อธิบายวัตถุประสงค์ของไฟร์วอลล์ แนวคิดของไฟร์วอลล์ ไฟร์วอลล์ - เราเตอร์กรอง

อินเทอร์เน็ตก็เหมือนกับชุมชนอื่นๆ ที่ต้องทนทุกข์ทรมานจากคนโง่เขลาที่เพลิดเพลินกับการเขียนลวกๆ บนผนัง การจุดไฟเผาตู้ไปรษณีย์ หรือบีบแตรรถในสนาม หลายๆคนก็พยายามที่จะทำมันด้วย เครือข่ายอินเทอร์เน็ตสิ่งที่มีประโยชน์ ผู้อื่นมีข้อมูลสำคัญหรือละเอียดอ่อนที่ต้องได้รับการปกป้อง โดยปกติแล้ว งานของไฟร์วอลล์คือการกันคนโง่ออกจากเครือข่ายโดยไม่ขัดขวางผู้ใช้จากการทำงานของตน

บริษัทและศูนย์ข้อมูลแบบดั้งเดิมหลายแห่งได้พัฒนากฎและแนวปฏิบัติด้านความปลอดภัยคอมพิวเตอร์ที่ต้องปฏิบัติตาม หากกฎของบริษัทกำหนดวิธีการปกป้องข้อมูล ไฟร์วอลล์จะมีความสำคัญเป็นพิเศษและกลายเป็นส่วนหนึ่งของ ระบบองค์กรความปลอดภัย. บ่อยครั้งเมื่อเชื่อมต่อบริษัทขนาดใหญ่เข้ากับอินเทอร์เน็ต สิ่งที่ยากที่สุดไม่ใช่การพิสูจน์ว่าบริษัทมีผลกำไรหรือมีประโยชน์ แต่ต้องอธิบายให้ฝ่ายบริหารทราบว่ามีความปลอดภัยอย่างสมบูรณ์ ไฟร์วอลล์ไม่เพียงแต่ให้การป้องกันที่แท้จริงเท่านั้น แต่ยังมีบทบาทสำคัญในการเป็นเจ้าหน้าที่รักษาความปลอดภัยสำหรับฝ่ายบริหารอีกด้วย

สุดท้าย ไฟร์วอลล์สามารถทำหน้าที่เป็น "ผู้ส่งสาร" ("ใบหน้า") ขององค์กรบนอินเทอร์เน็ตได้ บริษัทหลายแห่งใช้ระบบไฟร์วอลล์เพื่อให้ข้อมูลเกี่ยวกับผลิตภัณฑ์และบริการของบริษัทแก่สาธารณชน เป็นที่เก็บข้อมูลสำหรับการดาวน์โหลด เป็นแหล่งที่มาของโปรแกรมเวอร์ชันแพตช์ และอื่นๆ ระบบเหล่านี้บางส่วนได้กลายเป็นส่วนสำคัญของบริการอินเทอร์เน็ต (เช่น UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) ซึ่งมีผลกระทบเชิงบวกต่อภาพลักษณ์ของผู้จัดงาน

ไฟร์วอลล์บางตัวอนุญาตเฉพาะข้อความเท่านั้น อีเมลจึงเป็นการปกป้องเครือข่ายจากการโจมตีใดๆ นอกเหนือจากการโจมตีบริการเมล ไฟร์วอลล์อื่นๆ ให้การป้องกันที่เข้มงวดน้อยกว่าและบล็อกบริการที่ชัดเจนว่ามีความเสี่ยงด้านความปลอดภัยเท่านั้น

โดยทั่วไปไฟร์วอลล์จะได้รับการกำหนดค่าเพื่อป้องกันการบันทึกออนไลน์โดยไม่ได้รับอนุญาตจากโลก "ภายนอก" ยิ่งกว่าสิ่งอื่นใด จะช่วยป้องกันไม่ให้ผู้บุกรุกบุกรุกเครื่องบนเครือข่ายของคุณ ไฟร์วอลล์ขั้นสูงจะบล็อกการถ่ายโอนข้อมูลจากภายนอกเครือข่ายที่ได้รับการป้องกัน ในขณะเดียวกันก็ช่วยให้ผู้ใช้ภายในสามารถโต้ตอบกับโลกภายนอกได้อย่างอิสระ ที่ การตั้งค่าที่ถูกต้องไฟร์วอลล์สามารถป้องกันการโจมตีเครือข่ายทุกประเภท



ไฟร์วอลล์ก็มีความสำคัญเช่นกันเนื่องจากช่วยให้คุณสร้าง "จุดควบคุม" จุดเดียวที่สามารถจัดระเบียบการป้องกันและการตรวจสอบได้ ต่างจากสถานการณ์ที่ระบบคอมพิวเตอร์ถูกโจมตีจากภายนอกโดยการต่อสายเข้าโมเด็ม ไฟร์วอลล์สามารถทำหน้าที่เป็นวิธีการ "รับฟัง" และบันทึกการเชื่อมต่อที่มีประสิทธิภาพ ไฟร์วอลล์มีฟังก์ชันการบันทึกและการตรวจสอบที่สำคัญ พวกเขามักจะอนุญาตให้ผู้ดูแลระบบได้รับรายงานเกี่ยวกับประเภทและปริมาณของข้อมูลที่ถ่ายโอนผ่านพวกเขา จำนวนความพยายามในการแฮ็ก ฯลฯ

สิ่งสำคัญคือการสร้าง "จุดที่เปราะบาง" ดังกล่าวสามารถให้บริการตามจุดประสงค์เดียวกันในเครือข่ายได้เหมือนกับประตูที่มีการป้องกันใกล้กับอาคารของบริษัท ดังนั้นเมื่อเปลี่ยน "โซน" หรือระดับความปลอดภัย จึงสมเหตุสมผลที่จะสร้าง "ทาง" ดังกล่าว เป็นเรื่องยากที่อาคารของบริษัทจะมีเพียงประตูสำหรับออกรถ และไม่มีเจ้าหน้าที่หรือเจ้าหน้าที่รักษาความปลอดภัยคอยตรวจสอบบัตรสำหรับผู้ที่เข้ามา หากสำนักงานมีระดับการเข้าถึงที่แตกต่างกัน ก็สมเหตุสมผลที่จะสร้างการป้องกันหลายระดับในเครือข่ายสำนักงาน

ไฟร์วอลล์ไม่สามารถป้องกันการโจมตีที่ไม่ได้เกิดขึ้นผ่านไฟร์วอลล์ได้ บริษัทหลายแห่งที่เชื่อมต่อกับอินเทอร์เน็ตมีความกังวลอย่างมากเกี่ยวกับการรั่วไหลของข้อมูลที่เป็นความลับผ่านช่องทางนี้ น่าเสียดายสำหรับพวกเขา การใช้เทปแม่เหล็กในการส่งข้อมูลไม่ใช่เรื่องยากอีกต่อไป ฝ่ายบริหารของหลายองค์กรที่หวาดกลัวต่อการเชื่อมต่ออินเทอร์เน็ต ไม่ค่อยเข้าใจวิธีการป้องกันการเข้าถึงโมเด็มผ่านสายโทรศัพท์ การติดตั้งประตูเหล็กหนา 2 เมตรในบ้านไม้เป็นเรื่องไร้สาระ แต่หลายองค์กรซื้อไฟร์วอลล์ราคาแพงและเพิกเฉยต่อช่องโหว่อื่น ๆ อีกมากมาย เครือข่ายองค์กร- เพื่อให้ไฟร์วอลล์ทำงานได้นั้นจะต้องเป็นส่วนหนึ่งของความสอดคล้อง ระบบทั่วไปการป้องกันในองค์กร กฎไฟร์วอลล์ควรเป็นจริงและสะท้อนถึงระดับความปลอดภัยของเครือข่ายทั้งหมด ตัวอย่างเช่น ระบบที่มีข้อมูลที่เป็นความลับสุดยอดหรือข้อมูลที่ละเอียดอ่อนไม่จำเป็นต้องใช้ไฟร์วอลล์เลย ไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ต หรือระบบที่มีข้อมูลที่ละเอียดอ่อนอย่างแท้จริงจะต้องแยกออกจากส่วนที่เหลือของเครือข่ายองค์กร

