- •Практичне заняття № 4
- •1. Загальні відомості про компоненти домашньої або малої офісної мережі
- •1.1. Майстер налагодження мережі
- •1.2. Майстер створення підключення
- •1.3. Загальний доступ до підключення Інтернету
- •1.4. Брандмауер підключення до Інтернету
- •1.5. Мережний міст
- •1.6. Функція виявлення і контролю ics
- •2. Брандмауер підключення до Інтернету
- •2.1. Загальні відомості про брандмауер підключення до Інтернету
- •2.2. Опис роботи брандмауера підключення до Інтернету
- •2.3. Icf і з'єднання домашньої або невеликої офісної мережі
- •2.4. Icf і повідомлення
- •2.5. Додаткові параметри icf
- •3. Служби
- •4. Журнал безпеки брандмауера підключення до Інтернету
- •Заголовок журналу
- •Тіло журналу
2.4. Icf і повідомлення
Оскільки брандмауер підключення до Інтернету перевіряє всі вхідні з'єднання, його включення може впливати на режим роботи деяких програм, особливо програм електронної пошти. Деякі програми для отримання нових повідомлень періодично опитують свій сервер електронної пошти, а інші програми можуть бути налаштовані на очікування повідомлення від сервера.
Наприклад, Outlook Express автоматично перевіряє наявність нових повідомлень по команді таймера. За наявності нової пошти Outlook Express відправляє користувачеві повідомлення. Брандмауер підключення до Інтернету не впливає на роботу даної програми, оскільки запит на повідомлення про наявність нової пошти не проходить через брандмауер. Брандмауер створює в таблиці запис про вихідне з'єднання. Коли поштовий сервер підтвердить отримання відповіді про наявність нової пошти, брандмауер знайде відповідний запис в таблиці і дозволить проходження даного з'єднання, після чого користувач отримає повідомлення про надходження нової пошти.
Проте додаток Outlook 2000 підключається до сервера Microsoft Exchange, який розсилає клієнтам повідомлення про нову пошту за допомогою віддалених викликів процедур (RPC). Outlook 2000 не виконує пошук нової пошти при підключенні до сервера Exchange. Сервер сповіщає додаток Outlook 2000 про надходження нової пошти. Оскільки повідомлення RPC ініціюється сервером Exchange, що знаходиться по той бік брандмауера, а не програмою Outlook 2000, розташованою з цього боку, ICF не може знайти відповідний запис в таблиці і забороняє проходження повідомлень RPC з Інтернету в домашню мережу. Повідомлення RPC відкидається. Користувачі можуть відправляти і отримувати електронну пошту, але вимушені вручну перевіряти надходження нової пошти.
2.5. Додаткові параметри icf
Засіб ведення журналу безпеки ICF дає можливість записувати відомості про всі події, пов'язані з роботою брандмауера. Брандмауер підключення до Інтернету може реєструвати як той трафік, що пропускається, так і той, що відхиляється. Наприклад, за умовчанням брандмауер не пропускає вхідні echo-запити з Інтернету. Якщо для протоколу ICMP (Internet Control Message Protocol) параметр Разрешить входящий запрос эха не включений, вхідний запит відкидається, а в журнал заноситься запис про невдалу спробу входу (див. Загальні відомості про файл журналу безпеки брандмауера підключення до Інтернету).
Протокол ICMP дає можливість змінювати режим роботи брандмауера за допомогою різних параметрів ICMP, таких як Разрешить входящий запрос эха, Разрешить входящий запрос отметки времени, Разрешить входящий запрос маршрутизатора и Разрешать перенаправление. Короткі описи цих параметрів дані на вкладці ICMP (див. Включення параметрів ICMP).
Максимальний розмір журналу безпеки можна обмежити, щоб уникнути переповнювання, яке може бути викликане атаками типу «відмова в обслуговуванні» (DoS). Журнал створюється у форматі Extended Log File Format (розширений формат файлу журналу), стандарт на який встановлений організацією W3C (World Wide Web Consortium).
3. Служби
Служби запускаються явним чином і призначаються для підтримки інших програм. Прикладом служби є веб-сервер HTTP, що підтримує розміщення і супровід веб-сторінок з домашньої або невеликої офісної мережі. Якщо в мережі запущена служба веб-сервера HTTP, з її допомогою можна створювати власні веб-сторінки в Інтернеті. Окрім веб-сервера, в мережі можна використовувати службу FTP для обміну файлами через Інтернет, поштовий сервер Інтернету для зберігання і розсилки електронної пошти, а також безліч інших служб.
Щоб забезпечити проходження трафіку з Інтернету на комп'ютер, на якому працює служба, необхідно включити службу в список Службы; для цього потрібно ввести дані про операційні параметри служби на вкладці Службы головного комп'ютера загального доступу до Інтернету (Internet Connection Sharing, ICS) або брандмауера підключення до Інтернету (Internet Connection Firewall, ICF). До операційних параметрів відносяться параметри, необхідні для того, щоб брандмауер ICF дозволив проходження трафіку Інтернету в мережу, а засіб ICS – передачу даних через загальне підключення. Набір операційних параметрів називається «Визначенням служби», оскільки вони визначають конфігурацію необхідного середовища. Щоб додати нове визначення служби, необхідно ввести наступні відомості: опис служби, ім'я або IP-адреса комп'ютера, на якому працює служба, і номер порту TCP або UDP для служби.
Для ICS і ICF передбачено декілька стандартних, заздалегідь визначених служб. Прикладами таких служб є «Сервер FTP», «Поштовий сервер Інтернету», «Безпечний веб-сервер», «Сервер Telnet» і «Веб-сервер». Ці служби запускаються на комп'ютерах клієнтів ICS або на головному комп'ютері ICS або ICF. У мережу можна додати нову службу, встановивши необхідне програмне забезпечення на одному з комп'ютерів мережі і потім додавши визначення служби, і тоді засоби ICS і ICF, якщо вони включені, забезпечать доступ до служби з Інтернету. Для заздалегідь створених служб у визначення необхідно включити тільки ім'я або IP-адресу комп'ютера, на якому запущена служба. Решта відомостей для цих служб, такі як опис служби і номер порту TCP або UDP, є вбудованими і не можуть бути змінені (див. Зміна визначення служби).