите на кнопку Advanced (Дополнительно) в левом нижнем углу окна Internet Protocol Properties, чтобы открыть окно Advanced TCP/IP Settings (Дополнительные параметры TCP/IP), после чего откройте вкладку Options (Параметры). На рисунке показаны параметры TCP/IP.
- В списке опций выберите TCP/IP Filtering (Фильтрация TCP/IP) и нажмите на кнопку Properties, чтобы открыть диалоговое окно TCP/IP Filtering (Фильтрация TCP/IP), показанное на рисунке.
- Используемые правила фильтрации зависят от назначения сайта и от выполняемых на нем приложений. Если веб-сайт содержит только статические веб-страницы, заблокируйте все, за исключением порта TCP 80 для HTTP. Для этого выберите опцию Permit Only (Разрешить только) в столбце TCP, нажмите на кнопку Add (Добавить) и в появившемся диалоговом окно укажите номер порта. При использовании сайтом протокола защищенных сокетов (SSL) необходимо указать порт 443. Перед нажатием на кнопку OK отключите опцию Enable TCP/IP Filtering (all adapters) [Включить фильтрацию TCP/IP (все адаптеры)], если не будете применять это правило к сетевому интерфейсу, используемому для управления сервером.
Важно. Будьте осторожны с правилами! Если вы выберете Permit Only (Разрешить только) и не укажете ни одного номера порта, это будет интерпретировано как запрет по всем портам, и на сайт не сможет попасть ни один пользователь.
Процесс фильтрации аналогичен процессу, выполняемому для протокола UDP. Необходимо знать номер порта, для которого создается правило. Третий столбец в диалоговом окне TCP/IP Filtering (Фильтрация TCP/IP), имеющий заголовок IP Protocol (Протокол IP), используется для фильтрации по определенному протоколу. Необходимо указать протокол по номеру из справочной таблицы, поддерживаемой орагнизацией интернет-стандартов Internet Engineering Task Force (IETF) (см. "Приложение С. Справочные таблицы" ). По мере необходимости можете добавлять в список новые протоколы.
Совет. Информация по параметрам IP-протокола имеется на сайте Microsoft Technet (http://www.Microsoft.com/technet) в разделе "IP Protocol Filtering" или в документе с номером Q309798.