ВБУДОВАНИЙ МІЖМЕРЕЖЕВИЙ ЕКРАН (FIREWALL) WINDOWS SERVER 2008

Мета роботи.

Набуття практичних навичок настройки брандмауера.

Програмні засоби.

Комп'ютерна мережа навчального класу та віртуальні машини з ОС Windows Server.

Теоретичні зведенні.

Персональний міжмережевий екран з'явився в операційних системах сімейства Windows, починаючи з Windows ХР / Windows Server 2003. У Windows Server 2008 можливості цього компонента істотно розширені, що дозволяє більш гнучко проводити налаштування.

Опис роботи.

Поточні параметри можна подивитися, запустивши з Панелі управління (Control Panel) Windows Firewall і вибравши у вікні посилання Change Settings.

Що з'явилося вікно управління параметрами брандмауера містить 3 вкладки (рис. 5.10, а , б, в). Перша з них дозволяє включити або відключити міжмережевий екран. У включеному стані він може вирішувати певні вхідні підключення або забороняти всі вхідні підключення (прапорець Block all incoming connections).

Винятки із загального «блокуючого» правила визначаються на вкладці Exceptions. Там є ряд зумовлених правил, також користувач може додавати свої. Якщо потрібно, щоб якийсь додаток при включеному межсетевом екрані обслуговувало вхідні підключення, для нього має бути описано правило. Зробити це можна або вказавши програму (кнопка Add program), або описавши дозволяються порт і протокол (кнопка Add Port). Приклад формування подібного правила представлений на рис. 5.10, р Там дається дозвіл для підключення на ТСР-порт 8080. Якщо треба обмежити перелік ip-адрес, з яких виробляється підключення, це можна зробити, натиснувши кнопку Change Scope (за замовчуванням, дозволені підключення з будь-якої адреси).

Вікно управління параметрами брандмауера

Мал. 5.10. Вікно управління параметрами брандмауера

Установка прапорця «Notify me when Windows Firewall blocks a new program» призводить до того, що при спробі нового додатка приймати вхідні підключення, користувачеві буде видане повідомлення. Якщо користувач дозволить такій програмі працювати, для неї буде сформовано дозволяє правило.

Вкладка Advanced (рис. 5.10, в) дозволяє включити або відключити міжмережевий екран для окремих мережевих інтерфейсів.

Завдання 1.

  • 1. Відкрийте вікно управління фаєрволом.
  • 2. Опишіть діючі налаштування.
  • 3. Створіть нове дозволяє правило.
Вікно оснащення Windows Firewall with Advanced Security

Мал. 5.11. Вікно оснащення Windows Firewall with Advanced Security

Поки що робота з фаєрволом практично не відрізнялася від того, що було в Windows Server 2003. Нові можливості ми побачимо, якщо з меню Administrative Tools запустити оснастку Windows Firewall with Advanced Security (рис. 5.11). У вікні оснащення можна побачити настройки для різних профілів і виконати більш тонке налаштування правил фільтрації.

Правила фільтрації розділені на дві групи - входять правила та вихідні правила. У наведеному на рис. 5.11 прикладі настройки виконуються на контролері домену. І для контролерів визначено правило, яке дозволяє відправку ICMP-пакетів echo request (вони, зокрема, відправляються, якщо треба перевірити доступність віддаленого вузла за допомогою команди ping).

Завдання 2.

1. Знайдіть правило, яке дозволяє відсилання ICMP-пакетів echo request. Перевірте його роботу для якого-небудь вузла з локальної або зовнішньої мережі, використовуючи його ip-адрсс (наприклад, командою ping 192.168.1.10 можна перевірити доступність комп'ютера з указное адресою). Якщо відповідь прийшла, можна переходити до другої частини завдання. Якщо відповіді немає, спробуйте знайти такий вузол, який надішле відповідь.

Головне вікно оснащення Windows Firewall with Advanced Security

Мал. 5.12. Головне вікно оснащення Windows Firewall with Advanced Security

2. Вибравши кнопку New Rule, створіть правило, яке забороняє відправку ICMP-пакетів на даний вузол. Перевірте його роботу.

Тепер розглянемо настройку, пов'язану з веденням журналів брандмауера. За замовчуванням журнал відключено. Але якщо виникає підозра, що міжмережевий екран заважає встановленню якогось типу мережевих з'єднань, можна включити цю опцію і проаналізувати журнал.

На рис. 5.12 представлено головне вікно оснащення. Виберемо пункт Firewall Properties і активуємо ведення журналу відкинутих пакетів (рис. 5.13). Для цього в групі Logging у вікні рис. 5.13, а треба натиснути кнопку Customize і налаштувати, представлену на рис. 5.13, б.

Налаштування параметрів журналу подій Завдання 3

Мал. 5.13. Налаштування параметрів журналу подій Завдання 3.

  • 1. Активуйте ведення журналу.
  • 2. Виконайте команду ping для перевірки доступності вузла, для якого створювалося блокуючу правило.
  • 3. Перевірте вміст файлу журналу (шлях до нього описаний у вікні, аналогічному представленому на рис. 5.13, б). Знайдіть записи, відповідні скинутим {англ. drop) ICMP-пакетів.
 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >