Что такое правила межсетевого экрана
Что такое правила межсетевого экрана
Встроенный межсетевой экран (firewall, брандмауэр) является неотъемлемой частью драйвера NAT UserGate и предназначен для обработки сетевого трафика в соответствии с заданным набором правил.
Первая страница правила выглядит следующим образом:
Так как межсетевой экран работает с трафиком, идущем в определенном направлении, при создании правила необходимо определить, с каким из потоков оно будет работать, выбрав соответствующие источник (интерфейс, с которого поток приходит) и назначение (интерфейс, на который направлен поток).
Источник и назначение выбираются на первой и второй страницах правила соответственно. В качестве одного из них можно установить либо произвольный интерфейс, либо выбрать из существующих, либо создать новый.
Доступные опции правила, которые находятся на третьей и четвертой странице, определяются типом правила.
Тип правила межсетевого экрана определяется автоматически, в зависимости от указанных параметров источника и назначения. Межсетевой экран поддерживает следующие типы правил:
Правила просматриваются в порядке приоритета. Чем выше правило в списке, тем выше его приоритет и тем раньше оно будет обрабатываться. Правила можно перемещать по списку, тем самым изменяя их приоритет.
Правило #NONUSER# имеет самый низкий приоритет, и изменить его нельзя.
Правила трансляции сетевого адреса (NAT)
Для этого типа правила третяя страница выглядит следующим образом:
Здесь нужно выбрать из предложенных или создать новый сервис, который необходимо разрешить.
Важно! Для правил типа NAT автоматически определяется действие «Разрешить», которое позволяет пропускать трафик только соответствующих сервисов.
Создание новых сервисов может понадобиться, например, если необходимо обеспечить доступ на тот порт протокола, которого нет в стандартных сервисах.
На четвертой странице можно сразу выбрать пользователя или группу пользователей, к которым будет применено правило.
Правила NAT можно использовать и в том случае, если имеется всего лишь одна сетевая карта. Как это сделать, можно прочитать здесь.
Подробнее про создание NAT-правила можно прочитать здесь.
Маршрутизация
Если компьютер с UserGate подключен к нескольким локальным сетям, сервер UserGate можно настроить как маршрутизатор, обеспечив прозрачную двунаправленную связь между этими сетями. Правила маршрутизации настраиваются между любой парой LAN-интерфейсов.
Для этого типа правил третяя страница выглядит следующим образом, так как маршрутизация не требует авторизации и работает для всех портов и протоколов поддерживаемых UserGate:
На четвертой странице также не будет доступна ни одна опция.
Подробнее про создание правил маршрутизации можно прочитать здесь.
Важно! Для маршрутизации не ведется подсчет трафика.
Правила брандмауэра (firewall)
Для этого типа правила третяя страница выглядит так же, как и для правила NAT.
Однако, опции, доступные на четвертой страницы, зависят от количества выбранных сервисов и от определенных источника и назначения.
В общем случае, четвертая страница выглядит следующим образом:
После этого на четвёртой странице нужно поставить галочку «Транслировать» и прописать IP-адрес локальной сети и порт, на который будет осуществляться трансляция.
Как получить информацию о работе правил, Вы можете прочитать здесь.
Правила межсетевого экрана
Оглавление
Основы
Некоторые системы межсетевых экранов также предлагают возможность комментировать отдельные правила или активировать их в зависимости от времени. Возможность комментировать правила, IP-адреса и услуги очень полезна, чтобы иметь возможность идентифицировать и удалять неиспользуемые правила или их части. В конце концов, очистить набор правил, который стал сбивающим с толку, методом проб и ошибок практически невозможно на продуктивном межсетевом экране.
Отклонить, запретить и разрешить
Правила межсетевого экрана определяют, что должно произойти с сетевым пакетом, который соответствует шаблону фильтра. Различают следующие рекламные акции, которые в зависимости от продукта могут называться по-разному:
DENY или DROP (отменить)
REJECT (отклонить)
РАЗРЕШИТЬ или ПРОЙТИ (разрешить)
Сетевой запрос разрешен и разрешен. Эти термины в основном относятся к исходящему трафику данных (то есть из внутренней во внешнюю сеть или, в случае персональных межсетевых экранов, из собственной компьютерной системы в сеть).
ВПЕРЕД или РАЗРЕШИТЬ (разрешить)
Сетевой запрос разрешен и пересылается, что включает возможность перенаправления на сетевой адрес, указанный администратором. Эти термины относятся в первую очередь к входящему трафику данных (то есть из внешней сети во внутреннюю или, в случае персональных межсетевых экранов, к запросам из сети).
Принципы безопасности
Идеальный набор правил для брандмауэра всегда структурирован таким образом, что, в принципе, весь сетевой трафик запрещен, а желаемые соединения разрешены (стратегия «белого списка»). Другой вариант, запрещающий только нежелательный трафик и разрешающий все остальное, никогда не может считаться безопасным в быстро меняющемся мире ИТ. Как правило, адреса отправителя и получателя всегда указываются численно, а не как DNS- имя, чтобы злоумышленник не мог повлиять на набор правил, изменив DNS.
Протоколы («ведение журнала»)
Правило скрытности
«Скрытое» правило используется для защиты самого межсетевого экрана и запрещает все подключения к нему. Поскольку порядок правил имеет значение, службы администрирования межсетевого экрана должны быть разрешены, чтобы эти пакеты также не отбрасывались. В следующем примере показано, почему необходимо правило скрытности:
Поскольку 10.0.0.1 также является частью сети 10.0.0.0/24, всем ПК в этой сети разрешен доступ к SSH-порту брандмауэра, что сделало бы брандмауэр более уязвимым для внутренних злоумышленников.
Правила ICMP
ICMP используется в сети для обмена сообщениями об ошибках и информационными сообщениями, но также может использоваться для атак в сети. Поскольку строгий метод полной блокировки ICMP или его постоянного разрешения вызовет слишком много проблем, эксперты рекомендуют включить следующие типы:
Все остальные типы ICMP активируются только по мере необходимости, более ограничивая при использовании межсетевого экрана для доступа в Интернет, чем при использовании межсетевого экрана между двумя внутренними сетями. Из-за возможности злоупотребления тип перенаправления ICMP обычно блокируется. Детальное разрешение сообщения «ICMP Echo Request» упрощает для посторонних поиск ошибок, но также позволяет взломщикам исследовать сеть. Кроме того, в «ICMP Echo» всегда есть бреши в безопасности, такие как Б. Пинг смерти и другие.
Исходящий трафик
Межсетевой экран
Модуль «Межсетевой экран» можно открыть двумя способами:
В модуле расположены следующие вкладки:
Межсетевой экран
На данной вкладке отображаются:
Внимание! Выключать межсетевой экран не рекомендуется. Выключая межсетевой экран, вы оставляете сервер без защиты от подключений извне. Кроме того, при включении ИКС именно межсетевой экран генерирует NAT для всех сетей, поэтому, если перезагрузить ИКС с выключенным межсетевым экраном, у всех пользователей пропадет доступ в сеть Интернет.
Настройки
На данной вкладке можно настроить доступ к ИКС при помощи межсетевого экрана.
Правила
На данной вкладке происходит основная настройка доступа.
Слева расположен список всех интерфейсов ИКС в виде дерева, справа — список правил. При нажатии на интерфейс будут показаны только те правила, которые относятся к данному интерфейсу.
Здесь можно настроить следующие правила:
По умолчанию в ИКС всегда есть общее запрещающее правило для всего трафика. Это самая популярная политика безопасности в мире: «все, что не разрешено — запрещено».
Разрешающие правила в ИКС всегда приоритетнее запрещающих и используются для того, чтобы открывать доступ только к определенным службам. При установке в ИКС автоматически создаются разрешающие правила для самых популярных служб. Программа предоставляет возможность управлять этими правилами на свое усмотрение (оставить, удалить, модифицировать).
Внимание! Выключение межсетевого экрана оставит работающими только правила NAT. Все правила, ограничивающие доступ извне, будут отключены, что может негативно сказаться на безопасности системы. Отключайте межсетевой экран только при крайней необходимости.
После перезагрузки системы с выключенным межсетевым экраном список правил pf, в том числе и правила NAT, будет полностью очищен и пользователи потеряют доступ во внешнюю сеть по всем протоколам, кроме HTTP.
События
На данной вкладке расположен журнал событий межсетевого экрана.
Журнал является стандартным элементом веб-интерфейса ИКС.
Что такое Брандмауэр, зачем нужна защита компьютера и как ее настроить
Содержание
Содержание
Вопросы сетевой безопасности остро стоят не только в корпоративном секторе, но и среди обычных пользователей. Защитить компьютер от внешних вторжений позволяет не только антивирус — брандмауэр является мощным средством контроля трафика.
Что такое брандмауэр
Брандмауэр или фаерволл — это системная утилита (сетевой экран) для контроля и фильтрации входящего/исходящего трафика. Брандмауэр стал неотъемлемой частью операционных систем Windows, начиная с версии XP SP2. В более ранних системах использовался Internet Connection Firewall, который по умолчанию был отключен. Это привело к глобальным атакам червей, таких как Blaster и Sasser, которые суммарно заразили более 350 тысяч компьютеров по всему миру в 2003 и 2004 годах.
Брандмауэр может быть как для отдельного компьютера, так и для всей локальной сети. В общем случае брандмауэр выполняет следующие функции:
Брандмауэр есть не только в операционных системах. ПО маршрутизаторов также включает встроенный фаерволл, который обычно настраивается через веб-интерфейс.
Брандмауэр способен анализировать абсолютно весь исходящий и входящий трафик, а также динамически открывать порты для конкретных приложений. Что конкретно из трафика будет блокировать брандмауэр, зависит от пользовательских настроек, а также внутренней базы, которая позволяет идентифицировать потенциально нежелательное содержимое.
Фильтры работают на нескольких уровнях модели OSI. Например, брандмауэр способен выполнять фильтрацию пакетов (сетевой уровень), контролировать шлюзы (сеансовый и прикладной уровни). Для каждого уровня используется свой гибкий фильтр. Например, на сетевом уровне брандмауэр анализирует заголовок IP-пакета: адреса получателя и отправителя, информацию о протоколе и приложении, номера портов. Собранная информация сравнивается с таблицей правил, после чего принимается решение — пропустить или отбраковать пакет.
Модель OSI
Тип данных
Уровень
Функции
Доступ к сетевым службам
Представление и шифрование данных
Управление сеансом связи
Прямая связь между конечными пунктами
Определение маршрута и логическая адресация
Работа со средой передачи и двоичными данными
Например, известный вирус WannaCry атаковал TCP-порт 445, который на большинстве компьютеров был открыт.
От чего защищает брандмауэр, а с чем не поможет
Брандмауэр — это первая линия обороны вашего компьютера, которая позволяет с высокой эффективностью справиться со следующими видами угроз:
Брандмауэр не способен обеспечить полную защиту вашего компьютера. Есть ряд угроз, с которыми ему не справиться. Первое — вирусы и черви, которые уже попали на компьютер. Брандмауэр сканирует только сетевой трафик и не анализирует непосредственно файловую систему. Именно поэтому на компьютерах обязательно должен быть полноценный антивирус, который обнаруживает и удаляет уже действующие вирусы.
Брандмауэр не способен защитить вас от вредоносных ссылок, которые вы получаете через спам в электронной почте. Также компьютер может заразиться вредоносным ПО не через сеть — USB-накопители, оптические диски, карты памяти и так далее. Чтение и копирование файлов с этих носителей брандмауэр никак не контролирует.
Многие антивирусы также способны анализировать сетевой трафик, но обычно эта функция не главная.
Плюсы и минусы использования брандмауэра
Главный плюс использования — повышение безопасности. В корпоративном секторе это обязательная защита, которая предотвратит вторжения извне, ограничит доступ в интернет сотрудникам и сделает безопасным передачу файлов по FTP и другим протоколам. Для обычных пользователей брандмауэр уменьшит шанс заражения червями, а также ограничит деятельность «подозрительных» программ.
Использование брандмауэра в операционной системе сопряжено с несколькими минусами:
Если на компьютере множество программ, то пользователям придется добавлять десятки разнообразных правил, но это позволит исключить ложные срабатывания и всецело взять трафик под контроль.
Включение и отключение брандмауэра в разных ОС
Как правило, брандмауэр включен в системах автоматически. Если вам необходимо его временно отключить, то сделать это можно в настройках операционной системы.
Windows 7
Чтобы включить брандмауэр в «семерке», вам необходимо выполнить следующие действия:
Если вам нужно посмотреть или изменить действующие правила, то необходимо перейти из окна брандмауэра в «Дополнительные параметры». Там вы можете увидеть все ограничения на исходящий и входящий трафик, а также создавать собственные правила.
При первом запуске некоторых приложений, для которых в брандмауэре нет правил, вы получите всплывающее окно. В нем можно разрешить доступ программе в общественных или частных сетях.
Windows 10
Включение и отключение брандмауэра в «десятке» выполняется аналогичным способом — через панель управлении и соответствующий подпункт. Визуально интерфейс соответствует окнам из Windows 7.
В Windows 10 также появилась возможность более тонкой настройки работы брандмауэра. В «Защитнике Windows» вы можете настроить отдельно утилиту не только для частных и общественных сетей, но и для домена.
Если через стандартные настройки брандмауэр не отключается или не запускается, то стоит проверить работу службы. Открыть окно всех служб вы можете через команду «services.msc», которую следует набрать в строке поиска. В свойствах службы брандмауэра вы можете запустить или остановить ее.
MacOS
Несмотря на то, что MacOS является закрытой операционной системой, она также подвергается многочисленным угрозам со стороны злоумышленников. Компания AV-TEST провела исследование и выяснила, что в 2020 году для системы было создано более 670 тысяч разнообразных вирусов и червей. Как показывает график, число опасностей по сравнению с предыдущими годами растет многократно. Однако этот показатель не сравнится с числом вредоносного ПО для Windows — 91 миллион.
Использование брандмауэра в MacOS становится как никогда актуальным. Включить его на устройствах под управлением OS X V10.6 или новее вы можете следующим образом:
Во вкладке конфиденциальность выставляются запреты на отслеживание геолокации для конкретных программ.
Включение и отключение брандмауэра на Linux
Семейство систем Linux достаточно большое, поэтому мы расскажем о распространенном решении UFW (Uncomplicated Firewall). Это популярный инструмент командной строки для настройки и управления брандмауэром в дистрибутивах Ubuntu и Debian. Для работы вам необходимо писать все команды с правами суперпользователя (sudo).
Установка выполняется через команду sudo apt install ufw. Далее выполните действия:
По умолчанию брандмауэр отклоняет все входящие соединения и разрешает только исходящие подключения, поэтому первые придется разрешать вручную. Вы можете разрешить все входящие пакеты, но безопаснее всего сделать разрешения для каждой отдельной службы, используя команды: ufw allow имя_службы, ufw allow порт и ufw allow порт/протокол.
Альтернативы встроенному брандмауэру
Несмотря на высокую эффективность встроенного в Windows брандмауэра, многие компании предлагают свои альтернативы, начиная от домашнего софта и заканчивая корпоративными решениями.
Бесплатный брандмауэр от компании Comodo имеет интуитивно-понятный интерфейс и достаточный функционал для защиты домашних и корпоративных компьютеров. Comodo Firewall обеспечивает защиту от интернет-атак, переполнения буфера, несанкционированного доступа и не только. В программе имеется блокировщик рекламы и настраиваемые DNS-серверы.
TinyWall. Бесплатный домашний брандмауэр, который чаще всего используется для расширения возможностей стандартного защитника Windows. Софт имеет простой интерфейс, практически не нагружает систему, а также позволяет быстро добавлять различные исключения, включая списки портов и доменов. Если настройка в стандартном брандмауэре вам кажется слишком сложной, то стоит установить TinyWall. Софт переведен на русский.
PrivateFirewall. Бесплатный брандмауэр для Windows только на английском языке. Утилита позволяет выставить один из нескольких уровней безопасности, сканировать порты, защитить систему от вирусов, троянов, червей и других вредоносных программ. Несмотря на отсутствие русского языка, разобраться с программой не составит большого труда.
Обратите внимание, что большая часть брандмауэров после установки имеют минимальные правила блокировки, поэтому для лучшей защиты необходимо включить режим обучения или вручную выставить правила. Все представленные варианты отлично подходят для домашних ПК.
Брандмауэр в качестве межсетевого экрана также присутствует в крупных антивирусах, таких как Avira Internet Security, BitDefender Internet Security, Norton Security, Kaspersky Internet Security и других. Однако эти решения платные и часто имеют ограничение на количество устройств, поэтому они актуальны только для корпоративного сектора.