فیلتر کردن ترافیک شبکه. چگونه خود را از هک شدن محافظت کنیم. برای مدیریت فایروال ویندوز با Advanced Security یک GPO ایجاد کنید. تنظیم فیلتر در روتر

این هدف برای کاربران زیر سن قانونی اینترنت است که در صورت عملی شدن ، فقط از سایت های قابل اعتماد از "لیست سفید" می توانند بازدید کنند. بنابراین ، از دسترسی آنها به محتوای "خطرناک" محروم می شوند.

هنوز تصمیمی گرفته نشده است که آیا ترافیک فقط در موسسات آموزشی این کشور فیلتر خواهد شد یا برای همه کاربران اینترنت روسیه. در حالت دوم ، برای دستیابی به "اینترنت رایگان" ، شما نیاز به نوشتن برنامه ای برای ارائه دهنده اینترنت دارید. اتحادیه امن اینترنت در حال حاضر در حال آزمایش سیستم "لیست سفید" در مناطق مختلف روسیه به ویژه در کوستروما است.

چه کسی کارهای دستی؟

ایجاد این سیستم پیش بینی شده است که در 31 ژوئیه توسط نخست وزیر روسیه دیمیتری مدودف تصویب شد. NaSFIT باید تا پایان سال 2020 راه اندازی شود. زمینه ظهور این سامانه از جمله موارد دیگر توسط سناتور تهیه شده است که به لطف آن از سال 2012 تاکنون یک رجیستر واحد از اطلاعات ممنوع Roskomnadzor در RuNet نگهداری شده است.

چرا NaSFIT می تواند مضر باشد؟

سخنگوی MTS ، دمیتری سولودوفنیکوف می گوید که اپراتور قبلاً چیزی در مورد این پیشنهاد نشنیده است. "ما این ابتکارات را ضرر می دانیم ، به دلیل کاهش احتمالی کیفیت دسترسی به اینترنت ، می تواند به مشترکان آسیب برساند." اول از همه ، این اتفاق می تواند به دلیل کاهش سرعت ساخت شبکه و توسعه خدمات جدید رخ دهد.

علاوه بر کاربران ، NASFIT می تواند به کل صنعت مخابرات و فناوری اطلاعات آسیب برساند. دبیر مطبوعاتی MTS گفت: ارائه دهندگان و اپراتورها باید به جای سرمایه گذاری در اقتصاد دیجیتال و ایجاد شبکه های 5G ، منابع عظیمی را صرف "برای اجرای راه حل های ناکارآمد برای فیلترشکن" کنند.

ممکن است ایده کار نکند

یک منبع سایت نزدیک به یکی از اپراتورها خاطرنشان می کند که کودکان برای ارائه خدمات ارتباطی مجاز به عقد قرارداد نیستند. بنابراین ، فیلتر کردن ترافیک فقط برای کودکان در اصل غیرممکن است. مشترک همیشه یک فرد بالغ است ، یعنی با گذرنامه ، به گفتگوی مشترک یادآوری می کند.

نماینده ارائه دهنده اینترنت AKADO Telecom گفت که این شرکت از ابتکار عمل پشتیبانی می کند ، اما در مکانیسم اجرای آن نیز شک دارد.

وی ادامه داد: "مشخص نیست كه سایتها در" لیست سفید "براساس چه مبنا قرار می گیرند ، چه كسی باید آن را تعیین كند. اگر ما فقط در موسسات آموزشی از فیلتر کردن محتوا صحبت کنیم ، بعید است چنین اقدامی مؤثر باشد ، زیرا در صورت تمایل ، کودکان می توانند از خانه به سایتها دسترسی پیدا کنند. بنابراین ، این پروژه نیاز به بازنگری جدی دارد. " Irina Romannikova ، خدمات مطبوعات از AKADO Telecom.

چگونه می توانید فیلتر کنید؟

به گفته دنیس کوسکوف ، مدیر کل آژانس اطلاعاتی و تحلیلی TelecomDaily ، دو روش معقول برای فیلتر کردن سایتهای "مضر" وجود دارد: ابزارهای خود اپراتور و خرید سیم کارت با این شرط که کودک مورد استفاده قرار گیرد. در این حالت ، اپراتور می تواند بلافاصله فیلتر را روشن کند.

برخی از اپراتورها در حال حاضر سیستم های مخصوص به خود را برای فیلتر کردن ترافیک دارند. بنابراین ، Rostelecom محصول "فیلتر محتوای ترافیکی" را برای مؤسسات آموزشی ارائه می دهد ، و VimpelCom خدمات پیشنهادی را برای منابع اینترنتی "Weblandia" ارائه می دهد ، سایت هایی که برای آنها توسط کتابداران کودک انتخاب شده است.

به یاد بیاورید که اخیراً ، در مورد محدودیت در اینترنت: قانونی که ارائه دهندگان VPN و سایر خدمات را از دسترسی کاربران روسی به منابع مسدود شده ممنوع می کند ، در غیر این صورت این سرویس مسدود خواهد شد ، و همچنین قانونی برای ممنوعیت ناشناس بودن در پیام رسان های فوری. سند اول از اول نوامبر سال جاری میلادی به مرحله اجرا گذاشته می شود ، دومین - از ابتدای سال 2018.

مقاله برای بررسی شما دو روش فیلتر کردن ترافیک در شبکه را ترسیم می کند. روش اول از فیلترهای کاملاً معمولی بسته های دریافتی توسط آدرس های IP منبع استفاده نمی کند ، در حقیقت محافظت در برابر کلاهبرداری را انجام می دهد ، فیلتر دوم بسته بندی در شبکه محلی یا DMZ با استفاده از فناوری PVLAN.

دنیس باترانکوف ، denisNOSPAMixi.ru

امیدوارم این مقاله هم برای سرپرستان و هم برای کسانی که در امنیت شبکه درگیر هستند مفید باشد. متأسفانه این افراد معمولاً متفاوت هستند.

مقدمه. تصفیه به طور کلی.

فقط کافی است به قالب هدر بسته IP نگاه کنید (این ساختار از منابع WinPCap گرفته شده است) typedef struktur ip_header (u_char ver_ihl؛ // نسخه (4 بیت) + طول هدر اینترنت (4 بیت) u_char tos؛ // نوع سرویس u_short tlen؛ / / کل شناسایی u_short طول؛ // شناسایی u_short flags_fo؛ // پرچم ها (3 بیت) + افست قطعه قطعه (13 بیت) utch ttl؛ // زمان زندگی u_char proto ؛ // پروتکل پروتکل u_short crc ؛ // سربرگ چک ip_address saddr؛ // آدرس منبع ip_address daddr؛ // آدرس مقصد u_int op_pad؛ // گزینه + لنت) ip_header؛

چه مقدار فیلد نیاز به اعتبارسنجی قبلاً در ورودی شبکه دارد. بدیهی است که هر فیلد دارای مقادیر متنوعی است که در RFC به عنوان معنی دار تعریف می شود. و بدیهی است که بسیاری از ارزش ها که در هر جایی تعریف نشده اند ، بی معنی هستند و حتی نمی توان تصور کرد که چگونه این مقادیر توسط میزبان پذیرنده درک می شود. اگر یک بسته حداقل یک قسمت اشتباه داشته باشد ، آنگاه کل آن اشتباه است و نباید شبکه ما را مسدود کند. با این حال ، در حال حاضر در بسیاری از شبکه ها اینگونه نیست. با چنین بسته هایی ، هر میزبان سیستم حفاظت از حمله خود (IPS) را درک می کند. پیشنهاد می کنم منتظر رسیدن چنین بسته هایی به میزبان گیرنده نباشید ، بلکه آنها را از قبل در ورودی شبکه بکشید. علاوه بر این ، می توانیم ترافیک را بطور متوالی فیلتر کرده و مسدود کنیم ، از کانال شروع کنیم و با لایه کاربرد (در مدل ISO OSI) خاتمه دهیم. این باعث تخلیه شبکه و محافظت در برابر حملات می شود که از این واقعیت استفاده می کنند که "ما چشمان خود را می بندیم" به بسته های اشتباه است.

این ایده جدید نیست. نکته ای که ممکن است بسته های شما روی شبکه شما اشتباه باشد ، در قوانین مربوط به سیستم های تشخیص نفوذ موجود است. مدتهاست که سیستم های تشخیص نفوذ همه فیلدهای بسته را بررسی می کنند و آمار را جمع می کنند تا بسته های بدی را که می توان مشاهده کرد ، جمع آوری کرد ، که می توان در مقابل مزاحمان ترین آنها را مشاهده کرد و اقدام کرد. خروپف مورد علاقه من است زیرا برای گسترش قابلیت ها باز است. این به شما امکان می دهد قوانین استاندارد را تغییر دهید یا خود را بنویسید ، تجزیه و تحلیل آمار را با استفاده از SnortSam تقریباً در هر یک از FW های شناخته شده در حال حاضر: Cisco PIX ، MS ISA ، Checkpoint FW-1 ، Firebox Watchguard و داخلی در لینوکس و FreeBSD FW.

با این حال ، بدون محدود کردن عمومی ، می توان گفت که افرادی که از هر نوع سیستم تشخیص نفوذ استفاده می کنند ، مانند Cisco NetRanger ، RealSecure (Proventia) یا Snort ، رویایی دارند: چه زمانی سرانجام از تولید هشدارهای دروغین متوقف می شوند. حداقل من چنین رویائی دارم ، از آنجا که دائماً در چهار شبکه بیرونی کلاس C من اتفاق جدیدی رخ می دهد ، اگرچه انواع جریان اطلاعات مدت هاست که حل شده است. من دیگر هشدارهای زیادی مانند پروتکل IP BASS-TRAFFIC بدون سرنوشت / رزرو شده ، پروتکل IP غیر استاندارد BAD TRAFFIC ، ترافیک حلقه برگشتی BAD-TRAFFIC ، BAD-TRAFFIC همان SRC / DST ، پورت tcp 0 TAD را ندارم ، زیرا من این قوانین را غیرفعال کردم ، اما به دلیل اینکه من این "ترافیک بد" را بلافاصله در ورودی مسدود کردم. متأسفانه ، امروز ما باید حوادث مختلف را نادیده بگیریم ، بدانیم که این یک هشدار رایج است و من نمی توانم آن را مسدود کنم ، زیرا هر ارائه دهنده ای نباید مهم باشد که چقدر خطرناک یا به سادگی بی فایده باشد ، ترافیک را برای مشتری مسدود کند. اما به خودم اجازه می دهم که ترافیک "اشتباه" را مسدود کنم: آدرس های اشتباه ، پرچم های اشتباه ، پورت های اشتباه یا خطرناک.

این قابل درک است که چرا سیستمهای IDS وجود دارد که به مدیر می گویند ترافیک بد است ، اما هیچ برنامه ای وجود ندارد که بتواند به طور خودکار ترافیک را در ورودی و خروجی شبکه های شما فیلتر کند تا Snort چیزی برای این امر نداشته باشد. مشکل هشدارهای دروغین است. بسیاری از قوانین برای همان Snort وجود دارد که نباید فقط رفتار غیر استاندارد را تشخیص دهد بلکه بلافاصله آن را مسدود می کند. به عنوان مثال ، مسدود کردن ترافیک منطبق با شرایط تنظیم بیت رزرو شده ip BAD-TRAFFIC ، منطقی است ، یعنی آن دسته از بسته هایی که دارای مجموعه بیت محفوظ اشتباه هستند ، منطقی است. (به هر حال ، آیا شما درست خفاش را به یاد دارید که فایروال بتواند چنین شرایطی را بررسی کند و چنین بسته ای را مسدود کند؟ ؛-)) از طرف دیگر ، هشدارهایی در مورد مفید بودن آن وجود دارد که می توانید استدلال کنید. به عنوان مثال ، eMule اخیراً در شبکه من مقصر هشدارهای ترافیک تایپ تایپ BACKDOOR شد.

بنابراین ، از نظر ایده آل ، از منظر سیستم های تشخیص نفوذ ، باید اطمینان حاصل کنیم که آن قوانینی که به وضوح نشان می دهد که فیلتر درست تنظیم نشده است ، کار نمی کنند. و پیکربندی صحیح آن وظیفه اصلی مدیر است.

فیلتر درشت. محافظت در برابر کلاهبرداری آدرس های IP.

از آنجا که من در حال نوشتن کتاب نیستم ، بلکه مقاله ای هستم ، امروز به پایین تنها یک قسمت از بسته های IP می رسم: آدرس منبع. مشخص است که آدرس IP منبع بسته در آنجا قرار دارد. و تا آنجا که من می دانم ، فناوری سیسکو SAFE توصیه می کند که این زمینه را طبق RFC فیلتر کرده و در مقابل جعل IP محافظت کنید. بیایید بفهمیم دقیقاً چه آدرسهایی را باید مسدود کنیم. (قسمت آدرس مقصد باید در مجموعه آدرس اختصاصی شما باشد ، بنابراین هیچ چیز برای حدس و گمان وجود ندارد.)

بنابراین می دانیم که از اول ژانویه سال 1983 ، مفهوم آدرس IP نسخه 4 معرفی شد ، که یک عدد 32 بیتی است ، که معمولاً ما به صورت 4 عدد اعشاری توسط یک نقطه جدا می کنیم. مرکز شماره اعداد اختصاص داده شده به اینترنت (IANA) وجود دارد که آدرس ها را در سراسر اینترنت اختصاص می دهد. چهار ثبت جهانی منطقه ای (RIR) در سراسر جهان توزیع شده است: APNIC (مرکز اطلاعات شبکه آسیا و اقیانوس آرام) ، ARIN (ثبت نام برای شماره های اینترنت آمریکا) ، LACNIC (آدرس IP منطقه آمریکای لاتین و کارائیب) ، RIPE NCC ، که آدرس ها را بین اینترنت اختصاص می دهند ارائه دهندگان خدمات (ISP). و سرانجام در وب سایت IANA نشانه ای وجود دارد که نشان می دهد کدام آدرس را به چه کسی اختصاص می دهد.

اگر سعی کنیم آدرس ها را طبقه بندی کنیم ، علاوه بر این (که در مدرسه در حال حاضر نیز مورد مطالعه قرار گرفته است) ، کلاس های A ، B ، C ، D ، E می بینیم که آدرسهای خاصی وجود دارد که نه تنها RFC 1918 بلکه RFC 3330 تعریف شده اند و نباید از آنها در اینترنت استفاده کرد. ...

1. آدرس های خصوصی - مطابق با RFC 1918 برای استفاده در شبکه های محلی محفوظ است.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

2. آدرسهای بدست آمده با اختصاص خودکار آدرس IP در صورت عدم وجود سرور DHCP و مطابق با RFC 3330 نباید فراتر از شبکه محلی باشند.

169.254.0.0 - 169.254.255.255

3. آدرس های Loopback که برای آزمایش پشته TCP استفاده می شوند. استفاده شده توسط هر میزبان فقط برای خود.

127.0.0.0 - 127.255.255.255

4- محدوده تست - باید از اسناد و نمونه های کد استفاده شود.

192.0.2.0–192.0.2.255

5- آدرس های چندکاره نمی توانند در قسمت مبدا باشند. فقط در قسمت گیرنده بسته ، از آنجا که برای مراجعه به گروهی از میزبان ها استفاده می شود.

224.0.0.0 - 239.255.255.255

6. محفوظ است و به هیچ کس آدرس داده نمی شود. این آدرس ها همه در همان صفحه در وب سایت IANA ذکر شده اند. از تاریخ 12 دسامبر 2004 ، بلوک های زیر ذخیره شده اند

0.0.0.0 - 2.255.255.255
5.0.0.0 - 5.255.255.255
7.0.0.0 - 7.255.255.255
23.0.0.0 - 23.255.255.255
27.0.0.0 - 27.255.255.255
31.0.0.0 - 31.255.255.255
36.0.0.0 - 37.255.255.255
39.0.0.0 - 39.255.255.255
41.0.0.0 - 42.255.255.255
49.0.0.0 - 50.255.255.255
73.0.0.0 - 79.255.255.255
89.0.0.0 - 126.255.255.255
173.0.0.0 - 187.255.255.255
189.0.0.0 - 190.255.255.255
197.0.0.0 - 197.255.255.255
223.0.0.0 - 223.255.255.255
240.0.0.0 - 255.255.255.255

لیست آخر چشمگیر است. و ما هنوز هم شکایت داریم که آدرس کافی نداریم. و من همچنین چندین بلوک آدرس را ترکیب کردم ، اگر آنها در کنار یکدیگر در لیست باشند.

7. یک کلاس آدرس بیشتر وجود دارد که نمی تواند در قسمت منابع باشد. این آدرسهای شماست آن آدرس های اینترنتی که توسط شما ارائه دهنده و فقط به شما اختصاص داده می شوند. بدیهی است ، هیچ کس به جز شما حق استفاده از آنها را ندارد و شما باید هرگونه تلاش برای ارسال یک بسته با یک منبع منبع را از مجموعه آدرس خود مسدود کنید. علاوه بر این ، جایگزینی آدرس شما در قسمت منابع می تواند برای اجرای حملات مختلف استفاده شود. به عنوان مثال ، در حمله Land ، یک بسته SYN با یک آدرس منبع ارسال می شود که با آدرس مقصد مطابقت دارد.

بنابراین ، معلوم شد که آدرسهای زیادی وجود دارند که نمی توانند در زمینه منبع بسته های IP ما باشند. به عنوان یک قاعده ، اگر یکی از آدرس های ذکر شده در بالا در منابع ثبت شده باشد ، این یا مسیریابی است که برای ارائه دهنده برتر درست کار نمی کند (آدرس های نادرست را منتشر می کند) ، یا یک حمله احتمالی DOS. به همین دلیل پیشنهاد می کنم آدرس های فوق را در ورودی روتر شما مسدود کنید.

به طور خلاصه موارد فوق ، لیستی بسیار مناسب از آدرسهای فرستنده دریافت می کنیم که باید آنها را مسدود کنیم. به عنوان مثال ، اگر از روتر سیسکو استفاده می کنید ، لیست دسترسی به این صورت خواهد بود:

ip-list access_Bogon گسترش یافته است	با استفاده از یک لیست دسترسی گسترده نامگذاری شده است
ip 0.0.0.0 1.255.255.255 هر را رد کنید	Iana محفوظ است
ip 2.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 5.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 7.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 10.0.0.0 0.255.255.255 هر را انکار کنید	RFC 1918
ip 23.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 27.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 31.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 36.0.0.0 1.255.255.255 هر	Iana محفوظ است
ip 39.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 41.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 42.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 49.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 50.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 73.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 74.0.0.0 1.255.255.255 هر	Iana محفوظ است
ip 76.0.0.0 3.255.255.255 هر	Iana محفوظ است
ip 82.0.0.0 1.255.255.255 هر	Iana محفوظ است
اجازه 88.0.0.0 0.255.255.255 our_net	اجازه دسترسی با آدرس 88/8 به شبکه ما (برای جلوگیری از دسترسی زیر)
ip 88.0.0.0 7.255.255.255 هر	Iana محفوظ است
ip 96.0.0.0 31.255.255.255 هر	Iana محفوظ است و Loopback
ip 169.254.0.0 0.0.255.255 هر	آدرس های اختصاصی خودکار
ip 172.16.0.0 0.15.255.255 هر	RFC 1918
ip 173.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 174.0.0.0 1.255.255.255 هر	Iana محفوظ است
ip 176.0.0.0 7.255.255.255 هر	Iana محفوظ است
ip 184.0.0.0 3.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 189.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 190.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 192.0.2.0 0.0.0.255 هر	آدرس های آزمون
ip 192.168.0.0 0.0.255.255 هر	RFC 1918
ip 197.0.0.0 0.255.255.255 هر را انکار کنید	Iana محفوظ است
ip 198.18.0.0 0.1.255.255 هر را انکار کنید	Iana محفوظ است
ip 201.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 222.0.0.0 1.255.255.255 هر	Iana محفوظ است
ip 223.0.0.0 0.255.255.255 هر	Iana محفوظ است
ip 224.0.0.0 31.255.255.255 هر	Multicast و سپس IANA محفوظ است
ip our_net را هرگونه انکار کنید	آدرس های ما را در ورودی مسدود کنید
مجاز به ip هر our_net ما باشد	ما به همه چیز دیگر اجازه می دهیم

our_net آدرس وبلاگ شما را مشخص کردم. به عنوان مثال ، ممکن است مطابق با قوانین نوشتن لیست های دسترسی ، 194.194.194.0 0.0.0.255 به نظر برسد.

