Аппаратные и программные средства защиты информации при передаче по каналам связи

Брандмауэр УтбоУ8 с дополнительной безопасностью объединяет брандмауэр компьютера и 1Р8ес. В отличие от брандмауэра сетевого периметра, брандмауэр Windows с улучшенной безопасностью выполняется на каждом компьютере под управлением данной версии Vindows и обеспечивает локальную защиту от сетевых атак, которые могут проникнуть через периферическую сеть или возникнуть внутри организации. Он обеспечивает и безопасность межкомпьютерного подключения, и обязательность проверки подлинности и защиты данных при взаимодействии.

Брандмауэр ?тбо?8 с дополнительной безопасностью - это полноценный брандмауэр, проверяющий и фильтрующий трафик пакетов протокола 1Р версий 4 (1Ру4) и 6 (1Ру6). По умолчанию входящий трафик блокируется, если он не является ответом на запрос основного компьютера (запрошенный трафик) или не разрешен специально (т.е. создано правило брандмауэра, разрешающее трафик). Трафик можно разрешить явно, указав номер порта, имя приложения, имя службы или другие критерии при настройке параметров брандмауэра ?тс1оУ8 с дополнительной безопасностью.

Брандмауэр Тпс1ош8 с дополнительной безопасностью позволяет также запрашивать или требовать, чтобы компьютеры перед взаимодействием проверяли подлинность друг друга, а во время взаимодействия использовали проверку целостности или шифрование данных.

Как работает брандмауэр Vindows с дополнительной безопасностью?

Брандмауэр Vindows с дополнительной безопасностью использует два набора правил настройки способа реагирования на входящий и исходящий трафик. Правила брандмауэра определяют, какой трафик разрешен или блокируется. Правила безопасности подключения определяют, как обеспечивается безопасность трафика между данным и другим компьютерами. Эти правила вместе с другими параметрами могут быть применены с помощью профиля брандмауэра, применяемому по-разному в зависимости от места подключения компьютера. Возможно наблюдение за действиями и правилами брандмауэра.

Правила брандмауэра.

Правила брандмауэра можно настроить, чтобы определить, будет ли трафик разрешен или блокирован брандмауэром Vindows с дополнительной безопасностью. Брандмауэр Windows с дополнительной безопасностью проверяет все входящие пакеты и определяет, соответствуют ли они условиям, указанным в правиле брандмауэра. Если пакет соответствует условиям правила, брандмауэр Windows с дополнительной безопасностью выполняет действие, указанное в правиле, либо разрешая, либо блокируя подключение. Пакет, не соответствующий условиям правила, брандмауэр Windows с дополнительной безопасностью отвергает и создает запись в журнале брандмауэра (если запись в журнал включена). При настройке правила можно выбирать из множества критериев. Это могут быть имена приложений, имена системных служб, ТСР-порты, UDP- порты, локальные и удаленные IP-адреса, профиль, тип интерфейса (например, сетевой адаптер), пользователи и их группы, компьютеры и их группы, протоколы, типы ICMP и т.д. Условия правил суммируются; чем больше условий задано, тем подробнее брандмауэр Windows с дополнительной безопасностью проверяет входящий трафик.

Правила безопасности подключения.

Для настройки параметров IPsec на особые соединения между данным и другими компьютерами можно использовать правила безопасности подключений. Брандмауэр Windows с улучшенной безопасностью использует правило для оценки сетевого трафика и на основании установленных в правиле требований блокирует или разрешает сообщения. При некоторых обстоятельствах брандмауэр Windows с дополнительной безопасностью будет блокировать взаимодействие. Если параметр настроен на обязательное обеспечение безопасности подключения (в любом направлении), а оба компьютера не смогли проверить подлинность друг друга, подключение будет блокировано.

Профили брандмауэра.

Правила брандмауэра и правила безопасности подключения, как и другие параметры, могут быть применены к одному или нескольким профилям брандмауэра. Эти профили затем применяются к компьютеру, в зависимости от места подключения компьютера. Профиль можно настроить на подключение компьютера к домену, частной, например домашней, сети или общедоступной сети, например интернет-киоску.

Наблюдение.

Узел наблюдения отображает сведения о локальном или удаленном компьютере, к которому установлено подключение. Данный узел отсутствует при подключении к объекту групповой политики в редакторе объектов групповой политики.

Средства настройки брандмауэра и IPsec.

Для настройки параметров и возможностей брандмауэра Windows и IPsec есть несколько способов, включая следующие.

Оснастка консоли управления «Брандмауэр Windows с дополнительной безопасностью» позволяет в одном интерфейсе настроить параметры и брандмауэра, и безопасности (IPsec). Кроме того, в узле наблюдения можно посмотреть текущую политику, правила и другие сведения.

Панель управления брандмауэра Windows.

Также для настройки ограниченного набора параметров, доступных в оснастке консоли управления «Брандмауэр Windows с улучшенной безопасностью», можно воспользоваться компонентом брандмауэра Windows на панели управления, доступным для локального компьютера. Дополнительные сведения см. в справке панели управления брандмауэра Windows.

Оснастка консоли управления «Политика IP-безопасности».

Оснастку консоли управления Майкрософт можно использовать при настройке политик IPsec, применимых для компьютеров под управлением более ранних версий Windows, а также данной версии Windows. Оснастка консоли управления Майкрософт полезна для сред, в которых есть компьютеры этих версий Windows. Этой оснасткой нельзя воспользоваться для настройки параметров брандмауэра Windows с дополнительной безопасностью. Дополнительные сведения см. в справке оснастки «Политика 1Р-безопасности».

Оснастка консоли управления «Монитор IP-безопасности».

Оснастку консоли управления можно использовать для наблюдения за сопоставлениями безопасности IPsec для более ранних версий Windows и на компьютерах под управлением данной версии Windows. Оснастка содержит узел статистики, отображающий различные статистические данные о совместной активности политик, созданных с помощью как оснастки «Политика IP- безопасности», так и оснастки «Брандмауэр Windows с дополнительной безопасностью».

Команды Netsh.

Netsh является средством командной строки, используемым для настройки параметров сетевых компонентов. Брандмауэр Windows с дополнительной безопасностью предоставляет контекст netsh advfirewall, которым можно воспользоваться для настройки параметров брандмауэра Windows с дополнительной безопасностью. Используя команды netsh advfirewall, можно создавать сценарии автоматической настройки набора параметров брандмауэра Windows с дополнительной безопасностью для трафика как IPv4, так и для IPv6. Команды netsh advfirewall используются также для отображения конфигурации и состояния брандмауэра Windows с дополнительной безопасностью. Дополнительные сведения см. в справке Netsh advfirewall.

Правила безопасности подключения могут быть настроены также с помощью команд netsh ipsec, а более ограниченный набор параметров брандмауэра доступен с помощью команд netsh firewall.

Параметры групповой политики.

Брандмауэр Windows с дополнительной безопасностью обеспечивает параметры групповой политики, позволяющие централизованно настраивать и управлять большим количеством компьютеров организации со службой доменов Active Directory®. С помощью этих параметров групповой политики можно настраивать правила брандмауэра Windows с дополнительной безопасностью и другие параметры. Оснастка находится в разделе «Конфигурация компьюте- ра/Параметры Windows/Параметры безопасности/Брандмауэр Windows с дополнительной безопасностью». Для применения параметров, доступных в более ранних версиях Windows, можно также воспользоваться административным шаблоном брандмауэра Windows.

Для настройки и распространения IPsec-политик, созданных в оснастке политики безопасности IP, можно воспользоваться групповой политикой.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >