4.15. Советы по конфигурированию Firewall
4.15. Советы по конфигурированию Firewall
Конфигурирование сетевого экрана достаточно индивидуально и зависит от конкретных задач, решаемых сервером. Но все же дам некоторые рекомендации, которым надо следовать во время настройки:
? изначально необходимо все запретить. К хорошему быстро привыкаешь, и если открыть что-то лишнее, то потом отучить пользователей будет трудно, и процесс закрытия сервиса будет проходить с большими сложностями;
? если есть возможность, необходимо запретить все типы ICMP-сообщений, особенно ping. Мы еще не раз будем говорить об опасности сканирования сети с помощью ICMP-пакетов;
? запретить доступ к 111 порту. На нем работает portmapper, который необходим для удаленного вызова процедур (RPC, Remote Procedure Call) на сервере и получения результата. С помощью утилиты rpcinfo хакер может узнать, какие RPC-сервисы работают на вашем сервере. Например, выполните следующую команду:
rpcinfo -р localhost
Результатом будет примерно следующее:
Program vers proto port
Программ вер проток порт
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 32768 status
100024 1 tcp 32768 status
391002 2 tcp 32769 sgi_fam
Как видите, одна команда может выдать достаточно много информации, поэтому 111 порт необходимо закрыть;
? для облегчения управления доступом к портам разделите открытые ресурсы на две категории:
• для всеобщего просмотра, в том числе и пользователями Интернета;
• только для использования внутри сети. Например, такие сервисы, как ftp и telnet, несут в себе опасность, потому что позволяют закачивать файлы на сервер и выполнять на нем команды. Если пользователям Интернета нет необходимости в этих службах, то следует их явно запретить для внешних подключений.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
4.10.3. Firewall — не панацея
4.10.3. Firewall — не панацея Установив Firewall, вы не получаете максимальной защиты, потому что существует множество вариантов обхода не только конкретных реализаций, а любого сетевого экрана.Firewall — это всего лишь замок на двери парадного входа. Злоумышленник никогда не
4.10.4. Firewall как панацея
4.10.4. Firewall как панацея Может сложиться впечатление, что Firewall — это пустое развлечение и трата денег. Это не так. Если он хорошо настроен, постоянно контролируется, а в системе используются защищенные пароли, то сетевой экран может предотвратить большинство проблем.Хороший
4.10.5. Конфигурирование Firewall
4.10.5. Конфигурирование Firewall Самый простой способ настроить сетевой экран — использовать графическую утилиту. Для этого загрузитесь в графическую оболочку и выберите из главного меню KDE строку SystemFirewall Configuration. Перед вами откроется окно из двух вкладок: Rules и Options.Первым
Глава 29 Firewall
Глава 29 Firewall Эта глава посвящена одному из аспектов сетевой безопасности, а конкретно – защите сети от вторжения извне и изнутри. Для защиты локальной сети используется комплекс программного обеспечения, в литературе известный как firewall (брандмауэр), или межсетевой
7.1. Пример rc.firewall
7.1. Пример rc.firewall Итак, все готово для разбора файла примера rc.firewall.txt (сценарий включен в состав данного документа в приложении Примеры сценариев). Он достаточно велик, но только из-за большого количества комментариев. Сейчас я предлагаю вам просмотреть этот файл, чтобы
8.2. rc.firewall.txt
8.2. rc.firewall.txt Сценарий rc.firewall.txt – основное ядро, на котором основывается остальные сценарии. Глава Файл rc.firewall достаточно подробно описывает сценарий. Сценарий написан для домашней сети, где вы имеете одну ЛОКАЛЬНУЮ СЕТЬ и одно подключение к Internet. Этот сценарий также
8.3. rc.DMZ.firewall.txt
8.3. rc.DMZ.firewall.txt Сценарий rc.DMZ.firewall.txt был написан для тех, кто имеет доверительную локальную сеть, одну «Демилитаризированную Зону» и одно подключение к Internet. Для доступа к серверам Демилитаризированной Зоны, в данном случае, извне, используется NAT «один к одному», то есть,
8.4. rc.DHCP.firewall.txt
8.4. rc.DHCP.firewall.txt Сценарий The rc.DHCP.firewall.txt очень похож на оригинал rc.firewall.txt. Однако, этот сценарий больше не использует переменную STATIC_IP, это и является основным отличием от оригинала rc.firewall.txt. Причина в том, что rc.firewall.txt не будет работать в случае динамического IP адреса.
Firewall.cpl
Firewall.cpl Апплет служит для настройки встроенного брандмауэра Windows (работает ли брандмауэр, за работой в сети каких программ он не следит). Окно этого апплета можно вызвать с помощью команды rundll32 firewall.cpl, ShowControlPanel.Кроме вызова окна настройки брандмауэра Windows, файл firewall.cpl
Outpost Firewall Pro
Outpost Firewall Pro Основные характеристики:• официальный сайт программы – http://www.agnitum.ru/;• размер дистрибутива – около 23 Мбайт;• условия использования – условно бесплатно, стоимость технической поддержки и обновлений на одном компьютере на один год – 699 российских рублей;•
McAfee Firewall
McAfee Firewall Основные характеристики:• официальный сайт программы – http://www.mcafee.сom/;• размер дистрибутива – около 15 Мбайт;• условия использования – условно бесплатно;• язык интерфейса – многоязычный, есть русский.Компания McAfee больше известна своим антивирусным пакетом, но
AGAVA Firewall
AGAVA Firewall Производитель: AGAVA Software (http://www.agfirewall.ru/).Статус: бесплатная.Страница для скачивания: http://www.agfirewall.ru/download.shtml.Размер: 5,2 Мбайт.AGAVA Firewall не только следит за трафиком, но и выполняет некоторые дополнительные функции. Для удобства слежения за сетевой активностью программа
Outpost Firewall
Outpost Firewall Производитель: Agnitum (http://www.agnitum.ru/).Статус: коммерческая.Страница для скачивания: http://www.agnitum.ru/products/outpost/download.php.Размер дистрибутива: 15 Мбайт.Outpost Firewall является одним из лучших брандмауэров. Он достаточно надежно защищает компьютер от атак и проникновения