Организация IP брандмауэра
встроенными средствами Windows 2000 и XP

Страница:   1   2   3   4   5 

 

Если у вас есть локальная сеть с «левыми» адресами, то нужно прописать для нее доступ – открываем все протоколы с адресов 192.168.1.0 маска 255.255.255.0 (к примеру) до "My IP address". Для этого можете создать отдельный фильтр "My LAN".

А теперь перейдем к заполнению наиболее часто используемых служб (если у вас есть дополнения, то присылайте их автору (dch@3dnews.ru)).

1. Запросы DNS сервера.
Разрешаем 53 порт получателя (destination port address) протокола UDP от нашего компьютера к любому компьютеру. Вместо любого компьютера можно указать DNS сервер провайдера.

2. Веб-трафик.
Открываем порт TCP 80 получателя от нашего компьютера к любому компьютеру.

3. FTP-трафик.
Открываем порты TCP 20 и TCP 21 получателя от нашего компьютера к любому компьютеру.

4. SMTP трафик (для отправки писем).
Открываем порт TCP 25 получателя от нашего компьютера к любому компьютеру (можно вместо любого компьютера указать SMTP сервер провайдера).

5. POP3 трафик (для приема писем).
Открываем порт TCP 110 получателя от нашего компьютера к любому компьютеру (или к POP3 серверу провайдера).

6. IMAP трафик (для приема писем).
Открываем порт TCP 143 получателя от нашего компьютера к любому компьютеру (или к IMAP серверу провайдера).

7. ICQ трафик.
Зависит от сервера ICQ, обычно TCP порт 5190 получателя от нашего компьютера к любому компьютеру (или к серверу ICQ).

Ну а сейчас пришла пора тестирования – нажимаем правую клавишу мыши на название нашей политики и указываем "Assign".

После этого вы можете наслаждаться результатом.


Заключение

После изучения данной статьи вы сможете самостоятельно настроить брандмауэр, используя встроенные в Windows 2000/XP средства безопасности. Брандмауэр позволяет повысить безопасность компьютерной сети и ограничить доступ к службам, которые вы желаете открыть только для внутренней сети. Помните, что главное правило – все что не разрешено, должно быть запрещено.

Дополнение

Доброе время суток...

В целом, задачу можно решить значительно проще:

I. Если сервер используется только для доступа в Интернет (и возможно для хостинга веб)
1.1 Отключаем на "внешнем" интерфейсе биндинг всего кроме TCP/IP
1.2 Включаем ICS(AutoNAT outside)
1.3 смотрим netstat -na
1.4 отключаем ненужные сервисы последовательно
1.5 повторяем 1.3 и 1.4 до отсутствия в 1.3 результате открытых портов на "внешнем" интерфейсе
1.6 наслаждаемся результатом

II. Если сервер используется для MSSQL, 1C, хранения финансовых отчетов и т.п. и к нему подключили Интернет.
1.1 Отключить Интернет от сервера
1.2 Уволить админа
1.3 Поставить отдельный сервер
1.4 Перейти к пункту 1)

III. Лирическое отступление:
Брандмауэры 2-го уровня (не умеющие анализировать содержимое пакетов) и не использующие понятия "внешний" и "внутренний" интерфейс к применению не пригодны (как минимум сами по себе). Под "внешним" подразумевается интерфейс, подключенный к Интернет и имеющий "реальный" адрес. Встроенный в Win2k/XP данные возможности имеет, но настраивается намного сложнее, чем любой другой. В тоже время, существует достаточное число внешних продуктов, который распостраняются бесплатно (либо условно-бесплатно) и обладают значительно более удобным интерфейсом, а в отдельных случаях (Conseal PC firewall) и гораздо более правильной реализацией. К сожалению, на данный момент, на рынке отсутствуют продукты, которые могли бы создавать приемлемую Security Policy автоматически. Таким образом, для среднего пользователя Сети Интернет, большинство из продуктов либо не дадут результата, либо будут препятствовать работе. Не говоря о том, что обойти брандмауэр 2-го уровня довольно просто. Для этого даже не надо знать как оно работает, - уже существуют готовые программы для spoofing (IP and MAC). Приведенный в статье пример настройки вообще не содержит упоминаний о применении правил к интерфейсам, а так же того, что для разных интерфейсов (внешнего и внутреннего) необходимы _разные_ правила. Общий же тон статьи может создать впечатление мнимой простоты и ложной защишенности у начинающего пользователя. Что есть неправильно, с моей точки зрения. Опыт работы показывает, что 90% попыток пользователя настроить брандмауэр, основываясь на информации, почерпнутой из указаний "нажать сюда, потом сюда" заканчивается проблемами с доступом в Сеть и звонками пользователя в Службу поддержки провайдера.

Все вышеизложенное является моим личным мнением и никоим образом не является официальным мнением моего работодателя.

Мнение сформировано 7-ю годами администрирования в ISP.

-----------
With best,
Peter Lavee