На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Повышение безопасности с помощью второго ряда брандмауэров

К данному моменту ваша домашняя сеть должна быть настроена И работать, и все ваши сетевые компьютеры должны иметь доступ к общему подключению к вашему высокоскоростному соединению с Интернетом. Кроме того, свойства пер­сонального брандмауэра, встроенные в ваш маршрутизатор, защищают всю сеть. В этом разделе описывается, как вы можете дополнительно повысить вашу безо­пасность, установив персональные брандмауэры на каждый сетевой компьютер.
Кабельно-цифровые маршрутизаторы имеют многие из свойств аппаратного брандмауэра, такие, как способность прятать порты и блокировать Внутренние компьютеры от получения доступа к Интернету. Однако, как показано в таблице 11.1, существует ряд свойств, имеющихся у программных брандмауэров, кото­рых нет в этих аппаратных устройствах.
Таблица 11.1. Дополня юшие друг друга свойства аппаратных и программных
брандмауэров


Аппаратный брандмауэр

Программный брандмауэр

Установление портов в невидимый режим

Установление Портов в невидимый режим (все)

' Поддержка подробной регистрации

Поддержка подробной регистрации (все)

Блокировка незатребованного входящего трафика

Блокировканезатребованноговходящего трафика (все)

Блокировка внутренних IP-адресов

Внешние IP-адреса (ZoneAlarm и BlacklCE)

Блокировка внутренних МАС-адресов

Блокировка портов TCP и UDP

Блокировка портов TCP и UDP (все)

Фильтры протоколов

Фильтры протоколов (ZoneAlarm и McAfee)

-

Фильтры приложений (ZoneAlarm и McAfee)

-

Анализ пакетов на предмет угроз (BlacklCE)

-

Обнаружение программ "Троянский конь" (ZoneAIarm и McAfee}

-

Предупреждениео произошедшем событии (все)

Как вы можете видеть, хотя некоторые свойства аппаратно и программно реализованные брандмауэры предоставляют дополняющие друг друга наборы услуг. Например, аппаратные брандмауэры могут блокировать IP-адреса Интернета, в то время как программные брандмауэры часто позволяют вам блокировать внешние IP-адреса. Аппаратные брандмауэры позволяют вам блокировать указанные порты TCP и UDP, в то время как программные бранд­мауэры часто позволяют вам блокировать приложения указанные протоколы.
Как показано в таблице у различных брандмауэров имеются различные свойства. Программные брандмауэры, такие, как McAfee Firewall и ZoneAlarm, фильтруют, основываясь на приложениях и протоколах, в то время как бранд­


мауэр BlacklCE Defender анализирует пакеты данных на предмет определенных угроз. Кроме того, существует несколько других коренных различий в трех про­граммных брандмауэрах, представленных в этой книге:
• Брандмауэр McAfee - этот брандмауэр позволяет вам конфигурировать от­дельные настройки для коммутируемого и сетевого соединений, но не позво­ляет вам устанавливать отдельные настройки безопасности для домашней се­ти и соединения с Интернетом. Кроме того, этот брандмауэр не поддерживает общее подключение к Интернету Microsoft (Microsoft Internet Connection sharing), которое описывается в следующем разделе.
• Брандмауэр BlacklCE Defender - этот брандмауэр не различает соединение с Интернетом и соединение с домашней сетью, он не позволяет вам указы­вать различные настройки безопасности для вашего соединения с Интерне­том и домашней сетью.
• Брандмауэр ZoneAlarm - этот брандмауэр позволяет вам устанавливать раз­личные настройки безопасности для соединения с Интернетом и с домашней
сетью, что делает его подходящим вариантом для компьютеров в вашей до­машней сети.
Брандмауэры McAfee и BlacklCE Defender не позволяют вам устанавливать
различные настройки безопасности для соединения с Интернетом и с домашней
сетью. Брандмауэр ZoneAlarm, с другой стороны, предоставляет такую возмож­ность, что продемонстрировано на рисунке
Рисуиок 11.15. Брандмауэр ZoneAIarm дает вам возможность установить различные
настройки безопасности для вашей домашней сети и соединения с Интернетом
Это свойство в сочетании с тем, что брандмауэр ZoneAlarm бесплатен для личного пользования, делает его великолепным вариантом для использования в вашей домашней сети. Как вы узнали в главе 8 "ZoneAlarm", вы можете вы­

