Брандмауэр подключения к Интернету (Internet Connection Firewall)
С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.
Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.
Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).
Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP- или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.
Рис. 12.33. Активизация встроенного брандмауэра
Таблица 12.6. Сетевые службы, работающие через встроенный брандмауэр
Название службы |
Описание параметра |
FTP Server |
Используется для разрешения доступа внешних пользователей к корпоративному FTP-серверу, (протокол FTP позволяет в среде TCP/IP осуществлять обмен файлами) |
Incoming Connection VPN (L2TP) |
Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования L2TP |
Incoming Connection VPN (PPTP) |
Используется для разрешения входящих подключений, защищенных посредством протокола туннелирования РРТР |
Internet Mail Access Protocol Version 3 ' (IMAP3) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP3 (протокол IMAP3 используется для манипулирования почтовыми сообщениями на стороне сервера) |
Internet Mail Access Protocol Version 4 (IMAP4) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола IMAP4 (протокол IMAP4 используется для манипулирования почтовыми сообщениями на стороне сервера) |
Internet Mail Server (SMTP) |
Разрешает доступ к корпоративному почтовому серверу посредством протокола SMTP (протокол SMTP используется как транспортный механизм для обмена сообщениями) |
IP Security (IKE) |
Разрешает защищенный сетевой трафик, шифрованный посредством протокола IP Security |
Post-Office Protocol Version 3 (POPS) |
Разрешает внешним пользователям доступ к корпоративному почтовому серверу посредством протокола РОРЗ (протокол РОРЗ используется для манипулирования почтовыми сообщениями) |
Remote Desktop |
Разрешает внешним пользователям доступ к службе Remote Desktop, которая используется для удаленного управления системой |
Secure Web Server (HTTPS) |
Разрешает доступ к корпоративному веб-серверу по протоколу HTTPS, который обеспечивает защищенный доступ к данным |
Telnet Server |
Разрешает внешним пользователям доступ к службе Telnet, которая используется для удаленного управления системой |
Web Server (HTTP) |
Разрешает доступ к корпоративному веб-серверу по протоколу HTTP |
Рис. 12.34. Разрешение служб, доступных через встроенный брандмауэр
Выбрав некоторую службу и нажав кнопку Edit (Изменить), администратор может выполнить настройку параметров службы. В открывшемся окне (рис. 12.35) администратор может указать адрес компьютера, на котором данная служба развернута, а также номера портов TCP/IP, используемых этой службой.
Рис. 12.35. Определение параметров сетевой службы
Внимание
Не рекомендуется активизировать брандмауэр на локальных и VPN-подключениях, поскольку подобный шаг может привести к нарушению процесса доступа к общим ресурсам.
Вкладка Security Logging (Ведение журнала безопасности) используется для задания параметров ведения журналов, в которых будут регистрироваться события, связанные с процессом доступа внешних пользователей к службам локальной сети.
Особого внимания заслуживает трафик, передающийся по протоколу Internet Control Message Protocol (ICMP). Напомним, что ICMP-пакеты используются для передачи управляющей информации в сети TCP/IP. В частности, именно через протокол ICMP работает такая диагностическая утилита, как ping. По умолчанию весь ICMP-трафик блокируется встроенным брандмауэром. Это означает, что, например, ping-запросы к вашему компьютеру будут безрезультатными. Иногда блокировка ICMP может привести к разрыву связи с интернет-провайдером. При необходимости на вкладке ICMP (рис. 12.36) можно разрешить некоторые виды ICMP-сообщений. Необходимую информацию об используемых запросах следует получить у провайдера. В крайнем случае можно разрешить все запросы и посмотреть, повлияло ли это на устойчивость связи.
Рис. 12.36. Управление ICMP-трафиком через брандмауэр