ไฟร์วอลล์ช่วยปกป้องคุณจากผู้ก่อวินาศกรรมหรือคนโง่บนเครือข่ายได้เพียงเล็กน้อย แม้ว่าเจ้าหน้าที่จารกรรมทางอุตสาหกรรมสามารถส่งข้อมูลผ่านไฟร์วอลล์ของคุณได้ แต่เขาก็สามารถส่งข้อมูลทางโทรศัพท์ โทรสาร หรือฟลอปปีดิสก์ได้อย่างง่ายดายพอๆ กัน ฟลอปปีดิสก์เป็นช่องทางสำหรับการรั่วไหลของข้อมูลจากบริษัทมากกว่าไฟร์วอลล์! ไฟร์วอลล์ไม่สามารถป้องกันความโง่เขลาได้เช่นกัน ผู้ใช้บริการ ข้อมูลสำคัญทางโทรศัพท์เป็นเป้าหมายที่ดีสำหรับการประมวลผลโดยผู้โจมตีที่เตรียมพร้อมทางด้านจิตใจ เขาสามารถแฮ็กเครือข่ายโดยไม่ต้องผ่านไฟร์วอลล์โดยสิ้นเชิง หากเขาสามารถหาพนักงานที่ "ช่วยเหลือ" ในองค์กรซึ่งเขาสามารถหลอกให้เข้าถึงโมเด็มพูลได้ ก่อนที่คุณจะตัดสินใจว่าปัญหานี้ไม่มีอยู่ในองค์กรของคุณ ให้ถามตัวเองว่ามันจะยากแค่ไหนสำหรับบางคนในองค์กรพันธมิตรในการเข้าถึงเครือข่าย หรือมันจะยากสำหรับผู้ใช้ที่ลืมรหัสผ่านเพื่อรีเซ็ตรหัสผ่านหรือไม่ . ถ้าพนักงาน โต๊ะช่วยเหลือคิดว่าพวกเขารับสายจากที่ทำงานของคุณเท่านั้น คุณมีปัญหาแน่นอน

สุดท้ายนี้ ไฟร์วอลล์ไม่สามารถป้องกันการส่งผ่านคำสั่งหลอกลวง ("โทรจัน") หรือคำสั่งที่เขียนไม่ดีบนโปรโตคอลแอปพลิเคชันส่วนใหญ่ได้ โปรแกรมไคลเอนต์- ไฟร์วอลล์ไม่ใช่ยาครอบจักรวาล และการมีอยู่ของไฟไม่ได้แทนที่ความจำเป็นในการควบคุมซอฟต์แวร์บนเครือข่ายท้องถิ่นหรือปกป้องโฮสต์และเซิร์ฟเวอร์ การสื่อสารสิ่งที่ "ไม่ดี" ผ่าน HTTP, SMTP และโปรโตคอลอื่นๆ นั้นง่ายมากและสามารถแสดงให้เห็นได้อย่างง่ายดาย การป้องกันไม่ใช่สิ่งที่คุณ “ทำและลืมได้”

ไฟร์วอลล์ไม่สามารถป้องกันไวรัสและโปรแกรมที่คล้ายกันได้ดี มีหลายวิธีในการเข้ารหัสไฟล์ไบนารี่สำหรับการส่งผ่านเครือข่าย และมีสถาปัตยกรรมฮาร์ดแวร์และไวรัสที่แตกต่างกันมากเกินไปที่จะพยายามระบุไฟล์ทั้งหมด กล่าวอีกนัยหนึ่ง ไฟร์วอลล์ไม่สามารถแทนที่การปฏิบัติตามหลักการรักษาความปลอดภัยของผู้ใช้ของคุณได้ โดยทั่วไป ไฟร์วอลล์ไม่สามารถป้องกันการโจมตีฐานข้อมูลได้ โดยที่โปรแกรมซึ่งเป็นข้อมูลจะถูกส่งหรือคัดลอกไปยังโฮสต์ภายในที่โปรแกรมนั้นจะถูกดำเนินการ การโจมตีประเภทนี้เคยเกิดขึ้นมาแล้วในอดีต รุ่นที่แตกต่างกัน sendmail โปรแกรม ghostscript และตัวแทนเมล เช่น OutLook ที่รองรับภาษาสคริปต์

องค์กรที่มีปัญหาเกี่ยวกับไวรัสร้ายแรงต้องใช้มาตรการเฉพาะเพื่อควบคุมการแพร่กระจายของไวรัสทั่วทั้งองค์กร แทนที่จะพยายามปกป้องเครือข่ายของคุณจากไวรัสด้วยไฟร์วอลล์ ให้ตรวจสอบว่ามีช่องโหว่ทุกรายการ ที่ทำงานพร้อมโปรแกรมสแกนไวรัสที่ทำงานเมื่อรีบูตเครื่อง การติดตั้งโปรแกรมสแกนไวรัสบนเครือข่ายจะช่วยป้องกันไวรัสที่ได้รับจากฟลอปปีดิสก์ ผ่านทางโมเด็ม และทางอินเทอร์เน็ต การพยายามบล็อกไวรัสบนไฟร์วอลล์จะป้องกันไวรัสที่มาจากอินเทอร์เน็ตเท่านั้น และไวรัสส่วนใหญ่จะอยู่ในฟล็อปปี้ดิสก์

อย่างไรก็ตาม มีผู้จำหน่ายไฟร์วอลล์จำนวนมากขึ้นเรื่อยๆ ที่เสนอไฟร์วอลล์ "การตรวจจับไวรัส" สิ่งเหล่านี้จะมีประโยชน์เฉพาะกับผู้ใช้ไร้เดียงสาที่แชร์ไฟล์ปฏิบัติการแพลตฟอร์ม Windows-Intel หรือเอกสารที่มีมาโครที่อาจทำลายล้างได้ มีวิธีแก้ไขปัญหาที่ใช้ไฟร์วอลล์มากมาย เช่น เวิร์ม ILOVEYOU และการโจมตีอื่นๆ ที่คล้ายคลึงกัน แต่พวกเขาใช้แนวทางที่ง่ายเกินไปเพื่อพยายามจำกัดความเสียหายจากการกระทำที่โง่เขลาจนไม่ควรกระทำเลย อย่าพึ่งพาคุณสมบัติเหล่านี้เพื่อให้การป้องกันจากผู้โจมตี

ไฟร์วอลล์ที่แข็งแกร่งไม่สามารถทดแทนไฟร์วอลล์ที่มีความละเอียดอ่อนได้ ซอฟต์แวร์โดยทราบลักษณะของข้อมูลที่กำลังประมวลผล - ไม่น่าเชื่อถือและมาจากแหล่งที่ไม่น่าเชื่อถือ - และประมวลผลตามนั้น อย่าคิดว่าคุณปลอดภัยเพราะ "ทุกคน" กำลังใช้อะไรบางอย่าง โปรแกรมเมลผลิตโดยบริษัทข้ามชาติยักษ์ใหญ่

กระทรวงศึกษาธิการและวิทยาศาสตร์ของสหพันธรัฐรัสเซีย

หน่วยงานรัฐบาลกลางเพื่อการศึกษา

สถาบันการศึกษาของรัฐของการศึกษาวิชาชีพชั้นสูง

ในอัตรา MiSZKI

ในหัวข้อ: "ไฟร์วอลล์"

สมบูรณ์:

นักเรียนกลุ่ม A-46

ซาโฟนอฟ ดี.วี.

ตรวจสอบโดย: Peskova O.Yu.

ตากันรอก 2009


ไฟร์วอลล์ 2 ประเภท

3 การทำงานของไฟร์วอลล์

4 ไฟร์วอลล์ Windows ในตัว

5 วินโดว์ XP SP2

8 ไฟร์วอลล์ส่วนบุคคล

รายชื่อวรรณกรรมที่ใช้แล้ว


1 แนวคิดของไฟร์วอลล์

ในภาษาอังกฤษ คำว่า "ไฟร์วอลล์" มีความหมายดั้งเดิมของ "กำแพงไฟ" ซึ่งเชื่อกันว่าช่วยปกป้องอาคารจากการแพร่กระจายของไฟ มันมีความหมายเหมือนกันทุกประการ คำภาษาเยอรมัน"แบรนด์เมาเออร์". อะนาล็อกคำเดียวของคำนี้ไม่ปรากฏในภาษารัสเซีย อะนาล็อกที่หยั่งรากที่สุดของ "ไฟร์วอลล์" ในภาษารัสเซียคือ "ไฟร์วอลล์" (ตัวเลือก - ไฟร์วอลล์) ไฟร์วอลล์จากทั่วโลก เทคโนโลยีคอมพิวเตอร์ต้องบล็อก ประเภทต่างๆการบุกรุกที่ไม่พึงประสงค์เข้าสู่คอมพิวเตอร์ของคุณผ่านทาง เครือข่ายคอมพิวเตอร์- ขณะนี้ไฟร์วอลล์เป็นองค์ประกอบที่จำเป็นของการรักษาความปลอดภัยเครือข่าย รวมถึงความปลอดภัยของผู้ใช้ที่เชื่อมต่อกับอินเทอร์เน็ต เพื่อกรองและควบคุม การรับส่งข้อมูลเครือข่ายมีเครื่องมือมากมายทั้งฮาร์ดแวร์และซอฟต์แวร์ อย่างไรก็ตาม งานนี้ดึงความสนใจไปที่สิ่งที่ควรปกป้องอย่างแท้จริง ผู้ใช้ปกติเชื่อมต่อกับอินเทอร์เน็ตและเครื่องมือดังกล่าวมักจะเป็นไฟร์วอลล์ส่วนบุคคล - ตามปกติ โปรแกรมคอมพิวเตอร์ซึ่งติดตั้งบนคอมพิวเตอร์แยกต่างหากและป้องกันโดยไม่ต้องใช้อุปกรณ์เพิ่มเติมใดๆ

วันนี้กำหนดค่าอย่างถูกต้องแล้ว โปรแกรมป้องกันไวรัสด้วยฐานข้อมูลไวรัสล่าสุดจึงไม่สามารถปกป้องคอมพิวเตอร์ของคุณจากภัยคุกคามภายนอกได้อย่างสมบูรณ์ ส่วนหนึ่งเนื่องมาจากความจริงที่ว่าในระหว่างการพัฒนา เครือข่ายทั่วโลกข้อกำหนดด้านความปลอดภัยทางอินเทอร์เน็ตไม่ได้รับการเอาใจใส่เพียงพอ และจุดเน้นหลักคือความสะดวกในการแลกเปลี่ยนข้อมูล สแต็กโปรโตคอล TCP/IP (Transmission Control Protocol/Internet Protocol) ก็ไม่ได้รับการป้องกันเช่นกัน ซึ่งโดยธรรมชาติแล้วไม่เป็นไปตามข้อกำหนดด้านความปลอดภัยสมัยใหม่ แน่นอนว่าแฮ็กเกอร์มืออาชีพและแฮ็กเกอร์ทำเองไม่พลาดโอกาสในการใช้ประโยชน์จากช่องโหว่ดังกล่าว ไฟร์วอลล์ได้รับการออกแบบมาโดยเฉพาะเพื่อป้องกันการกระทำที่เป็นอันตรายและป้องกันการโจรกรรมข้อมูลจากคอมพิวเตอร์

ฟังก์ชันไฟร์วอลล์ส่วนใหญ่จะทำซ้ำฟังก์ชันของไฟร์วอลล์ แต่ไฟร์วอลล์ส่วนบุคคลก็สามารถให้ได้เช่นกัน คุณสมบัติเพิ่มเติม:

ควบคุมแอปพลิเคชันโดยใช้พอร์ต ไฟร์วอลล์ส่วนบุคคลแตกต่างจากไฟร์วอลล์ทั่วไป ไม่เพียงแต่สามารถกำหนดโปรโตคอลและที่อยู่ที่ใช้เท่านั้น แต่ยังกำหนดได้ด้วย ชื่อที่แน่นอนแอปพลิเคชันที่ร้องขอการเชื่อมต่อ (หรือพยายามฟังบนพอร์ตบางพอร์ต) โดยเฉพาะอย่างยิ่งมันเป็นไปได้ที่จะควบคุมความไม่เปลี่ยนรูปของแอปพลิเคชัน (หากแอปพลิเคชันถูกแก้ไขโดยไวรัสหรือโทรจันที่ติดตั้งเป็นปลั๊กอิน กิจกรรมเครือข่ายแอปพลิเคชันถูกบล็อก)

การกำหนดกฎแยกต่างหากให้กับผู้ใช้ที่แตกต่างกันโดยไม่มีการอนุญาตเครือข่ายเพิ่มเติม

โหมดการฝึกอบรมเมื่อเข้าใช้งานโปรแกรมครั้งแรก ทรัพยากรเครือข่ายผู้ใช้จะได้รับคำขอ (โดยปกติจะอยู่ในรูปแบบ “ปฏิเสธเสมอ, ปฏิเสธครั้งเดียว, อนุญาตเสมอ, อนุญาตครั้งเดียว, สร้างกฎ”)

โหมดการกรองแบบผสม (ซึ่งมีการตรวจสอบพารามิเตอร์ที่แตกต่างกันในระดับที่ต่างกัน โปรโตคอลเครือข่าย- จากวินาที (การตรวจสอบการปลอมแปลงที่อยู่ MAC) ถึง 4 (การกรองพอร์ต) และระดับที่สูงกว่า (กรองเนื้อหาเว็บไซต์ การตรวจสอบอีเมล กรองสแปม)

ไฟร์วอลล์ 2 ประเภท

ไฟร์วอลล์มีสองประเภท – ฮาร์ดแวร์และซอฟต์แวร์

ไฟร์วอลล์ฮาร์ดแวร์คืออุปกรณ์ที่เชื่อมต่อระหว่างคอมพิวเตอร์ (หรือเครือข่ายท้องถิ่น) และจุดเชื่อมต่ออินเทอร์เน็ต ข้อได้เปรียบของมันคือความจริงที่ว่า เนื่องจากเป็นอุปกรณ์แยกต่างหาก จึงไม่ต้องใช้ทรัพยากรของพีซี ความสามารถในการทำงานอย่างปลอดภัยโดยไม่ต้องเปลี่ยนการตั้งค่าบนคอมพิวเตอร์เครื่องใด ๆ การป้องกันฮาร์ดแวร์ในตัวเพื่อป้องกันไวรัส การป้องกันการโจมตีและการป้องกัน (IDP) และการกรองสแปม ฟังก์ชั่น, . ตามกฎแล้วข้อเสียคือราคาที่ค่อนข้างสูงสำหรับผู้ใช้ตามบ้านและเป็นผลให้เครือข่ายท้องถิ่นของ บริษัท ต่างๆกลายเป็นพื้นที่หลักในการประยุกต์ใช้ไฟร์วอลล์

งานนี้จะเน้นที่ไฟร์วอลล์ซอฟต์แวร์ส่วนบุคคลเป็นหลัก แต่เกือบทุกอย่างที่ด้านล่างใช้กับฮาร์ดแวร์ได้เท่าเทียมกัน ซอฟต์แวร์ไฟร์วอลล์คือซอฟต์แวร์ที่ควบคุมการเข้าถึงเครือข่ายท้องถิ่นของคอมพิวเตอร์ เช่นเดียวกับความพยายามในการเชื่อมต่อจากภายนอก และอนุญาตหรือห้ามการกระทำบางอย่างตามกฎที่กำหนดไว้ล่วงหน้า โดยพื้นฐานแล้วไฟร์วอลล์คือกำแพงที่แยกออกจากกัน อะแดปเตอร์เครือข่ายและระบบปฏิบัติการ ข้อมูลใด ๆ ทั้งขาเข้าและขาออกจะ “ชน” เข้ากับข้อมูลนั้นและผ่านการตรวจสอบอย่างละเอียด

ไฟร์วอลล์ตัวแรกปรากฏขึ้นในช่วงทศวรรษ 1980 และเป็นเราเตอร์ธรรมดาที่มีการกรองแพ็กเก็ต (ข้อมูลที่ส่งจะถูกตรวจสอบกับชุดกฎที่กำหนด และจะไม่ถูกส่งต่อไปหากไม่ตรงกัน) ในปี 1990 สิ่งที่เรียกว่าไฟร์วอลล์ระดับลูกโซ่ปรากฏขึ้น ถัดไปในความซับซ้อนและความแปลกใหม่คือ “กองหลัง” ระดับซอฟต์แวร์- ต่อมาไฟร์วอลล์อาศัยการกรองแพ็กเก็ตแบบไดนามิก และสถาปัตยกรรมใหม่ล่าสุดสำหรับโปรแกรมประเภทไฟร์วอลล์ในปัจจุบันคือเคอร์เนลพร็อกซี (สถาปัตยกรรมนี้มีทั้งการใช้งานซอฟต์แวร์และฮาร์ดแวร์) โดยพื้นฐานแล้วคนรุ่นใหม่แต่ละรุ่นจะขึ้นอยู่กับหลักการทำงานของรุ่นก่อนหน้า นั่นคือสิ่งที่เป็นจริงสำหรับรุ่นแรกอาจใช้ได้กับรุ่นที่สอง แม้ว่าจะมีการแก้ไขและเพิ่มเติมบางประการก็ตาม



เนื้อหา. การส่งสัญญาณ MBONE อาจเป็นภัยคุกคามหากแพ็กเก็ตมีคำสั่งที่เปลี่ยนการตั้งค่าความปลอดภัยและอนุญาตให้ผู้โจมตีเข้าถึงได้ ไฟร์วอลล์ไวรัสไม่ได้ป้องกันผู้ใช้ที่ดาวน์โหลดโปรแกรมคอมพิวเตอร์ที่ติดไวรัสจากแหล่งเก็บข้อมูลทางอินเทอร์เน็ตหรือส่งโปรแกรมดังกล่าวเป็นไฟล์แนบในอีเมล ดังนั้น...

นอกจากนี้ยังตรวจสอบที่อยู่ต้นทางและปลายทางของแต่ละข้อความที่ประมวลผล สิ่งนี้ให้ความปลอดภัยโดยช่วยป้องกันการบุกรุกเครือข่ายหรือคอมพิวเตอร์ของคุณโดยไม่พึงประสงค์ ซอฟต์แวร์ไฟร์วอลล์ทำหน้าที่เดียวกันโดยใช้โปรแกรมที่ติดตั้งบนคอมพิวเตอร์แทนที่จะเป็นอุปกรณ์ภายนอก สามารถใช้ทั้งฮาร์ดแวร์และซอฟต์แวร์บนคอมพิวเตอร์เครื่องเดียวกัน...



เซิร์ฟเวอร์ที่ใช้งานทั่วไปมักเรียกว่าแอปพลิเคชันเซิร์ฟเวอร์ เซิร์ฟเวอร์บนเครือข่ายมักจะมีความเชี่ยวชาญเป็นพิเศษ เซิร์ฟเวอร์เฉพาะทางใช้เพื่อกำจัดปัญหาคอขวดส่วนใหญ่ในเครือข่าย: การสร้างและจัดการฐานข้อมูลและที่เก็บข้อมูล รองรับการสื่อสารแฟกซ์และอีเมลแบบหลายผู้รับ การจัดการเทอร์มินัลแบบหลายผู้ใช้ (เครื่องพิมพ์ พล็อตเตอร์) ฯลฯ เซิร์ฟเวอร์ไฟล์ (ไฟล์...

พิสูจน์ได้ว่ามีเหตุเกิดขึ้น กล่าวคือ การกระทำที่นำไปสู่ความเสียหายสามารถเข้าข่ายเป็นนิติกรรมได้ ดังนั้นเมื่อพิจารณาถึงภัยคุกคามต่อความปลอดภัยของข้อมูลในกรณีนี้ ขอแนะนำให้คำนึงถึงข้อกำหนดของกฎหมายอาญาในปัจจุบัน (ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย, 1996) ซึ่งกำหนดอาชญากรรม ในกรณีนี้อาชญากรรมดังกล่าวสามารถ...

Windows Firewall คือ แพคเกจซอฟต์แวร์ซึ่งการรับส่งข้อมูลเครือข่ายทั้งหมดจะผ่านไป แต่วัตถุประสงค์หลักของ Windows Firewall ไม่ใช่เพื่อเป็นท่อรับส่งข้อมูล วัตถุประสงค์หลักของ Windows Firewall คือเพื่อตรวจสอบการรับส่งข้อมูลนี้ และขึ้นอยู่กับผลลัพธ์ของการตรวจสอบ การรับส่งข้อมูลจะได้รับอนุญาตหรือถูกปฏิเสธ โดยพื้นฐานแล้ว Windows Firewall ได้รับการกำหนดค่าให้ละทิ้งการรับส่งข้อมูลที่เป็นอันตรายและอนุญาตให้การรับส่งข้อมูล "สะอาด" ผ่านไปได้ นอกจากนี้ ไฟร์วอลล์จะปิดพื้นที่ละเอียดอ่อนบางส่วนตามค่าเริ่มต้น เช่น บางพอร์ต แต่กฎทั้งหมดเหล่านี้ซึ่งขึ้นอยู่กับการทำงานของไฟร์วอลล์นั้นสามารถปรับแต่งได้ ผู้ใช้มีอิสระในการเลือกว่าทราฟฟิกใดที่จะผ่านและไม่พอร์ตใดที่จะเปิดและปิด แต่ทั้งหมดนี้จะมีการอธิบายในภายหลัง แต่ตอนนี้คุณต้องรู้ว่า Windows Firewall ปกป้องคอมพิวเตอร์ของคุณจากการบุกรุกและมัลแวร์ต่างๆ

มีอะไรใหม่ในไฟร์วอลล์ใน Windows 7

ต่างจากไฟร์วอลล์ในครั้งก่อน ระบบปฏิบัติการมีคุณสมบัติใหม่หลายประการที่ปรากฏในไฟร์วอลล์ Windows 7 ฟังก์ชั่นเพิ่มเติมโดยในจำนวนนี้มีสามคนที่เล่นเป็นสถานที่พิเศษซึ่งมีรายชื่ออยู่ด้านล่าง:

  1. ข้อห้ามในการสร้างลายนิ้วมือระบบปฏิบัติการ- ลายนิ้วมือของระบบปฏิบัติการคืออะไร? การพิมพ์ลายนิ้วมือ OS เป็นเทคนิคที่สามารถใช้เพื่อค้นหาเวอร์ชันระบบปฏิบัติการของเครื่องระยะไกล แฮ็กเกอร์จะแฮ็กคอมพิวเตอร์ได้ง่ายกว่ามากหากเขารู้ว่าเขากำลังติดต่อกับระบบปฏิบัติการใด นั่นคือสาเหตุที่ไฟร์วอลล์ Windows 7 ใช้คุณสมบัติการซ่อนแบบเต็มซึ่งทำให้โฮสต์ภายนอกไม่สามารถพิมพ์ลายนิ้วมือระบบปฏิบัติการได้
  2. คุณสมบัติการกรองระหว่างการดาวน์โหลดให้การปกป้องคอมพิวเตอร์ตั้งแต่วินาทีแรกที่เปิดใช้งานอินเทอร์เฟซเครือข่าย แต่ใน Windows XP ไฟร์วอลล์จะเปิดเพียงบางครั้งหลังจากเปิดใช้งาน การ์ดเครือข่ายซึ่งทำให้คอมพิวเตอร์ไม่ได้รับการป้องกันเป็นระยะเวลาหนึ่ง
  3. ไฟร์วอลล์ Windows 7 บล็อกการรับส่งข้อมูลขาออกส่วนใหญ่ ด้วยเหตุนี้การรับส่งข้อมูลที่เป็นอันตรายจะไม่ออกจากคอมพิวเตอร์ที่ติดไวรัส (ในทางทฤษฎี) ในเวอร์ชันก่อนหน้านี้ ไฟร์วอลล์จะทำงานกับการรับส่งข้อมูลขาเข้าเท่านั้น โดยไม่ได้ปกป้องคอมพิวเตอร์ที่อยู่รอบๆ ตัวไฟร์วอลล์แต่อย่างใด

ต่อไปนี้เป็นการเปลี่ยนแปลงครั้งใหญ่ที่สุดและน่าจดจำที่สุดสามประการที่ทำให้ไฟร์วอลล์ของ Windows 7 ก้าวนำหน้าเกม รุ่นก่อนหน้า- นี่ยังชี้ให้เห็นว่าห้องผ่าตัด ระบบวินโดวส์ 7 มีความปลอดภัยมากกว่าบรรพบุรุษมาก ฉันเขียนเกี่ยวกับเรื่องนี้แล้วในบทความ

|

ไฟร์วอลล์หรือไฟร์วอลล์คือระบบที่ให้การรักษาความปลอดภัยของเครือข่ายโดยการกรองการรับส่งข้อมูลขาเข้าและขาออกตามกฎที่กำหนดโดยผู้ใช้ วัตถุประสงค์หลักของไฟร์วอลล์คือเพื่อกำจัดหรือลดการสื่อสารเครือข่ายที่ไม่ต้องการ ในโครงสร้างพื้นฐานเซิร์ฟเวอร์ส่วนใหญ่ ไฟร์วอลล์จัดให้มีชั้นการรักษาความปลอดภัยขั้นพื้นฐานที่เมื่อรวมกับข้อควรระวังด้านความปลอดภัยอื่นๆ จะสามารถป้องกันการโจมตีที่เป็นอันตรายได้

บทความนี้จะอธิบายวิธีการทำงานของไฟร์วอลล์ โดยเฉพาะซอฟต์แวร์ไฟร์วอลล์ที่มีสถานะ (เช่น IPTables และ FirewallD) ตามที่เกี่ยวข้องกับ เซิร์ฟเวอร์คลาวด์- บทความนี้ครอบคลุมถึงแพ็กเก็ต TCP, ไฟร์วอลล์ประเภทต่างๆ และหัวข้ออื่นๆ อีกมากมายที่เกี่ยวข้องกับไฟร์วอลล์แบบมีสถานะ นอกจากนี้ในตอนท้ายของคู่มือคุณจะพบข้อมูลมากมาย ลิงค์ที่เป็นประโยชน์สำหรับคู่มือที่จะช่วยคุณกำหนดค่าไฟร์วอลล์บนเซิร์ฟเวอร์ของคุณ

แพ็กเก็ตเครือข่าย TCP

ก่อนที่เราจะเริ่มการสนทนา ประเภทต่างๆไฟร์วอลล์ ให้ทำความคุ้นเคยกับการรับส่งข้อมูล Transport Control Protocol (TCP)