فرقی نمی کند این روش فیلتر بر روی روترهای مرزی ، فایروال یا حتی روی سرور شما اجرا شود ، اما مهمترین چیز این است که مهاجم از امکان استفاده از آدرس های شبکه های غیرمجاز محروم می شود. من می خواهم به این نکته توجه داشته باشم که اگر از آخرین نسخه های IOS Cisco (12.2 و بالاتر) استفاده می کنید ، دیگر نیازی نیست خودتان این لیست دسترسی را انجام دهید. همان لیست دسترسی توسط یک فرمان ساده (به ظاهر) خودکار ایمن تشکیل شده است.

فرمانخودکار ایمن آیا همه چیز برای یک متخصص امنیت رایانه! هر آنچه که تا به امروز برای محافظت از روترهای سیسکو ساخته شده است توسط همین دستور انجام می شود. شما مطمئناً باید تصور کنید که وقتی وارد آن می شوید چه کاری انجام می دهد ، اما این دستور همه کارها را انجام می دهد ، حتی اگر هیچ گواهی یا تحصیلی در این زمینه نداشته باشید. : (وقتی در مورد امکانات فهمیدمخودکار ایمن من تصمیم گرفتم که زمان آن رسیده است که امنیت خود را رها کنم و به فروش آهنین بپردازم - به گفته آنها ، حقوق و دستمزد به آنجا و حقوق لازم نیست. ؛-) چرا اگر اکنون همه چیز توسط یک تیم انجام می شود ، متخصصان هستند.

با این حال ، این روش دارای یک اشکال است: شما باید دائماً تغییرات را در جدول در وب سایت IANA http://www.iana.org/assignments/ipv4-address-space مشاهده کنید تا پس از تغییر این لیست ، لیست دسترسی خود را تغییر دهید. به عنوان مثال آخرین تغییر در آگوست امسال بود: شبکه ها به ARIN 71/8 ، 72/8 اختصاص یافتند. من نمی دانم برای این کار یک فیلمنامه آماده وجود دارد یا خیر ، اما اگر یکی از آنها را پیدا کنید یا خودتان آن را بنویسید ، جامعه از شما سپاسگزار خواهد بود. یک صفحه وجود دارد که لیست دسترسی فعلی همیشه http://www.cymru.com/Document/secure-ios-template.html نگه داشته می شود ، اما لیست دسترسی در آنجا کمی طولانی است. می توان آن را کوتاه کرد. اصل کاهش است

ip 0.0.0.0 0.255.255.255 هر
ip 1.0.0.0 0.255.255.255 هر را انکار کنید

تغییر به

ip 0.0.0.0 1.255.255.255 هر را رد کنید

اگر در ورودی شبکه چنین فیلتر وجود ندارد ، ممکن است بخواهید فیلتر را در سرور یا ایستگاه کاری خود پیکربندی کنید. به هر حال ، نویسندگان FW شخصی می توانند این کار را به خدمت بگیرند. این به محافظت از میزبان در برابر حملات DOS کمک می کند. به عنوان مثال ، در اینجا مثالی از فیلتر ضد پاشش BIND آورده شده است.

بعد از فهمیدن آدرسها ، می توانیم زمینه های دیگر بسته IP را مقابله کنیم. به عنوان مثال ، بسته های tcp با پورت 0 اغلب به شبکه من می آیند چرا نمی بینید در بسته هایی که از طریق شبکه شما سفر می کنند از چه پورتهایی استفاده می شود.

فیلتر زیبا یا VLAN جدا شده.

حال بیایید به بررسی ترافیک شبکه داخلی بپردازیم. یکی از فاکتورهای اساسی در ساختن یک پیکربندی شبکه ایمن ، تعریف دقیق کلیه اشیاء شبکه و درک دقیق با هر یک از این اشیاء برای تبادل اطلاعات و چه نوع ترافیکی با آنها نیاز دارد. همه ترافیک دیگر بین این اشخاص باید رد شود.

بیایید نگاهی به مثال منطقه زدائی شده (DMZ) بیندازیم. جدا کردن سرورهای شرکت در یک شبکه جداگانه ، محافظت شده از کاربران اینترنت و کاربران داخلی صحیح است. همانطور که می گویند ، اعتماد کنید ، اما تأیید کنید. تصویر دو گزینه ممکن برای اجرا را نشان می دهد: DMZ بین دو فایروال قرار دارد و DMZ در یکی از درگاه های فایروال آویزان است.

بنابراین ، فایروال ها ترافیک ناشی از اینترنت و شبکه محلی را فیلتر می کنند. و ، به طور معمول ، طراحان شبکه روی این طرح آرام می شوند. همه سرورها از طریق یک سوئیچ متصل می شوند و در همان حوزه پخش منتقل می شوند. با این وجود ، آیا نیاز به برقراری ارتباط بین سرورها در DMZ با یکدیگر وجود دارد؟ در هر مورد باید نگاه کنید. می توان فرض کرد که اگر یکی از سرورهای DMZ هک شود ، حمله به سرور همسایه از این سرور امکان پذیر است ، به خصوص که در مرحله طراحی ما به هیچ وجه از یک سرور دیگر محافظت نمی کردیم. بنابراین ، در مواردی که سرورها نیازی به عملکرد با یکدیگر ندارند ، توصیه می شود چندین DMZ جداگانه تهیه کنید. با این حال ، بهترین گزینه استفاده از PVLAN است. اگر درگاه هایی که سرورها به آنها وصل شده اند ، بسته های دیگری را در سطح پیوند به یکدیگر ارسال نمی کنند ، در این صورت هیچ ترافیکی بین سرورها وجود نخواهد داشت و تنها راه ارتباط برقرار کردن آنها با یکدیگر ، عبور از فایروال است که بر روی آن باید این اتصال مجاز باشد و به درگاه مورد نظر منتقل شود. ... پورت هایی که در لایه پیوند ، ترافیک را به یکدیگر منتقل نمی کنند ، بنادر جدا شده نامیده می شوند.

همین ایده در مورد رایانه های یک شبکه محلی نیز صدق می کند. جریان اطلاعات را با دقت تجزیه و تحلیل کرده و صریحاً با یک سوئیچ بین رایانه ها مبادله داده ها را تعیین کنید.

با کمک همین مکانیسم ، کاربران می توانند در گروه ها (جوامع) متحد شوند ، که در آن ارتباطات "اختصاصی" آنها برگزار می شود. در عین حال ، هم کاربران و هم گروه ها می توانند ترافیک خود را به درگاه های به اصطلاح عمومی (تبلیغاتی) منتقل کنند که روتر ، فایروال و سیستم تشخیص نفوذ در آن کار می کنند.

Cisco PVLAN به گونه ای پیاده سازی شده است که ترافیکی که به یک درگاه پیش فرض می رسد می تواند به هر درگاه دیگر از نوع جدا شده و جامعه توزیع شود. ترافیکی که به یک درگاه منزوی منتقل می شود فقط می تواند به یک درگاه برجسته هدایت شود. ترافیکی که به یک درگاه جامعه می رسد می تواند به یک درگاه مشخص و به سمت بنادر متعلق به همان جامعه هدایت شود.

بنابراین ، حتی اگر آنها در همان VLAN قرار داشته باشند ، میزبان هایی که نباید در طرح جریان اطلاعات ترافیک متقابل داشته باشند ، یک بسته واحد از یکدیگر دریافت نمی کنند. تنها راه برای تبادل اطلاعات نوشتن صریحاً قانونی در فایروال یا روتر است که امکان انتقال بسته ها را بین آنها فراهم می کند. اما این قانون قبلاً در سطح سوم مدل OSI کار می کند و در این حالت می توان از قوانین دسترسی و فهرست فایروال برای مشخص کردن صریح پورت ها و پروتکل های مجاز استفاده کرد.

حفره عمیق تر ، هنگامی که میزبان 1 درخواست ARP (به دنبال آدرس MAC میزبان 2 با IP مورد نیاز از همان زیر شبکه) ارسال می کند) میزبان شماره 2 این درخواست را دریافت نمی کند و به میزبان 1 پاسخ نمی دهد ، زیرا هر دو روی پورت های جدا شده از یکدیگر قرار دارند. ما ساخته شده است میزبان 1 فکر می کنیم میزبان 2 غیر قابل دستیابی است و بالعکس. بنابراین ، مشکل کنترل ترافیک درون شبکه حل شده و از همه مهمتر ، نیازی به تقسیم شبکه به زیر شبکه ها نیست. ما بدون دردسر می توانیم فناوری PVLAN را در شبکه های موجود اعمال کنیم.

هنگامی که لازم است سرورها با یکدیگر ارتباط برقرار کنند ، روتر (یا فایروال) می تواند پاسخ دهد که این میزبان از طریق آن قابل دسترسی است. این تکنیک Proxy ARP نام دارد. میزبان 1 فکر می کند که میزبان 2 روی هاپ متفاوت است و یک بسته IP را از طریق روتر (یا فایروال) ارسال می کند. یعنی معلوم است که این بسته شامل آدرس MAC روتر و آدرس IP میزبان 2. اما روتر (یا فایروال) در حال حاضر تصمیم می گیرد که بسته را به میزبان 2 بفرستد یا خیر.