брать одну из трех настроек безопасности для вашего соединения с Интернетом, и другую - для домашней сети. На 16 изображено, как вы можете использовать брандмауэр ZoneAlarm в домашней сети. Эта конструкция дает вам двойную защиту от Интернета, в то же время позволяя вашей домашней се­ти работать, не подвергаясь воздействию, по своим собственным настройкам безопасности.
Кабельно-цифро­вой модем
Аппаратный брандмауэр
ZoneAlarm
ZoneAlarm
ZoneAlarm
Использование брандмауэра ZoneAlarm для дополнительной зашиты ваших соединений с Интернетом и домашней сетью
Обшее подключение к Интернету Microsoft
Компания "Microsoft" предоставляет альтернативный способ, позволяющий компьютерам домашней сети совместно использовать высокоскоростное соеди­нение с Интернетом. В этом случае требуется стандартный сетевой концентра­тор. Если вы когда-либо видели, как Общее подключение к Интернету Microsoft (Microsoft Internet Connection Sharing (ICS)) применяется для совместного поль­зования коммутируемым соединением с Интернетом, вы знаете, что оно позво­ляет вам конфигурировать коммутируемое соединение. Таким образом компью­тер может делить его с другими домашними компьютерами с помощью сетевой карты компьютера, как показано на рисунке
Общее подключение к Интернету Microsoft поддерживается в Windows 98 Second Edition, Windows Me и Windows 2000. Оно устанавливается и конфигу­рируется по-разному в каждой операционной системе. Вы можете обратиться в систему справочной информации Windows для получения инструкций по уста­новке общего подключения к Интернету Microsoft для каждой операционной системы. В вам, прежде всего, нужно установить общее подключение
к Интернету с помощью утилиты Установка и удаление программ. Затем вы мо­жете совместно использовать соединение. После того как оно сконфигурирова­но, общее подключение к Интернету Microsoft превращает компьютер в DHCP-сервер, который также предоставляет услуги NAT. Остальные сетевые компью­теры могут затем быть сконфигурированы на использование этого соединения с помощью мастера подключения к Интернету,
Сетевой концентратор
* Интернет
Модем 56 Кб/с
Ё Ш ф
Сервер ICS Клиент ICS Клиент ICS
DHCP NAT
Применение встроенного компонента Windows Обшее подключение к Интернету для совместного пользования коммутируемым соединением
v В настоящее время в домашней сети может быть только один активный W сервер DHCP. Если вы решили использовать общее подключение к Интер­нету Microsoft, чтобы совместно использовать ваше подключение к Ин­тернету, вам нужно использовать стандартный сетевой концентратор или отключить службу DHCP на вашем кабельно-цисрровом маршрутизаторе.
Существует ряд приложений, таких какУМп&зте (www.wingate.com), которые "также позволяют вам совместно с вашей домашней сетью использовать
соединение с Интернетом.
Общее подключение к Интернету Microsoft более сложно конфигурировать
при использовании его для совместного использования широкополосного со­единения. Как показано 18, вам нужно установить две сетевые платы на компьютер, на котором установлено общее подключение к Интернету Microsoft. Обе сетевые платы должны соединяться с сетевым концентратором. Одна плата должна быть установлена для управления соединением с Интерне-а вторая сетевая плата предоставляет возможность сетевого со­единения. Вы можете затем сконфигурировать ваш компьютер на совместное использование общего подключения к Интернету Microsoft.    .-, .
Кабельно-цифро­вой модем
Сетевой концентратор
Сервер ICS
DHCP NAT
Клиент!^
Клиент ICS
Применение встроенного компонента Windows Обшее подключение к Интернету для совместного пользования коммутируемым соединением через широкополосное соединение требует установки двух сетевых плат
Установка соединения с двумя сетевыми платами и запуск общего подключе­ния к Интернету Microsoft предоставляет общий доступ к Интернету с защитой персонального брандмауэра. Вы должны установить, как минимум, программный персональный брандмауэр на компьютер, предоставляющий общее соединение с Интернетом. Чтобы получить еще большую защиту, вы должны подумать об установке персонального брандмауэра на каждый компьютер в сети.
Брандмауэр McAfee не поддерживает общее подключение к Интернету Microsoft.
Зашита домашних сетей с помошью NetBEUI
На 19 показан другой вариант конфигурирования домашней сети. этом примере TCP/IP разрешается только на компьютере, требующем доступа в Интернет, что делает домашнюю сеть более защищенной. Протокол NetBEUI с другой стороны устанавливается на каждый сетевой компьютер. Поскольку про­токол NetBEUI немаршрутизируемый, хакеры не могут проникать в любой компь­ютер сети, за исключением того, на котором установлен TCP/IP. Компьютер с со­единением с Интернетом может затем быть защищен с помощью установки

персонального брандмауэра. Дополнительная защита может быть применена с по­мощью замены сетевого концентратора кабельно-ЦифрОВЫМ маршрутизатором.
Кабельно-цифро- Сетевой вой модем концентратор
NetBEUI NetBEUI TCP/IP
Любой персональный брандмауэр
NetBEUI
Использование протокола NetBEUI для отделения вашей сети отсоединения с Интернетом

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика