Фильтрация по номеру порта

Web-серверы взаимодействуют с клиентами по протоколу HTTP, использующему порт 80. Если создать фильтр, задерживающий любой трафик, адресованный в порт 80, ваш компьютер не сможет отправлять HTTP-запросы Web-серверам и обращаться к Web-сайтам. Фильтрация по номеру порта не запретит запустить Web-браузер, а просто не позволит ему взаимодействовать с серверами Интернета.

Фильтры пакетов можно создавать в брандмауэрах и маршрутизаторах, поддерживающих фильтрацию пакетов. Если ваша сеть подключена к ISP через маршрутизатор, которым является компьютер под управлением Windows Server 2003, то фильтры пакетов можно создавать при помощи RRAS.

Ограничение прав пользователей

В большинстве организаций с сетями, подключенными к Интернету, пользователи разделены на категории с разными правами на доступ к Интернету в соответствии с их должностными обязанностями. Вы же можете предоставить всем пользователям право работы с электронной почтой, но ограничить набор Web- и FTP-сайтов, разрешенных для просмотра определенным группам пользователей.

Существует два метода ограничения доступа в Интернет для отдельных пользователей. Первый — использование фильтрации пакетов. Помимо номеров портов, критериями фильтров могут быть IP-адреса. Комбинируя эти фильтры, можно задать разрешенные порты для каждого компьютера сети.

Совет Управление доступом в Интернет с применением фильтрации пакетов занимает у администраторов сети много времени.

Второй метод состоит в использовании программ, распознающих пользователей и предоставляющих доступ к разрешенным им службам Интернета. Эти и другие функции есть у прокси-серверов, таких как Microsoft Internet Security and Acceleration (ISA) Server 2000.Управление доступом к Интернету

Как сказано выше, угроза для безопасности сети может быть как внешней, так и внутренней. Возможно, ваши пользователи, случайно заражающие компьютеры вирусами и удаляющие важные файлы, причиняют меньше вреда, чем пришельцы из Интернета, но все равно они мешают работе сети, занимая канал связи и отвлекаясь на личные дела в Интернете.

В силу этих причин многие администраторы налагают ограничения на доступ в Интернет, определяя наборы разрешенных сайтов, часы, когда доступ разрешен, а также максимальную скорость и объем передаваемых данных — эти функции также поддерживаются прокси-серверами.

Применение nat

NAT — это основной метод обеспечения доступа в Интернет для компьютеров с незарегистрированными IP-адресами. Как сказано в главе 2, NAT является посредником между клиентскими компьютерами с незарегистрированными адресами и Интернетом. В каждом сгенерированном клиентом пакете NAT заменяет незарегистрированный адрес клиента собственным зарегистрированным адресом.

Существует три основных типа NAT:

• статический — преобразует несколько незарегистрированных IP-адресов в эквивалентное число зарегистрированных (см. рис. 3-4), таким образом, каждый клиент использует постоянный зарегистрированный адрес. Этот тип NAT не экономит IP-адреса, поскольку зарегистрированных IP-адресов для него требуется столько же, сколько незарегистрированных. Статический NAT менее защищен по сравнению с другими типами NAT, поскольку при его использовании с каждым компьютером связан постоянный зарегистрированный адрес, а это облегчает злоумышленнику установление прямого контакта с компьютером, использующим этот адрес.

Рис. 3-4. Статический NAT

• динамический — предназначен для использования в ситуациях, когда зарегистрированных IP-адресов меньше, чем компьютеров с незарегистрированными адресами (см. рис. 3-5). Динамический NAT преобразует несколько незарегистрированных IP-адресов в один зарегистрированный, чем сильно затрудняет взломщикам задачу сопоставления зарегистрированного адреса некоторому компьютеру^ поскольку зарегистрированные адреса клиентов часто меняются. Главный недостаток динамического NAT в том, что максимальное число пользователей, одновременно обращающихся к Интернету, ограничено числом доступных зарегистрированных IP-адресов. Если все зарегистрированные IP-адреса будут заняты, новый клиент при попытке подключения к Интернету получит сообщение об ошибке

• м аскирующий NAT — преобразует все незарегистрированные IP-адреса в один зарегистрированный (рис. 3-6). Чтобы обеспечить доступ в Интернет для нескольких пользователей одновременно, NAT назначает им номера портов — так удается различить пакеты, сгенерированные разными компьютерами, а также пакеты, адресованные им. Эта разновидность NAT обеспечивает максимальную безопасность, поскольку связь между незарегистрированным клиентом и комбинацией зарегистрированного IP-адреса и номера порта существует, пока не закрыто соединение.

Рис. 3-6. Маскирующий NAT

Защита посредством NAT

Современные реализации NAT, как правило, используют методику маскирования, поскольку она обеспечивает максимальную безопасность, требуя минимум зарегистрированных IP-адресов. Однако имейте в виду, что сам по себе NAT, даже маскирующий, не является истинным брандмауэром и не может дать стопроцентную гарантию безопасности в ситуациях, сопряженных с высоким риском. NAT эффективно блокирует несанкционированные запросы и другие виды зондирования через Интернет, сводя на нет попытки взломщиков обнаружить незащищенные файловые ресурсы, а также внутренние Web- и FTP-серверы. Однако NAT не защищает от атак, вызывающих отказ обслуживания, направленных на определенные компьютеры частной сети, и других, более сложных способов компрометации сети.

На заметку Обычно компьютеры подвергаются таким угрозам нечасто, поэтому для их защиты достаточно сервера NAT и хорошей антивирусной программы с регулярно обновляемыми базами данных. Однако серверы Интернета и другие компьютеры, интенсивно обменивающиеся данными, часто оказываются под прицелом взломщиков и в общем случае требуют более надежной защиты брандмауэром.