لازم به ذکر است که یک آسیب پذیری از این روش نیز وجود دارد: اگر از روتر استفاده می کنید که هیچگونه دسترسی به آن را ندارد و بدون تردید ، تمام بسته های موجود در آن را مسیریابی می کند ، سپس یک مهاجم از میزبان 1 می تواند بطور اختصاصی بسته ای را با آدرس MAC روتر ارسال کند ، اما با آدرس IP میزبان 2. چنین بسته ای از طریق درگاه جدا شده به روتر منتقل می شود و سپس توسط روتر برای میزبان ارسال می شود 2. بنابراین ، یا باید قوانین دسترسی را روی روتر (یا فایروال) اضافه کنید که صریحاً چنین بسته هایی را ممنوع یا مجاز می کند ، یا از لیست اضافی کنترل دسترسی VLAN استفاده کنید. (VACL) روی سوئیچ.

پیش از این ، در چارچوب یک سوئیچ ، ویژگی مشابهی به نام پورت محافظت شده وجود داشت ، اما فقط در یک سوئیچ کار می کرد و اطلاعات مربوط به درگاه های محافظت شده از طریق تنه ها منتقل نمی شد. اکنون این مفهوم توسط بنادر جامعه گسترش و تکمیل شده است.

فن آوری PVLAN را می توان در تعداد نسبتاً زیادی از سوئیچ های مدیریت شده در حال حاضر با درگاههای اترنت با سرعت 10/100/1000 مگابیت بر ثانیه عملی کرد.

اجرای خاص این طرح ها در سوئیچ های سیسکو شرح داده شده است.

اطلاعات خوبی و مفید زیادی در اینترنت وجود دارد. اکنون مردم برای یافتن آخرین اخبار ، پیش بینی وضعیت هوا ، بیشتر به اینترنت نگاه می کنند ، به فرم (دستورالعمل های انجام کاری) ، دستور العمل های پخت و پز ، یا فقط فهمیدن چگونگی پیچ کردن لامپ در داخل لوستر مراجعه می کنند. اطلاعات زیادی در اینترنت وجود دارد ، فقط کافی است انواع سؤالات را وارد کادر جستجوی Yandex یا Google کنید. اما در بین اطلاعات مفید ، به شکل تصاویر ، متن نامفهوم و فیلم ها مضر و مبهم است.

جداسازی کودکان از چنین محتوا بسیار حائز اهمیت است ، زیرا اخیراً اطلاعات زیادی منتشر شده است که روان کودک را بیش از تشخیص مختل می کند. البته اولین قدم این است که مراقب والدین برای کودک در خانه باشیم و معلمان در مدرسه برای چه سایت هایی که وی از طریق اینترنت بازدید می کند ، انجام گفتگوها و غیره.

اما همیشه به نظر نمی رسد که کودک را پیگیری کند ، بنابراین سیستم های فیلتر محتوا (SCF) نیز وجود دارند. امروزه در بازار فناوری اطلاعات اطلاعات SCF چیزهای زیادی ارائه می شود ، به عنوان مثال یکی از خدمات محبوب SkyDNS - سیستم فیلتر محتوا با هزینه و تا حدودی رایگان برای مدارس ، دفاتر و خانه ها.

همچنین می توانید از سیستم دسترسی کاملاً رایگان به اینترنت استفاده کنید.

سرور Rejector DNS و قابلیت های آن چیست؟

- یک سیستم متمرکز از فیلتر کردن محتوا و کنترل دسترسی به اینترنت ، که با کمک آن می توانید کودکان را از اطلاعات ناعادلانه ، تصاویر ، فیلم ها و سایت های ممنوعه (18+) و به علاوه محافظت در برابر ویروس ها محافظت کنید (زیرا این سایت ها اغلب حاوی برنامه های مخرب هستند). به عبارت ساده تر ، Rejector یک سرور DNS است که توانایی مدیریت آن از راه دور و مرکزی را دارد.

سرویس Rejector دارای ویژگی های زیر است:

پشتیبانی از آدرس های IP ثابت و پویا (آدرس IP که درخواست ها از آنها پردازش می شوند).
دسته بندی های فیلتر (فیلتر اداری ، فیلتر کودک ، فیلتر انفرادی)؛
استثنائات (لیست سیاه و سفید)؛
نشانک ها (می توانید یک آدرس اینترنتی طولانی را با نام کوتاه ذخیره کنید)؛
آمار؛
بازخورد سرپرست با کاربران شبکه؛
فاصله زمانی (می توانید روز و زمان فیلتر را تعیین کنید).

نحوه کار سرویس Rejector: ثبت ، پیکربندی و راه اندازی فیلتر محتوا

برای استفاده از تمام عملکردهای سرویس Rejector - مسدود کردن سایتها و محتویات ناخواسته ، باید با تمام اطلاعات لازم ثبت کنید.

پس از ثبت نام ، کنترل پنل سیستم فیلتر محتوا در دسترس شما خواهد بود. و می توانید مدیریت سرویس وب را شروع کنید. همه چیز به صورت مرکزی اتفاق می افتد ، یعنی از رایانه شما.

بخش "شبکه"

اول از همه ، به بخش بروید "شبکه های" و تنظیمات را انجام دهید:

نام شبکه خود را وارد کنید (به هر نام ، می توانید از سیریلیک یا لاتین استفاده کنید).
یک وضعیت را انتخاب کنید: آدرس IP استاتیک یا آدرس IP پویا. همه اینها به تنظیمات ارائه دهنده شما بستگی دارد. شما باید با ارائه دهنده خود بررسی کنید که آدرس شما چیست.

توضیح:

آدرس IP استاتیک آدرس دائمی رایانه شما بدون محدودیت زمانی هنگام اتصال به اینترنت است. صادر شده توسط ارائه دهنده و عمدتا توسط کاربر در تنظیمات رایانه یا روتر تجویز می شود.

آدرس IP پویا یک آدرس غیر دائمی (قابل تغییر) یک رایانه است که هنگام اتصال دستگاه به شبکه به طور خودکار اختصاص داده می شود و برای مدت معینی استفاده می شود.

IP استاتیک ساده است ، در گوشه بالا سمت راست ظاهر می شود. شما باید آن را کپی کرده و در قسمت آدرس آی پی قرار دهید یا به آن نگاه کنید.

با آدرس های پویا ، همه چیز بسیار پیچیده تر خواهد بود ، زیرا آنها می توانند هر روز تغییر کنند ، و برخی از ارائه دهندگان آن را در تنظیمات خود دارند به طوری که هر 3-4 ساعت یکبار.

برای پیکربندی یک آدرس IP پویا ، استفاده از یک سرویس وب توصیه می شود dyn.com/DNS/اگرچه همانطور که من متوجه شدم ، پرداخت می شود. همچنین می توانید جستجو کنید سیرهای رایگان برخط. کاربران سیستم عامل ویندوز می توانند از آنها استفاده کنند نماینده ردگیر .

در مقاله های بعدی سعی خواهم کرد که چگونه پیکربندی تشخیص خودکار و بروزرسانی آدرس های پویا را تنظیم کنم.

بخش "تصفیه" می توانید لیست سفید و لیست سیاه متناسب با شما را انتخاب کنید ، که توسط آن فیلتر خواهد شد موارد آماده وجود دارد: فیلتر اداری ، فیلتر کودکان ، فیلتر بدون پره و سایر موارد.

با انتخاب شما می توانید فیلتر محتوا را مطابق تنظیمات فردی پیکربندی کنید ، یعنی دسته بندی سایت هایی را که مسدود می شوند ، انتخاب کنید.

در بخش "استثناها" شما می توانید لیستی از سایت هایی را که باید مسدود شوند یا برعکس ، که باید به اینترنت دسترسی داشته باشید ، تغییر دهید. به عبارت ساده تر ، نهایی شدن لیست های سفید و سیاه است.

بخش "نشانک ها"

بخش "آمار"

بخش "آمار" برای ردیابی تعداد درخواست های URL سایت ها ، منابع وب مسدود شده ، درخواست های اشتباه برای یک دوره زمانی خاص (کاربر می تواند مدت زمان لازم را تعیین کند) طراحی شده است.

بخش "درخواست"

در بخش "درخواست ها" ، سرپرست برای درخواست باز کردن (رفع انسداد یک سایت) از کاربران شبکه پیام دریافت می کند. کاربران می توانند درخواست ها را از صفحه بلوک ارسال کنند. به هر حال ، صفحه مسدود کردن را می توان در بخش "شبکه" با کلیک کردن روی پیکربندی کنید اهنگ در صفحه ممنوعیت خود

بخش "بازه زمانی"

بخش "فاصله زمانی" با تنظیم زمان کار با فیلتر کردن محتوا در شبکه به تنظیمات اختصاص داده شده است. به عنوان مثال ، می توانید پیکربندی کنید که سرویس Rejector پس از ساعت 17:30 و غیره سایتها را مسدود نمی کند.

برای پاک کردن حافظه نهان در ویندوز ، باید دستور را اجرا کنید ipconfig / flushdns.

پس از مراحل ذکر شده در بالا ، می توان گفت که بیشتر کارها برای فیلتر کردن کامل مطالب انجام شده است.

باقی مانده است که آداپتور شبکه را در سیستم عامل که روی رایانه شما نصب شده است ، یا تنظیمات در روتر (روتر) تنظیم کنید.

پیکربندی آداپتور شبکه و روتر (روتر)

برای راه اندازی کامل سیستم فیلتر محتوای Rejector روی رایانه یا سازمان یا سازمان (دفتر ، مدرسه) ، چیزی کاملاً باقی مانده است. شما باید سرورهای Rejector DNS را ثبت کنید: 95.154.128.32 و 78.46.36.8. بدون این ، شما قادر به فیلتر کردن سایتها و محتوای ممنوعه نخواهید بود.

پیکربندی سرورهای DNS برای استفاده از Rejector در ویندوز (ویندوز XP ، ویندوز ویستا و ویندوز 7) نوشته شده است. بنابراین ، من نکته ای برای نوشتن دستورالعمل جدید نمی بینم. در آنجا دستورالعمل های مرحله به مرحله را با تصاویر خواهید یافت.

اما تنظیمات روتر را برای Rejector در وب سایت آنها پیدا نکردم. روترهای زیادی وجود دارد و بنابراین راهی برای توصیف هر روتر وجود ندارد. مثالی ارائه شده است دستورالعمل تنظیم روتر (روتر)د-پیوند DIR-300NRUB5.

در مرحله بعد ، پنل اداری روتر به تمام شکوه خود باز خواهد شد ، جایی که می توانید تنظیمات را انجام دهید. اگر قبلاً روتر پیکربندی شده توسط ارائه دهنده یا خودتان داشته باشید و به اینترنت دسترسی داشته باشید ، باید تغییراتی را در سرورهای نام (در این مورد) ایجاد کنید. برای انجام این کار ، به بخش فهرست "Advanced" بروید و "نام سرورها" را انتخاب کنید. بعد ، همانطور که در تصویر نشان داده شده است ، DNS سرور Rejector را وارد کنید: 95.154.128.32 و 78.46.36.8 .

ما تغییرات را ذخیره می کنیم و روتر را راه اندازی مجدد می کنیم تا تنظیمات به مرحله اجرا برسند!

مثلاً اخیراً راه\u200cاندازی کردم. در کنترل پنل این روتر به بخش منو بروید "خالص"، به علاوه می خواهم و به مزارع سرور DNS ترجیحی و جایگزین سرورهای DNS مربوطه از Rejector را وارد کنید.

اگر در پیکربندی روتر خود مشکلی دارید ، در نظرات زیر بنویسید ، ما سعی خواهیم کرد به شما در پیکربندی فیلتر زمینه کمک کند.

اگر نمی خواهید در خانه ، دفتر کوچک یا مدرسه (سازمان آموزشی) خود برای سیستم فیلترینگ محتوا هزینه کنید ، در این صورت سرویس Rejector ابزاری مناسب برای شما خواهد بود تا کامپیوترها را از محتوای ناخواسته در اینترنت مسدود کنید.

در نظرات بنویسید که چگونه از فرزندان خود محافظت می کنید و از چه ابزاری برای مسدود کردن سایتهای ناخواسته در رایانه استفاده می کنید.

فیلتر کردن جریانهای اطلاعاتی شامل عبور انتخابی آنها از طریق صفحه ، احتمالاً با انجام برخی از تحولات و اطلاع رسانی به فرستنده مبنی بر عدم پذیرش اطلاعات است. فیلترینگ بر اساس مجموعه ای از قوانین از پیش بارگذاری شده روی صفحه انجام می شود ، که بیانگر جنبه های شبکه سیاست امنیتی اتخاذ شده است. بنابراین ، راحت است که فایروال را به عنوان دنباله ای از فیلترها (شکل A.2) فکر کنید که جریان اطلاعات را پردازش می کند. هر یک از فیلترها برای تفسیر قوانین فیلتر فردی با انجام مراحل زیر طراحی شده اند:

1. تجزیه و تحلیل اطلاعات با توجه به معیارهای مشخص شده در قوانین تفسیر ، به عنوان مثال ، توسط آدرس گیرنده و فرستنده یا با توجه به نوع کاربردی که این اطلاعات در نظر گرفته شده است.

2. تصمیم گیری ، بر اساس قوانین تفسیر ، یکی از تصمیمات زیر:

داده ها را از دست ندهید.

داده ها را از طرف گیرنده پردازش کرده و نتیجه را به فرستنده بازگردانید.

برای ادامه تجزیه و تحلیل داده ها را به فیلتر بعدی منتقل کنید.

پرش از داده ها ، با نادیده گرفتن فیلترهای زیر.

شکل. A.2 ساختار فایروال

قوانین فیلتر نیز می توانند اقدامات دیگری را که مربوط به توابع واسطه گری است ، به عنوان مثال ، تبدیل داده ها ، ثبت وقایع و غیره تعیین کنند. بر این اساس ، قوانین فیلتر لیست شرایطی را تعیین می کند که تحت آنها ، با استفاده از معیارهای تحلیل مشخص ، موارد زیر انجام می شود:

اجازه یا ممنوعیت انتقال اطلاعات بیشتر؛

عملکرد توابع محافظ اضافی.

از پارامترهای زیر می تواند به عنوان معیارهای تحلیل جریان اطلاعات استفاده شود:

زمینه های خدمات بسته های پیام حاوی آدرس های شبکه ، شناسه ها ، آدرس های رابط ، شماره پورت ها و سایر داده های مهم.

محتوای مستقیم بسته های پیام ، به عنوان مثال اسکن شده برای حضور ویروس های رایانه ای.

ویژگی های خارجی جریان اطلاعات ، به عنوان مثال ، زمانی ،

پاسخ فرکانس ، حجم داده و غیره

معیارهای تحلیل استفاده شده بستگی به لایه های مدل OSI دارد که فیلتر شده اند. به طور کلی ، هرچه سطح OSI که در آن فایروال بسته ها را فیلتر می کند ، بالاتر باشد ، سطح حفاظت آن نیز بالاتر می رود.

عملکردهای میانجیگری را انجام می دهد

فایروال عملکرد واسطه گری خود را با استفاده از برنامه های ویژه ای به نام عوامل محافظ یا به سادگی برنامه های میانجی گری انجام می دهد. این برنامه ها مقیم هستند و انتقال مستقیم بسته های پیام بین شبکه های خارجی و داخلی را ممنوع می کنند.

اگر دسترسی از شبکه داخلی به شبکه خارجی یا برعکس لازم باشد ، ابتدا باید یک برنامه منطقی با یک برنامه واسطه ای که روی رایانه صفحه نمایش کار می کند برقرار شود. برنامه میانجیگری تأیید می کند که کار اینترنت درخواست شده معتبر است و در صورت رفع ، اتصال جداگانه ای به رایانه درخواستی برقرار می کند. علاوه بر این ، تبادل اطلاعات بین رایانه ها در شبکه های داخلی و خارجی از طریق واسطه ای نرم افزاری انجام می شود که می تواند جریان پیام را فیلتر کند ، همچنین عملکردهای محافظ دیگری را نیز انجام می دهد.

باید درک کرد که فایروال می تواند بدون استفاده از برنامه های پروکسی ، عملکردهای فیلتر را انجام دهد ، تعامل شفاف بین شبکه داخلی و خارجی فراهم می کند. با این حال ، واسطه های نرم افزار ممکن است جریان پیام را فیلتر یا نکنند. به طور کلی ، عوامل محافظ با مسدود کردن جریان پیام شفاف ، می توانند عملکردهای زیر را انجام دهند:

شناسایی و احراز هویت کاربران؛

احراز هویت داده های منتقل شده؛

تمایز دسترسی به منابع شبکه داخلی؛

تمایز دسترسی به منابع شبکه خارجی؛

برای مثال ، فیلتر و تبدیل جریان پیام ، اسکن ویروس پویا و رمزگذاری اطلاعات شفاف.

ترجمه آدرسهای شبکه داخلی برای بسته های پیام های خروجی.

ثبت وقایع ، پاسخ به رویدادهای مشخص و همچنین تجزیه و تحلیل اطلاعات ثبت شده و تولید گزارش ها.

ذخیره داده های درخواست شده از شبکه خارجی

برای داشتن درجه بالایی از امنیت ، لازم است کاربران را نه تنها هنگام دسترسی از شبکه خارجی به شبکه داخلی ، بلکه از طرف آن نیز شناسایی و تأیید کنید. رمز عبور نباید از طریق ارتباطات عمومی به صورت واضح منتقل شود. این کار با رهگیری بسته های شبکه مانع از دسترسی غیرمجاز می شود که مثلاً در مورد سرویس های استاندارد مانند Telnet امکان دسترسی غیرمجاز وجود دارد. بهترین روش احراز هویت استفاده از رمزهای عبور یک بار است. همچنین استفاده از گواهینامه های دیجیتال صادر شده توسط مقامات معتبر مانند یک مرکز توزیع کلیدی بسیار راحت و قابل اعتماد است. بیشتر واسطه ها به گونه ای طراحی شده اند که کاربر فقط در ابتدای جلسه فایروال احراز هویت می شود. پس از آن ، در زمان تعیین شده توسط مدیر ، هیچ احراز هویت اضافی از وی لازم نیست. برنامه های پروکسی می توانند صحت داده های دریافتی و انتقال یافته را تأیید کنند. این نه تنها برای تأیید هویت پیام های ایمیل ، بلکه برای برنامه های مهاجرت (جاوا ، ActiveXControls) ، که علیه آنها جعل امکان انجام می شود ، مرتبط است. تأیید صحت پیامها و برنامه ها برای کنترل امضاهای دیجیتالی آنهاست. از گواهینامه های دیجیتال نیز می توان برای این کار استفاده کرد. شناسایی و احراز هویت کاربران هنگام دستیابی به فایروال به شما امکان می دهد دسترسی آنها به منابع را در شبکه داخلی یا خارجی محدود کنید. روش های تعیین منابع برای شبکه های داخلی هیچ تفاوتی با روش های تعیین شده پشتیبانی شده در سطح سیستم عامل ندارند. هنگام تمایز دسترسی بهمنابع شبکه خارجی اغلب یکی از روشهای زیر استفاده می شود:

اجازه دسترسی فقط به آدرسهای مشخص شده در شبکه خارجی

فیلتر کردن پرس و جوها بر اساس لیست های به روز شده آدرس های نامعتبر و مسدود کردن جستجوی منابع اطلاعات توسط کلمات کلیدی ناخواسته.

انباشت و به روزرسانی توسط سرپرست منابع اطلاعات مجاز شبکه خارجی در حافظه دیسک دیواره آتش و انکار کامل دسترسی به شبکه خارجی.

فیلتر و تبدیل جریان پیام توسط کارگزار براساس مجموعه مشخصی از قوانین انجام می شود. باید بین دو نوع برنامه واسطه ای تمایز قائل شد:

عوامل محافظ برای تجزیه و تحلیل جریان پیام برای انواع خاصی از خدمات ، به عنوان مثال ، FTP ، HTTP ، Telnet متمرکز شده اند.

عوامل محافظ جهانی که کل جریان پیام را پردازش می کنند ، به عنوان مثال ، عوامل متمرکز بر یافتن و خنثی سازی ویروس های رایانه ای یا رمزگذاری شفاف داده ها. واسطه نرم افزاری بسته های داده ای که به آن می آیند را تجزیه و تحلیل می کند و اگر هر شیئی معیارهای مشخص را برآورده نکند ، واسطه یا پیشروی بیشتر خود را مسدود می کند ، یا تحولات مناسب را انجام می دهد ، به عنوان مثال خنثی سازی ویروس های رایانه شناسایی شده. هنگام تجزیه و تحلیل محتویات بسته ها ، مهم است که عامل محافظ بتواند به طور خودکار بایگانی پرونده های عبور را باز کند.

فایروال ها با واسطه ها همچنین به شما امکان می دهند شبکه های مجازی ایمن (VirtualPrivateNetwork-VPN) را سازماندهی کنید ، به عنوان مثال ، چندین شبکه محلی متصل به اینترنت را به صورت یک شبکه مجازی با هم ترکیب کنید. VPN ها اتصال شفاف از شبکه های محلی را برای کاربران فراهم می کنند ، و با حفظ رمزنگاری و یکپارچگی اطلاعات منتقل شده با رمزگذاری آن به صورت پویا. هنگام انتقال از طریق اینترنت ، امکان رمزگذاری نه تنها داده های کاربر ، بلکه اطلاعات خدمات نیز وجود دارد - آدرس های شبکه پایان ، شماره پورت ها و غیره. برنامه های واسطه نیز می توانند چنین عملکرد مهمی را مانند ترجمه آدرس های شبکه داخلی انجام دهند. این عملکرد در رابطه با تمام بسته های زیر از شبکه داخلی به شبکه خارجی پیاده سازی می شود. برای این بسته ها ، کارگزار به طور خودکار آدرس های IP رایانه های ارسال کننده را به یک آدرس IP "قابل اعتماد" مرتبط با فایروال که از آن همه بسته های خروجی ارسال می شود ، حل می کند. در نتیجه ، کلیه بسته های خروجی از شبکه داخلی توسط فایروال ارسال می شود ، که تماس مستقیم بین شبکه داخلی مجاز و شبکه خارجی بالقوه خطرناک را از بین می برد آدرس IP فایروال تنها آدرس IP فعال است که به شبکه خارجی می رسد.

با این رویکرد ، توپولوژی شبکه داخلی برای کاربران خارجی پنهان می شود که کار دسترسی غیرمجاز را پیچیده می کند. علاوه بر تقویت امنیت ، ترجمه آدرس به شما امکان می دهد تا سیستم آدرس دهی خود را در داخل شبکه داشته باشید که با آدرس دهی در شبکه خارجی مثلاً در اینترنت هماهنگ نیست. این مسئله بطور مؤثر مشکل گسترش فضای آدرس شبکه داخلی و کمبود آدرس شبکه های خارجی را حل می کند. ثبت وقایع ، پاسخ به رویدادهای مشخص و تجزیه و تحلیل اطلاعات ثبت شده و تهیه گزارش از توابع مهم برنامه های واسطه ای است. به عنوان یک پاسخ اجباری برای تشخیص تلاش برای انجام اقدامات غیرمجاز ، مدیر باید به عنوان مثال از صدور سیگنال های هشدار دهنده مطلع شود. هر فایروال که هنگام شناسایی حمله نتواند هشدار ارسال کند ، فایروال موثری نیست.

بسیاری از فایروال ها حاوی یک سیستم قدرتمند برای ثبت ، جمع آوری و تجزیه و تحلیل آمار هستند. حسابداری را می توان با آدرس های مشتری و سرور ، شناسه کاربر ، زمان جلسه ، زمان اتصال ، میزان داده های ارسال شده / دریافتی ، مدیر و اقدامات کاربر انجام داد. سیستم های حسابداری امکان تجزیه و تحلیل آمار را ارائه می دهند و گزارش های مفصلی را در اختیار مدیران قرار می دهند. از طریق استفاده از پروتکل های ویژه ، واسطه ها می توانند اعلان از راه دور درباره برخی از وقایع خاص را در زمان واقعی انجام دهند. ذخیره اطلاعات از شبکه خارجی نیز با استفاده از واسطه های ویژه پشتیبانی می شود. هنگامی که کاربران موجود در شبکه داخلی به منابع اطلاعاتی در شبکه خارجی دسترسی پیدا می کنند ، تمام اطلاعات در فضای هارد دیسک فایروال جمع می شوند که در این حالت سرور پروکسی نامیده می شود. بنابراین ، اگر در صورت درخواست اطلاعات لازم در سرور پروکسی ظاهر شود ، واسطه بدون دسترسی به شبکه خارجی ، آن را در اختیار شما قرار می دهد ، که دسترسی را به میزان قابل توجهی سرعت می بخشد. سرپرست فقط باید از بروزرسانی دوره ای محتوای سرور پروکسی مراقبت کند.

عملکرد caching را می توان با موفقیت برای محدود کردن دسترسی به منابع اطلاعاتی در شبکه خارجی استفاده کرد. در این حالت ، کلیه منابع اطلاعاتی مجاز از شبکه خارجی توسط سرپرست روی پروکسی سرور جمع شده و به روز می شوند. کاربران شبکه داخلی فقط به منابع اطلاعاتی سرور پروکسی دسترسی دارند و دسترسی مستقیم به منابع شبکه خارجی ممنوع است. عوامل محافظ بسیار مطمئن تر از فیلترهای معمولی هستند و میزان محافظت بیشتری نیز دارند. با این حال ، آنها عملکرد ارتباطات بین شبکه های داخلی و خارجی را تخریب می کنند و به همان اندازه شفافیت برنامه ها و کاربران نهایی را به عنوان فیلترهای ساده ندارند.

ویژگی های دیوار آتش در لایه های مختلف مدل OSI

فایروال ها از امنیت interworking در لایه های مختلف مدل OSI پشتیبانی می کنند. در عین حال ، عملکردهای محافظتی که در سطوح مختلفی از مدل مرجع انجام می شوند ، تفاوتهای چشمگیری با یکدیگر دارند. بنابراین ، به راحتی می توان یک فایروال پیچیده را به عنوان مجموعه ای از صفحه نمایش های غیر قابل تفکیک ، نمایش داد که هریک از آنها روی لایه متفاوتی از مدل OSI متمرکز شده اند. بیشتر اوقات ، محافظ صفحه نمایش در لایه های شبکه ، جلسه و برنامه های مدل مرجع فعالیت می کند. بر این اساس ، بین چنین دیواره های قابل تفکیک (شکل A.3) به عنوان روتر محافظ ، یک وسیله نقلیه محافظ (دروازه لایه جلسه) و یک دروازه محافظ (دروازه لایه کاربرد) تمایز قائل می شود.

با توجه به اینکه پروتکل های مورد استفاده در شبکه ها (TCP / IP ، SPX / IPX) به طور ابهام با مدل OSI مطابقت ندارند ، سپس صفحه های انواع ذکر شده ، هنگام انجام عملکردهای خود می توانند سطح همسایگان مدل مرجع را پوشش دهند. به عنوان مثال ، یک صفحه برنامه می تواند هنگام انتقال به یک شبکه خارجی پیام ها را رمزگذاری کند و همچنین داده های دریافتی بصورت رمزنگاری را بطور خودکار رمزگشایی کند. در این حالت ، چنین صفحه ای نه تنها در سطح برنامه مدل OSI بلکه در سطح ارائه نیز عملکرد دارد. دروازه لایه جلسه در کار خود لایه های حمل و نقل و شبکه مدل OSI را پوشش می دهد. هنگام تجزیه و تحلیل بسته های پیام ، یک روتر محافظ نه تنها در شبکه بلکه در لایه حمل و نقل ، هدرهای آنها را بررسی می کند.

هر نوع فایروال مزایا و معایب خاص خود را دارد. بسیاری از فایروال های مورد استفاده یا دروازه های برنامه یا روترهای محافظ هستند و از امنیت کار اینترنت کاملاً پشتیبانی نمی کنند. محافظت قابل اطمینان فقط توسط فایروال های پیچیده ارائه می شود ، که هر کدام یک روتر محافظ ، یک دروازه سطح جلسه و یک دروازه برنامه را با هم ترکیب می کنند.

شکل. A.3 انواع فایروال ها که در لایه های مختلف مدل OSI کار می کنند

همانطور که بارها در مقاله هایم در مورد Windows Firewall با Advanced Security با Windows Vista و Windows Server 2008 R2 گفتم ، Windows Firewall به طور پیش فرض با مسدود کردن کلیه ترافیک ورودی که به صراحت مجاز نبوده ، امنیت هر رایانه در یک سازمان را بهبود می بخشد. مسیر. هنگام نصب یک برنامه کاربردی یا مؤلفه سیستم عامل که به اتصالات ورودی نیاز دارد ، سیستم عامل به طور خودکار قوانین فایروال ورودی را فعال می کند و لازم نیست در اکثر موارد آنها را به صورت دستی پیکربندی کنید. اگر ضربه محکم و ناگهانی را مستقیماً از صفحه کنترل یا با اجرای دستور باز کنید wf.msc در کادر گفتگو "اجرا کن"، یا در خط فرمان ، خواهید دید که قبلاً برخی از قوانین به طور خودکار فعال هستند. به عنوان مثال ، ممکن است این قانونی باشد که بطور خودکار با نصب ویندوز لایو مسنجر یا هنگام اجرای نقش Hyper-V ایجاد شود ، همانطور که در تصویر زیر نشان داده شده است:

شکل. 1. قوانینی که بطور خودکار برای اتصالات ورودی ایجاد می شوند

اما در همه موارد ، قوانین ورودی ویندوز فایروال به طور خودکار تولید نمی شوند. برای برخی از برنامه هایی که قوانین ورودی پیش فرض را ایجاد نمی کنند ، باید قوانین را بصورت دستی ایجاد کنید. اگر چنین برنامه ای روی یک کامپیوتر یا بر روی چندین رایانه مستقر در یک کارگروه نصب شود ، می توانید قواعد را بطور مستقیم در Snap-in ایجاد کنید. فایروال ویندوز با Advanced Security... اما اگر کامپیوترهای کارمندان شما عضو دامنه باشد و ده ها یا حتی صدها چنین رایانه ای وجود داشته باشد ، چه می شود؟ در این حالت ، برای اینکه سرپرست قوانین ویندوز فایروال را در سازمان اعمال کند ، از Group Policy استفاده کنید که یک رابط مشابه را در اختیار شما قرار می دهد.

در این مقاله خواهید آموخت که چگونه می توانید ویندوز فایروال را با امنیت پیشرفته و با استفاده از Group Policy Group ، انعطاف پذیر کنترل کنید ، یعنی نحوه ایجاد اتصالات ورودی و خروجی برای گروه خاصی از کاربران.

برای مدیریت فایروال های Windows با امنیت پیشرفته ، یک شیء خط مشی گروهی ایجاد کنید

قبل از ایجاد قوانین ورودی و خروجی برای Windows Firewalls در حالت امنیتی برای رایانه های مشتری در سازمان خود ، باید واحدهای سازمانی را که حاوی حساب های رایانه سازمان شما هستند و یک GPO ایجاد کنید ، پیدا کنید که در این صورت مجموعه ای از خط مشی ها با تنظیمات خاص برای یک مجموعه خاص از رایانه ها وجود دارد. ... پس از آن ، با استفاده از ضربه محکم و ناگهانی ، باید تنظیمات اتصالات ورودی و خروجی را پیکربندی کنید. هیچ چیز خاصی در مورد ایجاد GPO برای مدیریت Windows Firewalls با Advanced Security وجود ندارد. برای انجام این کار؛ این موارد را دنبال کنید:

پس از اتمام تمام مراحل قبلی ، می توانید قوانین ورودی و خروجی را برای Windows Firewall با Advanced Security شروع کنید.

تنظیم قانون ورودی و خروجی

در این مرحله ما یک قاعده ورودی را ایجاد می کنیم که در مورد Windows Live Messenger در پورت 1900 برای سیستم عامل های ویندوز ویستا و ویندوز 7 64 و یک قاعده برون مرزی برای اجازه دادن به درخواست های اینترنت اکسپلورر در یک موضوع Group Policy اعمال می شود. در بخش قبلی این مقاله ایجاد شده است. به طور پیش فرض ، اعضای گروه سرپرستان محلی همچنین می توانند قوانینی را برای اتصالات ورودی و خروجی در Snap-In ایجاد و اصلاح کنند فایروال ویندوز با Advanced Security... این قوانین با قوانینی که برگرفته از Group Policy است ترکیب شده و در پیکربندی رایانه کاربرد دارد. برای ایجاد یک قانون ورودی در GPO که قبلاً ایجاد شده است ، این مراحل را دنبال کنید:

در گره "اهداف سیاست گروهی" ضربه محکم و ناگهانی ، GPO که قبلاً ایجاد شده بود را انتخاب کنید ، در این حالت ، شی را انتخاب کنید "پیکربندی فایروال ویندوز"، روی آن کلیک راست کنید "تغییر دادن";
در اسنپ "ویرایشگر مدیریت سیاست گروهی" در درخت کنسول ، پیکربندی رایانه را \\ سیاست ها \\ پیکربندی ویندوز \\ تنظیمات امنیتی \\ Firewall Windows با امنیت پیشرفته \\ Firewall Windows با امنیت پیشرفته \\ قوانین ورودی وارد کنید. روی عنصر راست کلیک کنید "قوانین مربوط به اتصالات ورودی" و از فهرست زمینه دستور را انتخاب کنید "ایجاد قانون"همانطور که در تصویر زیر نشان داده شده است:

شکل. 6. ایجاد یک قانون جدید برای اتصالات ورودی

در صفحه اول جادوگر قانون جدید ورودی می توانید یکی از گزینه ها را انتخاب کنید ، که در زیر به تفصیل آمده است:
- برای برنامه... این نوع قانون فایروال برای ایجاد قانونی استفاده می شود که بدون در نظر گرفتن شماره پورت مورد استفاده ، اتصالات را برای یک فایل اجرایی خاص امکان پذیر یا مسدود می کند. برای بیشتر افراد ، این نوع قانون ممکن است مفیدترین باشد ، زیرا همه نمی دانند از کدام برنامه خاص استفاده می کند. بهتر است در بیشتر موارد از این نوع قاعده استفاده کنید ، اما باید توجه داشته باشید که اگر یک سرویس خاص دارای پرونده اجرایی خاص خود نباشد از این نوع استفاده نمی شود.
- برای بندر... این نوع قانون فایروال برای ایجاد یک قانون برای مجاز یا مسدود کردن ارتباطات برای پورت TCP یا UDP خاص ، صرف نظر از برنامه ای که باعث ایجاد ترافیک می شود ، استفاده می شود. هنگام ایجاد یک قاعده از این نوع ، می توانید همزمان چندین پورت را مشخص کنید؛
- از پیش تعریف شده... از این نوع قانون فایروال برای ایجاد قانونی که کنترل اتصالات به یک برنامه خاص یا سرویس سیستم عامل است ، استفاده می شود که در لیست کشویی مربوطه قرار دارد ، استفاده می شود. پس از نصب آنها ، برخی از برنامه ها برای ساده کردن روند ایجاد قوانین برای اتصالات ورودی ، مطالب خاص خود را به این لیست اضافه می کنند.
- قابل تنظیم... این نوع قانون فایروال قانونی را ایجاد می کند که می تواند همزمان اطلاعات و برنامه ها و پورت ها را با هم ترکیب کند.

برای در نظر گرفتن حداکثر تعداد صفحات جادوگر ، نوع را انتخاب کنید "قانون سفارشی";

شکل. 7. صفحه "نوع قانون" از جادوگر جدید حاکم بر قانون

در صفحه "برنامه" Wizard New Inbound Rule Wizard به شما امکان می دهد مسیر برنامه ای را که Windows Firewall با Advanced Security تیک می زند مشخص کنید تا ببینید که آیا بسته های شبکه ارسال شده یا دریافت شده مطابق با این قانون هستند. در مورد ما ، سوئیچ را روی گزینه تنظیم کنید "مسیر برنامه" و در کادر متن مربوطه ، وارد کنید "C: \\ File Files (x86) \\ Windows Live \\ مسنجر \\ msnmsgr.exe"مطابق شکل زیر:

شکل. 8. صفحه "برنامه" از جادوگر جدید حاکم بر قانون

در صفحه "پروتکل و پورت" از Wizard New Inbound Rule Wizard ، می توانید پروتکل و پورتهای مورد استفاده در بسته شبکه را تعیین کنید که مطابق با قانون فعلی باشد. اگر لازم است چندین پورت را مشخص کنید ، می توانید آنها را با کاما از هم جدا کنید. و اگر لازم است طیف وسیعی از پورت ها را مشخص کنید ، پورت های پایین و بالاتر را با یک فنر جدا کنید. بیایید نگاهی سریع به پارامترهای بندر محلی برای قوانین ورودی بپردازیم:
- همه درگاه ها... این قانون برای کلیه اتصالات ورودی و خروجی با استفاده از TCP یا UDP اعمال می شود.
- پورت های ویژه... در این حالت ، می توانید پورت های خاصی را تعیین کنید که برای اتصالات ورودی یا خروجی از طریق TCP یا UDP استفاده می شود.
- نقشه نگار انتهایی RPC... این مقدار فقط برای اتصالات TCP ورودی قابل انتخاب است. در این حالت ، رایانه در صورت درخواست سرویس RPC-EM ، درخواست های RPC ورودی از طریق TCP را از طریق پورت 135 دریافت می کند ، در آنجا یک سرویس شبکه مشخص می شود و شماره پورت درخواست می شود که روی آن سرویس شبکه گوش می کند.
- پورت های RPC پویا... مانند مقدار قبلی ، این مقدار فقط می تواند برای اتصالات TCP ورودی انتخاب شود ، جایی که کامپیوتر بسته های شبکه RPC ورودی را از طریق درگاه هایی که توسط زمان اجرا RPC اختصاص داده شده ، دریافت می کند.
- IPHTTPS... این مقدار فقط برای اتصالات TCP ورودی موجود است. در این حالت ، مجاز به دریافت بسته های ورودی با استفاده از پروتکل تونل سازی IPHTTPS ، که از تعبیه بسته های IPv6 در بسته های شبکه IPv4 HTTPS از یک رایانه از راه دور پشتیبانی می کند.
- دور زدن گره ها... شما می توانید این مقدار را فقط برای اتصالات UDP ورودی ، انتخاب کنید که به شما امکان می دهد بسته های ورودی شبکه Teredo را دریافت کنید.

به عنوان مثال ، برای تعیین پورت های TCP 80 ، 443 و 1900 برای Windows Live Messenger ، از لیست کشویی استفاده کنید "نوع پروتکل" انتخاب کنید "TCP"، کشویی "بندر محلی" مقدار را انتخاب کنید "پورت های ویژه"و در کادر نوشتار در زیر منوی کشویی فوق وارد کنید "80 ، 443 ، 1900"... مقدار کشویی را رها کنید "بندر از راه دور" بدون تغییر و کلیک بر روی دکمه "به علاوه";

شکل. 9. صفحه "پروتکل و بنادر" از جادوگر جدید حاکم بر قانون

در صفحه "منطقه" در این جادوگر می توانید آدرس های IP رایانه های محلی و از راه دور را تعیین کنید که ترافیک شبکه برای قاعده فعلی اعمال می شود. در اینجا دو بخش وجود دارد: آدرس های IP محلی و راه دور که این قانون در آن اعمال می شود. در هر دو بخش اول و دوم ، ترافیک شبکه تنها در صورتی مطابقت دارد که آدرس IP مقصد در این لیست باشد. هنگام انتخاب گزینه "هر آدرس IP"، این بسته توسط بسته های شبکه با هر آدرس IP ، که به عنوان آدرس رایانه محلی مشخص خواهد شد یا از هر آدرس IP (در صورت قاعده برای اتصال ورودی) مشخص خواهد شد ، ارضا خواهد شد. در صورت نیاز به مشخص کردن آدرس های IP خاص ، دکمه رادیویی را بر روی گزینه تنظیم کنید "آدرس های IP مشخص شده" و یک آدرس یا زیر شبکه خاص با استفاده از کادر گفتگو که با کلیک بر روی دکمه باز می شود اضافه کردن... در مورد ما ، این صفحه را بدون تغییر رها خواهیم کرد و روی دکمه کلیک می کنیم "به علاوه";

شکل. 10. صفحه "Scope" از جادوگر حاکم بر قانون جدید ورودی

در صفحه "عمل" در این قانون می توانید عملی را که باید روی بسته های ورودی یا خروجی انجام شود انتخاب کنید. در اینجا می توانید یکی از سه عمل زیر را انتخاب کنید:
- اجازه اتصال... وقتی این مقدار را انتخاب می کنید ، به کلیه اتصالات مطابق با معیارهای مشخص شده در تمام صفحات قبلی جادوگر اجازه می دهید.
- اتصال ایمن را مجاز کنید... مقدار فعلی برای فایروال ویندوز با قانون امنیت پیشرفته اجازه می دهد تا اتصالات تنها در صورتی که معیارهایی را که قبلاً مشخص کرده اید رعایت کند و همچنین توسط IPSec محافظت می شود. ما به این ارزش نمی پردازیم ، همانطور که در مقاله های بعدی من به طور مفصل مورد بحث قرار می گیرد.
- اتصال بلوک... در این حالت ، فایروال ویندوز با Advanced Security هرگونه تلاش اتصال مطابق با معیارهایی را که قبلاً مشخص کرده اید ، رها می کند. با وجود این واقعیت که در ابتدا همه اتصالات توسط فایروال مسدود شده اند ، توصیه می شود اگر نیاز به انکار اتصالات برای یک برنامه خاص دارید ، این مقدار را انتخاب کنید.

از آنجا که نیاز به دسترسی به برنامه Windows Live Messenger داریم ، سوئیچ را روی گزینه ها قرار می دهیم "اجازه اتصال" و روی دکمه کلیک کنید "به علاوه";

شکل. 11. صفحه "عمل" از جادوگر قانون جدید ورودی

در صفحه "مشخصات" از Wizard New Inbound Rule Wizard ، می توانید نمایه ای را انتخاب کنید که این قانون در آن اعمال خواهد شد. می توانید یکی از سه پروفایل موجود یا چند مورد را به طور هم زمان انتخاب کنید. بیشتر اوقات ، یک پروفایل برای یک سازمان انتخاب می شود "دامنه" یا هر سه پروفایل. اگر سازمان شما از خدمات دامنه اکتیو دایرکتوری استفاده نمی کند ، یا قواعد فایروال را برای رایانه خانگی خود پیکربندی می کنید ، فقط باید مشخصات را مشخص کنید "خصوصی"... قوانین پروفایل "عمومی" برای اتصالات عمومی ایجاد شده اند که اصولاً انجام این کار بی خطر نیست. در مورد ما ، جعبه های هر سه پروفایل را بررسی کرده و روی دکمه کلیک کنید "به علاوه";

شکل. 12. صفحه "پروفایل" از جادوگر قانون جدید ورودی

در صفحه "نام" با استفاده از قانون Advanced Security که برای اتصال به ورودی ایجاد کرده اید ، اسمی برای Windows Firewall جدید تعیین کنید ، در صورت لزوم ، توضیحی را برای قانون فعلی وارد کنید و روی دکمه کلیک کنید "انجام شده".

شکل. 13. صفحه "نام" Wizard Rule New Inbound Rule

به طور پیش فرض ، ویندوز فایروال با Advanced Security اجازه می دهد تا کلیه ترافیک برون مرزی ، که به طور موثر کامپیوتر شما را در معرض خطر سازش قرار می دهد نسبت به ترافیک ورودی. اما ، در برخی موارد ، شما نیاز به کنترل نه تنها ورودی ، بلکه ترافیک خروجی بر روی رایانه های کاربران خود دارید. به عنوان مثال ، نرم افزارهای مخرب مانند کرم ها و برخی از انواع ویروس ها می توانند خود را تکثیر کنند. یعنی اگر ویروس قادر بود کامپیوتر را با موفقیت شناسایی کند ، پس از آن همه راه های موجود (برای خود) برای ارسال ترافیک خروجی برای شناسایی سایر رایانه های موجود در شبکه تلاش خواهد کرد. نمونه های زیادی از این دست وجود دارد. مسدود کردن ترافیک خروجی ناچار است بسیاری از اجزای داخلی سیستم عامل و نرم افزار نصب شده را مختل کند. بنابراین ، هنگام فیلتر کردن برون مرزی ، باید هر برنامه نصب شده در رایانه های کاربر را کاملاً تست کنید.

ایجاد قوانین خارج از مرز با روش فوق کمی متفاوت است. به عنوان مثال ، اگر تمام اتصالات خروجی را در رایانه های کاربر مسدود کرده اید و برای استفاده از مرورگر اینترنت اکسپلورر باید دسترسی کاربران را باز کنید ، این مراحل را دنبال کنید:

در صورت نیاز به قانون برون مرزی Windows Firewall برای اختصاص دادن به GPO جدید ، مراحل زیر را دنبال کنید برای مدیریت فایروال های Windows با امنیت پیشرفته ، یک شیء خط مشی گروهی ایجاد کنید;
در اسنپ "ویرایشگر مدیریت سیاست گروهی" در درخت کنسول ، پیکربندی رایانه را \\ سیاست ها \\ پیکربندی ویندوز \\ تنظیمات امنیتی \\ فایروال ویندوز با امنیت پیشرفته \\ فایروال ویندوز با امنیت پیشرفته \\ قوانین خارج از محدوده گسترش دهید. روی عنصر راست کلیک کنید قوانین خارج از کشور و از فهرست زمینه دستور را انتخاب کنید "ایجاد قانون";
در صفحه جادوگر "نوع قانون" یک گزینه را انتخاب کنید "برای برنامه" و روی دکمه کلیک کنید "به علاوه";
در صفحه "برنامه"دکمه رادیویی را روی گزینه تنظیم کنید "مسیر برنامه" و کادر متن مربوطه را وارد کنید ٪ ProgramFiles٪ \\ Internet Explorer \\ iexplore.exe یا این فایل اجرایی را با کلیک روی دکمه انتخاب کنید "بررسی اجمالی";
در صفحه "عمل" از این جادوگر ، گزینه را انتخاب کنید "اجازه اتصال" و روی دکمه کلیک کنید "به علاوه";
در صفحه "مشخصات" مقادیر پیش فرض را بپذیرید و روی دکمه کلیک کنید "به علاوه";
در صفحه آخر ، صفحه "نام"مثلاً برای این قانون یک نام وارد کنید "قانون برای مرورگر اینترنت اکسپلورر" و روی دکمه کلیک کنید "انجام شده".

در قسمت جزئیات قسمت Snap-in "ویرایشگر مدیریت سیاست گروهی" شما باید قانون ایجاد شده را مانند تصویر زیر نشان دهید:

شکل. 14. برای اتصال به خارج از کشور قانون ایجاد شده است

تعیین تکلیف فیلتر برای قانون ایجاد شده

اکنون که یک GPO را با یک قاعده اتصال ورودی و برون مرزی ایجاد کرده اید ، باید به نکته بعدی توجه کنید. هنگام ایجاد قانون ورودی ، مسیر سیستم عامل Windows Live Messenger را برای سیستم عامل 64 بیتی مشخص کردیم. آیا تمام رایانه های موجود در سازمان شما مجهز به سیستم عامل های 64 بیتی هستند. اگر این همه باشد ، پس شما بسیار خوش شانس هستید و هیچ کاری دیگر نباید انجام شود. اما اگر کامپیوترهای مشتری با سیستم عامل 32 بیتی دارید ، با مشکل روبرو خواهید شد. این قانون فقط کار نخواهد کرد البته می توانید برای رایانه های 32 بیتی و برای رایانه هایی با سیستم عامل 64 بیتی بخش های مختلفی ایجاد کنید اما این کاملاً منطقی نیست. به عبارت دیگر ، شما باید در اسنپ مشخص کنید "مدیریت سیاست گروهی"که GPO فقط باید در رایانه هایی با سیستم عامل 64 بیتی استفاده شود. شما می توانید با استفاده از فیلتر WMI چنین محدودیتی ایجاد کنید. در مورد فیلتر WMI در یکی از مقالات زیر اطلاعات بیشتری کسب خواهید کرد ، اما در حال حاضر فقط ارزش متوقف ساختن چنین فیلترهایی را دارد. برای تعیین فیلتر WMI برای تشخیص سیستم عامل های 64 بیتی ، این مراحل را دنبال کنید:

نتیجه

در این مقاله یاد گرفتید که چگونه می توانید ویندوز فایروال را با قوانین امنیتی پیشرفته برای اتصالات ورودی و برون مرزی با استفاده از ضربه محکم و ناگهانی ایجاد کنید فایروال ویندوز با Advanced Securityو همچنین با استفاده از Group Policy برای رایانه هایی در سازمان که عضو دامنه Active Directory هستند. کار مقدماتی شرح داده می شود ، یعنی ایجاد یک واحد سازمانی با رایانه ها ، و همچنین یک موضوع سیاست گروهی. ما نمونه هایی از ایجاد یک قانون سفارشی برای اتصال به ورودی و همچنین یک قاعده مانند را مورد بررسی قرار دادیم "برای برنامه" برای اتصال به خارج.