การรับส่งข้อมูลเครือข่าย TCP เดินทางข้ามเครือข่ายในรูปแบบของแพ็กเก็ตคอนเทนเนอร์ที่มีส่วนหัวที่มีข้อมูลการควบคุม (ที่อยู่ต้นทางและปลายทาง ลำดับของแพ็กเก็ตข้อมูล) และข้อมูล (เรียกว่าเพย์โหลด) ข้อมูลการควบคุมในแต่ละแพ็กเก็ตช่วยให้แน่ใจว่าข้อมูลถูกส่งตามที่คาดไว้และองค์ประกอบยังรองรับไฟร์วอลล์ด้วย

สิ่งสำคัญคือต้องทราบว่าในการรับแพ็กเก็ต TCP ขาเข้าได้สำเร็จ ผู้รับจำเป็นต้องส่งแพ็กเก็ตการตอบรับกลับไปยังผู้ส่ง การรวมกันของข้อมูลการควบคุมในแพ็กเก็ตขาเข้าและขาออกสามารถใช้เพื่อกำหนดสถานะของการเชื่อมต่อ

ประเภทของไฟร์วอลล์

ไฟร์วอลล์พื้นฐานมีสามประเภท:

  • ตัวกรองแพ็คเก็ตระดับเครือข่าย (หรือไร้สัญชาติ)
  • สถานะ (หรือสถานะ)
  • และระดับการสมัคร

ตัวกรองแพ็กเก็ตเลเยอร์เครือข่ายทำงานโดยการวิเคราะห์แต่ละแพ็กเก็ต พวกเขาไม่ทราบสถานะการเชื่อมต่อและสามารถอนุญาตหรือปฏิเสธแพ็กเก็ตตามส่วนหัวของแต่ละบุคคลเท่านั้น

ไฟร์วอลล์แบบมีสถานะสามารถตรวจจับสถานะการเชื่อมต่อของแพ็กเก็ตได้ ทำให้มีความยืดหยุ่นมากขึ้น พวกเขารวบรวมแพ็กเก็ตจนกว่าจะกำหนดสถานะของการเชื่อมต่อก่อนที่จะใช้กฎไฟร์วอลล์กับการรับส่งข้อมูล

ไฟร์วอลล์ในชั้นแอปพลิเคชันจะวิเคราะห์ข้อมูลที่ส่ง ซึ่งช่วยให้การรับส่งข้อมูลเครือข่ายผ่านกฎไฟร์วอลล์ที่เฉพาะเจาะจงสำหรับแต่ละบริการและแอปพลิเคชัน เรียกอีกอย่างว่าไฟร์วอลล์พร็อกซี

นอกเหนือจากซอฟต์แวร์ไฟร์วอลล์ซึ่งมีอยู่ในระบบปฏิบัติการสมัยใหม่ทั้งหมดแล้ว ฟังก์ชันการทำงานของไฟร์วอลล์ยังสามารถได้รับจากอุปกรณ์ฮาร์ดแวร์ (เช่น เราเตอร์หรือไฟร์วอลล์ฮาร์ดแวร์)

กฎไฟร์วอลล์

ตามที่กล่าวไว้ข้างต้น การรับส่งข้อมูลเครือข่ายที่ผ่านไฟร์วอลล์จะได้รับการตรวจสอบโดยใช้ชุดกฎเพื่อพิจารณาว่าการรับส่งข้อมูลนั้นได้รับอนุญาตหรือไม่ วิธีที่ง่ายที่สุดในการอธิบายกฎไฟร์วอลล์คือพร้อมตัวอย่าง

สมมติว่าคุณมีเซิร์ฟเวอร์ที่มีรายการกฎสำหรับการรับส่งข้อมูลขาเข้า:

  1. ยอมรับการรับส่งข้อมูลใหม่และที่ติดตั้งไว้ก่อนหน้านี้บนอินเทอร์เฟซเครือข่ายผ่านพอร์ต 80 และ 443 (การรับส่งข้อมูลเว็บ HTTP และ HTTPS)
  2. ลดการรับส่งข้อมูลขาเข้าจากที่อยู่ IP ของพนักงานสำนักงานที่ไม่ใช่ด้านเทคนิคไปยังพอร์ต 22 (SSH)
  3. ยอมรับการรับส่งข้อมูลขาเข้าใหม่และที่มีอยู่จากช่วง IP ของสำนักงานไปยังอินเทอร์เฟซเครือข่ายส่วนตัวผ่านพอร์ต 22 (SSH)

สังเกตคำว่า "ยอมรับ" และ "วาง" ในตัวอย่างเหล่านี้ ด้วยความช่วยเหลือ คุณสามารถระบุการดำเนินการที่ไฟร์วอลล์ควรทำหากการรับส่งข้อมูลตรงกับกฎ

  • ยอมรับหมายถึงการอนุญาตการจราจร
  • ปฏิเสธ - ปิดกั้นการรับส่งข้อมูลและส่งกลับข้อผิดพลาด "ไม่สามารถเข้าถึงได้"
  • วาง – ปิดกั้นการรับส่งข้อมูลและไม่ส่งคืนอะไรเลย

การรับส่งข้อมูลเครือข่ายจะส่งผ่านรายการกฎไฟร์วอลล์ในลำดับเฉพาะที่เรียกว่าสายโซ่กฎ เมื่อไฟร์วอลล์ตรวจพบกฎที่ตรงกับการรับส่งข้อมูล ไฟร์วอลล์จะดำเนินการที่เหมาะสมกับการรับส่งข้อมูลนั้น ใน ในตัวอย่างนี้ตามกฎไฟร์วอลล์ พนักงานออฟฟิศที่พยายามสร้างการเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์จะถูกบล็อกตามกฎข้อ 2 และจะไม่ได้รับอนุญาตให้เข้าถึงกฎข้อ 3 ผู้ดูแลระบบมันจะผ่านไฟร์วอลล์เพราะเป็นไปตามกฎข้อ 3

นโยบายไฟร์วอลล์เริ่มต้น

โดยทั่วไปแล้ว กลุ่มกฎไฟร์วอลล์จะไม่ครอบคลุมเงื่อนไขที่เป็นไปได้ทั้งหมดอย่างชัดเจน ดังนั้นเชนควรมีนโยบายเริ่มต้นเสมอซึ่งประกอบด้วยการดำเนินการเท่านั้น (ยอมรับ ปฏิเสธ หรือปล่อย)

ตัวอย่างเช่น นโยบายเริ่มต้นของหนึ่งในเชนที่กล่าวถึงก่อนหน้านี้คือดร็อป หากคอมพิวเตอร์เครื่องใดนอกสำนักงานพยายามเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์ การรับส่งข้อมูลจะลดลงเนื่องจากไม่ตรงกับกฎใดๆ

หากตั้งค่านโยบายเริ่มต้นเป็นยอมรับ ผู้ใช้ทุกคน (ยกเว้นพนักงานสำนักงานที่ไม่ใช่ด้านเทคนิค) จะสามารถสร้างการเชื่อมต่อกับบริการแบบเปิดบนเซิร์ฟเวอร์นี้ได้ แน่นอนว่านี่เป็นตัวอย่างของไฟร์วอลล์ที่ได้รับการกำหนดค่าต่ำมาก เนื่องจากจะปกป้องบริการจากบุคคลที่ไม่ใช่ด้านเทคนิคเท่านั้น

การจราจรขาเข้าและขาออก

การรับส่งข้อมูลเครือข่าย จากมุมมองของเซิร์ฟเวอร์ อาจเป็นได้ทั้งขาเข้าหรือขาออก ไฟร์วอลล์จะรักษาชุดกฎแยกต่างหากสำหรับการรับส่งข้อมูลแต่ละประเภท

การรับส่งข้อมูลที่มาจากที่ใดก็ได้บนเครือข่ายเรียกว่าการรับส่งข้อมูลขาเข้า จะได้รับการปฏิบัติที่แตกต่างจากการรับส่งข้อมูลขาออกที่ส่งโดยเซิร์ฟเวอร์ โดยทั่วไปแล้ว เซิร์ฟเวอร์จะอนุญาตการรับส่งข้อมูลขาออกเนื่องจากถือว่าตัวเองน่าเชื่อถือ อย่างไรก็ตาม สามารถใช้ชุดกฎขาออกเพื่อป้องกันการสื่อสารที่ไม่พึงประสงค์ในกรณีที่เซิร์ฟเวอร์ถูกโจมตีโดยผู้โจมตีหรือโปรแกรมปฏิบัติการที่เป็นอันตราย

เพื่อใช้ประโยชน์จากความปลอดภัยของไฟร์วอลล์อย่างเต็มที่ คุณจะต้องระบุวิธีที่ระบบอื่นๆ สามารถสื่อสารกับเซิร์ฟเวอร์ของคุณ สร้างกฎที่อนุญาตการโต้ตอบนั้นอย่างชัดเจน จากนั้นจึงละทิ้งการรับส่งข้อมูลที่เหลือทั้งหมด โปรดทราบว่าคุณยังต้องสร้างกฎที่เหมาะสมสำหรับการรับส่งข้อมูลขาออก เพื่อให้เซิร์ฟเวอร์สามารถส่งการยืนยันสำหรับการเชื่อมต่อขาเข้าที่อนุญาต นอกจากนี้ โปรดทราบว่าโดยทั่วไปเซิร์ฟเวอร์จำเป็นต้องเริ่มต้นการรับส่งข้อมูลขาออกของตนเอง (เช่น เพื่อดาวน์โหลดการอัปเดตหรือเชื่อมต่อกับฐานข้อมูล) ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องพิจารณากรณีเหล่านี้และสร้างชุดกฎสำหรับพวกเขา

การสร้างกฎขาออก

สมมติว่าไฟร์วอลล์ลดการรับส่งข้อมูลขาออกตามค่าเริ่มต้น (ลดนโยบาย) ดังนั้นการยอมรับกฎสำหรับการรับส่งข้อมูลขาเข้าจะไม่มีประโยชน์หากไม่มีกฎเพิ่มเติมสำหรับการรับส่งข้อมูลขาออก

เพื่อเสริมกฎขาเข้าที่กล่าวถึงก่อนหน้านี้ (1 และ 3) และให้แน่ใจว่ามีการโต้ตอบที่เหมาะสมกับที่อยู่และพอร์ตเหล่านี้ คุณสามารถใช้กฎไฟร์วอลล์ขาออกต่อไปนี้:

  • ยอมรับการรับส่งข้อมูลขาออกที่มีอยู่บนอินเทอร์เฟซเครือข่ายทั่วไปผ่านพอร์ต 80 และ 443 (HTTP และ HTTPS)
  • ยอมรับการรับส่งข้อมูลขาออกที่มีอยู่บนเครือข่ายส่วนตัวผ่านพอร์ต 22 (SSH)

โปรดทราบว่าคุณไม่จำเป็นต้องตั้งกฎอย่างชัดเจนสำหรับการรับส่งข้อมูลขาเข้าที่ถูกทิ้ง (กฎที่ 2) เนื่องจากเซิร์ฟเวอร์จะไม่สร้างหรือรับทราบการเชื่อมต่อนี้

โปรแกรมและเครื่องมือ

ตอนนี้คุณรู้แล้วว่าไฟร์วอลล์ทำงานอย่างไรก็ถึงเวลาทำความคุ้นเคยกับแพ็คเกจหลักที่ให้คุณกำหนดค่าไฟร์วอลล์ได้ ด้านล่างนี้คุณสามารถอ่านเกี่ยวกับแพ็คเกจทั่วไปสำหรับการกำหนดค่าไฟร์วอลล์

ไอพีเทเบิล

IPTables เป็นไฟร์วอลล์มาตรฐานที่มาพร้อมกับลีนุกซ์ส่วนใหญ่โดยค่าเริ่มต้น

หมายเหตุ: เพิ่มเติม รุ่นที่ทันสมัยเรียกว่า nftables และจะเข้ามาแทนที่แพ็คเกจนี้เร็วๆ นี้

IPTables จริงๆ แล้วเป็นส่วนหน้าสำหรับ netfilter hooks ระดับเคอร์เนลที่สามารถใช้เพื่อจัดการสแต็กเครือข่าย Linux มันทำงานโดยจับคู่แต่ละแพ็กเก็ตที่ข้ามอินเทอร์เฟซเครือข่ายกับชุดกฎ

คำแนะนำในการตั้งค่าไฟร์วอลล์ IPTables สามารถพบได้ในบทความต่อไปนี้

การทำงานของ Windows Firewall ถูกกำหนดโดยพารามิเตอร์ต่อไปนี้: Enable; เปิดใช้งานแต่ไม่อนุญาตให้มีข้อยกเว้นและปิดใช้งาน

· เปิดเครื่อง ตามค่าเริ่มต้น ไฟร์วอลล์จะถูกเปิดใช้งาน และหากไม่มีไฟร์วอลล์อื่น ก็ควรปล่อยไว้อย่างนั้นจะดีกว่า ในสถานะนี้ Windows Firewall จะบล็อกคำขอเชื่อมต่อที่ไม่คาดคิดทั้งหมดไปยังคอมพิวเตอร์ของคุณ ยกเว้นคำขอสำหรับโปรแกรมหรือบริการที่คุณเลือกบนแท็บข้อยกเว้น

รูปที่ 4 - อินเตอร์เฟซแบบกราฟิกไฟร์วอลล์ Windows (ภาพหน้าจอ)

· เปิดใช้งานแต่ไม่อนุญาตให้มีข้อยกเว้น เมื่อคุณเลือกกล่องกาเครื่องหมาย ไม่อนุญาตให้มีข้อยกเว้น ไฟร์วอลล์ Windows จะบล็อกคำขอที่ไม่คาดคิดทั้งหมดเพื่อเชื่อมต่อกับคอมพิวเตอร์ของคุณ รวมถึงคำขอสำหรับโปรแกรมและบริการที่คุณเลือกบนแท็บข้อยกเว้น ตัวเลือกนี้ใช้เพื่อ การป้องกันสูงสุดคอมพิวเตอร์ เช่น เมื่อเชื่อมต่อกับเครือข่ายสาธารณะในโรงแรมหรือสนามบิน หรือในช่วงเวลาพิเศษ ไวรัสที่เป็นอันตรายหรือเวิร์ม ไม่จำเป็นต้องใช้ช่องทำเครื่องหมาย ไม่อนุญาตให้มีข้อยกเว้น ตลอดเวลา เนื่องจากอาจทำให้บางโปรแกรมหยุดทำงานอย่างถูกต้อง และจะบล็อกคำขอที่ไม่คาดคิดไปยังบริการต่อไปนี้ด้วย:

o บริการการเข้าถึงไฟล์และเครื่องพิมพ์

o ความช่วยเหลือระยะไกลและ การควบคุมระยะไกลเดสก์ท็อป";

o การตรวจจับ อุปกรณ์เครือข่าย;

o โปรแกรมและบริการที่กำหนดค่าไว้ล่วงหน้าในรายการข้อยกเว้น

o ออบเจ็กต์เพิ่มเติม เพิ่มไปยังรายการข้อยกเว้น

ถ้าคุณเลือกกล่องกาเครื่องหมาย ไม่อนุญาตให้มีข้อยกเว้น คุณยังคงสามารถส่งและรับอีเมล ใช้ข้อความโต้ตอบแบบทันที หรือเรียกดูเว็บเพจส่วนใหญ่ได้

· ปิดเครื่อง พารามิเตอร์นี้ปิดการใช้งาน Windows Firewall ทำให้คอมพิวเตอร์เสี่ยงต่อการถูกโจมตีโดยแฮกเกอร์หรือไวรัส ผู้ใช้ขั้นสูงควรใช้ตัวเลือกนี้ชั่วคราวเพื่อวัตถุประสงค์ในการดูแลระบบคอมพิวเตอร์หรือเมื่อมีการป้องกันโดยไฟร์วอลล์อื่น การตั้งค่าที่กำหนดค่าสำหรับคอมพิวเตอร์ที่เข้าร่วมโดเมนจะถูกบันทึกแยกต่างหากจากการตั้งค่าที่กำหนดค่าสำหรับคอมพิวเตอร์ที่ไม่ได้เป็นส่วนหนึ่งของโดเมน การตั้งค่าแต่ละกลุ่มเหล่านี้เรียกว่าโปรไฟล์

คุณต้องเปิดหรือปิดไฟร์วอลล์ Windows

1. เข้าสู่ระบบในฐานะผู้ดูแลระบบ

2. จากเมนู Start เลือกการตั้งค่าและแผงควบคุม

3. ดับเบิลคลิกที่ไอคอน Windows Firewall

4. บนแท็บทั่วไป ให้เลือกรายการใดรายการหนึ่ง พารามิเตอร์ต่อไปนี้:

เพื่อช่วยรักษาคอมพิวเตอร์ของคุณให้ปลอดภัย ไฟร์วอลล์ Windows จะบล็อกคำขอเชื่อมต่อกับคอมพิวเตอร์ของคุณโดยไม่คาดคิด เนื่องจากไฟร์วอลล์จำกัดการสื่อสารระหว่างคอมพิวเตอร์ของคุณกับอินเทอร์เน็ต คุณอาจต้องปรับการตั้งค่าสำหรับบางโปรแกรมที่ต้องการการเชื่อมต่ออินเทอร์เน็ตอย่างง่ายดาย อาจมีข้อยกเว้นสำหรับโปรแกรมเหล่านี้เพื่อให้โปรแกรมสามารถสื่อสารผ่านไฟร์วอลล์ได้

อย่างไรก็ตาม โปรดทราบว่าทุกข้อยกเว้นที่อนุญาตให้โปรแกรมสื่อสารผ่านไฟร์วอลล์ Windows จะทำให้คอมพิวเตอร์มีช่องโหว่ การสร้างข้อยกเว้นเทียบเท่ากับการเจาะรูในไฟร์วอลล์

หากมีช่องโหว่เหล่านี้มากเกินไป ไฟร์วอลล์จะไม่เป็นอุปสรรคที่แข็งแกร่งอีกต่อไป ปกติแล้วหัวขโมยจะใช้ โปรแกรมพิเศษเพื่อค้นหาคอมพิวเตอร์ที่มีการเชื่อมต่อที่ไม่ปลอดภัยทางอินเทอร์เน็ต หากคุณสร้างข้อยกเว้นจำนวนมากและเปิดพอร์ตจำนวนมาก คอมพิวเตอร์ของคุณอาจตกเป็นเหยื่อของผู้โจมตีดังกล่าว

เพื่อลดความเสี่ยงที่อาจเกิดขึ้นเมื่อสร้างข้อยกเว้น:

· โยนข้อยกเว้นเมื่อมีความจำเป็นจริงๆ เท่านั้น

· อย่าสร้างข้อยกเว้นสำหรับโปรแกรมที่ไม่คุ้นเคย

· ลบข้อยกเว้นเมื่อไม่จำเป็นอีกต่อไป

บางครั้งคุณต้องการอนุญาตให้ผู้อื่นสื่อสารกับคอมพิวเตอร์ของคุณ แม้ว่าจะมีความเสี่ยงก็ตาม ตัวอย่างเช่น เมื่อคุณคาดว่าจะได้รับไฟล์ที่ส่งผ่านโปรแกรมส่งข้อความทันที หรือเมื่อคุณต้องการมีส่วนร่วมในการสนทนา เกมเครือข่ายผ่านทางอินเทอร์เน็ต

หากมีการแลกเปลี่ยน ข้อความโต้ตอบแบบทันทีสำหรับบุคคลที่กำลังจะส่งไฟล์ (เช่น ภาพถ่าย) Windows Firewall จะขอให้คุณยืนยันว่าจะยกเลิกการปิดกั้นการเชื่อมต่อและอนุญาตให้ถ่ายโอนภาพถ่ายไปยังคอมพิวเตอร์ของคุณหรือไม่

เพื่ออนุญาตการเชื่อมต่อที่ไม่คาดคิดกับโปรแกรมบนคอมพิวเตอร์ของคุณ Windows Firewall จะใช้แท็บข้อยกเว้น

หากโปรแกรมหรือบริการที่คุณต้องการสร้างข้อยกเว้นไม่อยู่ในแท็บข้อยกเว้น คุณสามารถเพิ่มได้โดยใช้ปุ่มเพิ่มโปรแกรม หากโปรแกรมไม่อยู่ในรายการโปรแกรมที่คุณสามารถเพิ่มได้ ให้คลิก เรียกดู เพื่อค้นหา จากนั้นเปิดอินเทอร์เฟซ Windows Firewall และบนแท็บ ข้อยกเว้น ในกลุ่ม โปรแกรมและบริการ ให้เลือกกล่องกาเครื่องหมายสำหรับโปรแกรมหรือบริการที่ คุณต้องการอนุญาต แล้วคลิกตกลง

หากไม่มีโปรแกรมหรือบริการที่คุณต้องการอนุญาต ให้ทำตามขั้นตอนเหล่านี้: คลิกเพิ่มโปรแกรม ในกล่องโต้ตอบเพิ่มโปรแกรม ให้เลือก โปรแกรมที่จำเป็นและคลิกตกลง โปรแกรมนี้จะปรากฏ (เลือก) บนแท็บข้อยกเว้นในกลุ่มโปรแกรมและบริการ คลิกตกลง

ถ้าโปรแกรมหรือบริการที่คุณต้องการอนุญาตไม่อยู่ในกล่องโต้ตอบเพิ่มโปรแกรม ให้ดำเนินการดังต่อไปนี้: ในกล่องโต้ตอบเพิ่มโปรแกรม คลิกเรียกดู ค้นหาโปรแกรมที่คุณต้องการเพิ่ม แล้วดับเบิลคลิก โปรแกรมจะปรากฏในกลุ่มโปรแกรมในกล่องโต้ตอบเพิ่มโปรแกรม คลิกตกลง โปรแกรมนี้จะปรากฏ (เลือก) บนแท็บข้อยกเว้นในกลุ่มโปรแกรมและบริการ คลิกตกลง

สำหรับบางโปรแกรม หมายเลขพอร์ตไม่ได้ถูกกำหนดไว้ล่วงหน้า โปรแกรมเหล่านี้จะเปิดพอร์ตโดยอัตโนมัติเมื่อจำเป็น เพื่อให้โปรแกรมดังกล่าวเชื่อมต่อกับคอมพิวเตอร์ของคุณ Windows Firewall จะต้องอนุญาตให้โปรแกรมเปิดได้ พอร์ตที่ต้องการ- เพื่อให้โปรแกรมดังกล่าวทำงานได้อย่างถูกต้อง จะต้องแสดงรายการไว้ในแท็บข้อยกเว้นของไฟร์วอลล์

รูปที่ 5 - การเชื่อมต่อโปรแกรมและบริการที่ไม่ได้ตั้งใจ (สำเนาหน้าจอ)

เพื่อช่วยให้คอมพิวเตอร์ของคุณปลอดภัย คุณควรเปิดไฟร์วอลล์ Windows (หรือไฟร์วอลล์อื่นที่คุณเลือก) ไว้ เพื่อบล็อกคำขอเชื่อมต่อกับคอมพิวเตอร์ของคุณโดยไม่คาดคิด หากต้องการเปิดใช้งานการเชื่อมต่อประเภทนี้ คุณต้องอนุญาตข้อยกเว้นหรือเปิดพอร์ตสำหรับโปรแกรมหรือบริการเฉพาะ พอร์ตคือทางเข้าสู่คอมพิวเตอร์ของคุณซึ่งสามารถถ่ายโอนข้อมูลได้ หากคุณกำลังแลกเปลี่ยนข้อความโต้ตอบแบบทันทีกับบุคคลที่กำลังจะส่งไฟล์ Windows Firewall จะขอให้คุณยืนยันว่าการเชื่อมต่อถูกปลดบล็อกแล้ว และอนุญาตให้ถ่ายโอนไฟล์ไปยังคอมพิวเตอร์ของคุณได้ หากคุณต้องการเล่นเกมออนไลน์ผ่านอินเทอร์เน็ตกับเพื่อน ๆ คุณสามารถเพิ่มเกมดังกล่าวเป็นข้อยกเว้นเพื่ออนุญาตให้ไฟร์วอลล์อนุญาตให้ข้อมูลเกมเข้าสู่คอมพิวเตอร์ของคุณได้

ทั้งหมด เปิดพอร์ตซึ่งทำให้โปรแกรมสามารถสื่อสารผ่าน Windows Firewall ทำให้คอมพิวเตอร์มีช่องโหว่ การเปิดพอร์ตก็เทียบเท่ากับการเจาะรูในไฟร์วอลล์ หากคุณเปิดพอร์ตจำนวนมาก คอมพิวเตอร์ของคุณอาจตกเป็นเหยื่อของแฮกเกอร์ เพื่อลดความเสี่ยงที่อาจเกิดขึ้นเมื่อเปิดพอร์ต:

· เปิดพอร์ตเมื่อจำเป็นจริงๆ เท่านั้น

· อย่าเปิดพอร์ตสำหรับโปรแกรมที่คุณไม่รู้จักดี

· ปิดพอร์ตเมื่อไม่ต้องการอีกต่อไป

รูปที่ 6 - การอนุญาตให้โปรแกรมทำงานผ่านพอร์ต (สำเนาหน้าจอ)

แต่ละพอร์ตมีหมายเลขที่ทำหน้าที่เป็นที่อยู่ โปรแกรมและบริการมากมายมี” ที่อยู่ถาวร" กล่าวคือ หมายเลขพอร์ตถูกกำหนดไว้ล่วงหน้าแล้ว หมายเลขพอร์ตที่จำเป็นสำหรับโปรแกรมหรือบริการสามารถพบได้ในเอกสารของผู้ผลิตหรือบนเว็บไซต์

หากไม่พบโปรแกรม คุณสามารถเปิดพอร์ตได้ เมื่อต้องการกำหนดพอร์ตที่จะเปิด บนแท็บข้อยกเว้น คลิกเพิ่มพอร์ต

เมื่อคุณเพิ่มหรือเปลี่ยนแปลงการตั้งค่าสำหรับบริการหรือ

โปรแกรม ตัวอย่างเช่น สำหรับเกม คุณควรเลือกเงื่อนไขในการเปิดพอร์ต: สำหรับคอมพิวเตอร์เครื่องใดก็ได้หรือเฉพาะคอมพิวเตอร์ในเครือข่ายท้องถิ่นเท่านั้น

หากเลือกตัวเลือกคอมพิวเตอร์ใด ๆ แสดงว่าคอมพิวเตอร์ทุกเครื่องจากอินเทอร์เน็ตหรือจากเครือข่ายท้องถิ่นสามารถเชื่อมต่อกับคอมพิวเตอร์ได้ หากคุณเลือกเท่านั้น เครือข่ายท้องถิ่น, ถึง คอมพิวเตอร์เครื่องนี้เฉพาะคอมพิวเตอร์จากเครือข่ายท้องถิ่นเท่านั้นที่สามารถเชื่อมต่อได้

การป้องกันอีเมล์

เพื่อปกป้องอีเมลของคุณ โปรดทราบว่าคุณและไม่มีใครเป็นภัยคุกคามต่อการติดต่อสื่อสารของคุณได้มากที่สุด คุณคือคนหนึ่งที่ส่งอะไรทางไปรษณีย์ไปที่ แบบฟอร์มเปิด- คุณคือผู้ที่คลิกไฟล์แนบทั้งหมดและตอบคำถามที่เป็นความลับที่สุด รวมถึงเกี่ยวกับคุณด้วย บัญชีเพื่อตอบสนองต่อข้อความในกล่องจดหมายของคุณ คุณเป็นผู้กระจายข้อมูลประจำตัวของคุณไปทางซ้ายและขวา ในที่สุดคุณเองที่ไม่ต้องการฟังคำแนะนำ - เพื่อโอนการติดต่อของคุณไปยังเว็บไซต์ที่ให้ไว้ บริการไปรษณีย์.

จำไว้ว่าถ้าคุณใช้ โปรแกรมรับส่งเมลไม่ต้องกำหนดค่าให้เปิดไฟล์แนบอีเมลโดยอัตโนมัติ ข้อความใดๆ จากบุคคลใดก็ตามสามารถมีสิ่งที่แนบมาในลักษณะที่อันตรายที่สุดได้ เนื่องจากทุกคนสามารถส่งได้ รวมถึงไวรัสที่ติดไวรัสในคอมพิวเตอร์ของผู้ส่ง คุณควรติดตั้งโปรแกรมป้องกันไวรัสและตั้งค่าโหมดให้สแกนเมลขาเข้าอย่างต่อเนื่อง และอัปเดตเครื่องมือป้องกันไวรัสของคุณอย่างต่อเนื่อง หากคุณต้องการดูไฟล์แนบที่น่าสงสัย ให้วางไฟล์ที่ส่งไปไว้ในดิสก์แยกต่างหาก (ฟล็อปปี้ดิสก์) และตรวจหาไวรัส

เพื่อป้องกันข้อความอิเล็กทรอนิกส์จากการปลอมแปลงในชุมชนข้อมูลสมัยใหม่ จึงมีการใช้วิธีการ ลายเซ็นอิเล็กทรอนิกส์- สหพันธรัฐรัสเซียได้นำกฎหมายว่าด้วยลายเซ็นดิจิทัลแบบอิเล็กทรอนิกส์มาใช้ เช่นเดียวกับในประเทศอื่นๆ อีกหลายประเทศ การทำให้ลายเซ็นอิเล็กทรอนิกส์ของคุณถูกต้องตามกฎหมายนั้นไม่ได้ฟรี แต่ถ้าคุณใช้อีเมลเพื่อการติดต่อทางธุรกิจ การส่งจดหมายโดยไม่มีลายเซ็นอิเล็กทรอนิกส์และแม้แต่ในรูปแบบข้อความที่ชัดเจนถือเป็นความประมาทเลินเล่ออย่างสูงสุด

หากคุณไม่มีลายเซ็นดิจิทัลจริงและถูกต้องตามกฎหมาย อย่างน้อยให้ใช้โปรแกรม PGP และแลกเปลี่ยนคีย์ PGP ที่ลงนามแล้วกับพันธมิตรทางธุรกิจของคุณ

การจับรหัสผ่านบัญชีเมลเซิร์ฟเวอร์ถือเป็นปัญหาร้ายแรง มี โปรโตคอลไปรษณีย์ตัวอย่างเช่น APOP (นี่คือโปรโตคอล POP เสริมด้วยการตรวจสอบสิทธิ์ไคลเอนต์) และ SASL (Simple Authentication and Security Layer - ระดับของการตรวจสอบและการป้องกันอย่างง่าย) ซึ่งปกป้องการสื่อสารของลูกค้ากับเซิร์ฟเวอร์อีเมลจากการสกัดกั้นรหัสผ่าน แต่หากต้องการใช้งาน ทั้งไคลเอ็นต์และเซิร์ฟเวอร์บริการอีเมลจำเป็นต้องมีการรองรับโปรโตคอล APOP และ SASL ลองค้นหาว่าสิ่งนี้เป็นจริงหรือไม่จากผู้ให้บริการอินเทอร์เน็ตของคุณ

ปัญหาทั้งหมดนี้หายไปจากบริการเมลที่ให้ผ่านทางเว็บ แทนที่จะตั้งค่าโปรแกรมรับส่งเมลซึ่งไม่ง่ายอย่างที่คิดเมื่อเห็นแวบแรก คุณจะอัปโหลดเว็บเพจการลงทะเบียนไปยังเว็บไซต์ โดยระบุชื่อล็อกอินและรหัสผ่านตลอดจนข้อมูลอื่น ๆ โปรดจำไว้ว่าเมื่อถูกขอให้ระบุที่อยู่บ้าน หมายเลขโทรศัพท์ ชื่อและนามสกุล ฯลฯ คุณไม่ควรให้ข้อมูลที่เป็นความจริง ถัดไปคุณคลิกที่ปุ่ม - และก ตู้ไปรษณีย์บนเซิร์ฟเวอร์ต่างประเทศ ซึ่งเป็นเจ้าของโดยบริษัทที่มีชื่อเสียงซึ่งจะไม่ขายของคุณ ที่อยู่อีเมลผู้ส่งอีเมลขยะทุกประเภท

คุณจะแยกแยะบริษัทที่มีชื่อเสียงจากบริษัทอื่นๆ ได้อย่างไร? หากคุณกำลังทำงานร่วมกับเว็บไซต์ที่ให้บริการ บริการไปรษณีย์จากนั้นไซต์เหล่านี้จะดำเนินการถ่ายโอนข้อมูลที่เป็นความลับทั้งหมดในโหมดปลอดภัยโดยใช้ซ็อกเก็ต SSL (Secure Sockets Layer - โปรโตคอลซ็อกเก็ตที่ปลอดภัย) เมื่อทำงานกับเซิร์ฟเวอร์ที่รองรับซ็อกเก็ต SSL https:// (HyperText Transmission Protocol Secure) จะปรากฏในที่อยู่อินเทอร์เน็ตของไซต์แทนที่จะเป็น http:// และรูปแม่กุญแจจะแสดงในแถบสถานะของเบราว์เซอร์ IE การคลิกที่แม่กุญแจจะเปิดกล่องโต้ตอบพร้อมใบรับรองของเว็บไซต์ ซึ่งคุณสามารถดูได้ทันทีว่าใครเป็นเจ้าของเว็บไซต์นี้ - บริษัท Microsoft ที่มีชื่อเสียงหรือบริษัทที่น่าสงสัย หากไม่มีการตรวจสอบดังกล่าว การติดต่อเซิร์ฟเวอร์อีเมลแทบจะไม่คุ้มค่าเลย - คุณจะไม่รู้ว่าคุณกำลังส่งจดหมายไปที่ไหนและพวกเขาจะทำอะไรกับพวกเขา นอกจากนี้ รหัสผ่านและชื่อของคุณที่ป้อนระหว่างการลงทะเบียนจะเดินทางเป็นข้อความที่ชัดเจนเป็นเวลานาน ซึ่งผู้ที่รักความลับของผู้อื่นสามารถดึงข้อมูลเหล่านั้นออกจากกระแสข้อมูลทั่วไปได้อย่างง่ายดาย และใช้ตามดุลยพินิจของตน

1. ลงทะเบียนบนเว็บไซต์ที่เชื่อถือได้และได้รับการรับรองซึ่งให้บริการอีเมล เช่น http://www.gmail.com ซึ่งทำการสแกนป้องกันไวรัสของอีเมลขาเข้าด้วย

2. เข้ารหัสข้อความของคุณโดยใช้คีย์ PGP สาธารณะของผู้รับ ซึ่งคุณได้รับจากเขาเป็นการส่วนตัวและลงนามกับคุณ ลายเซ็นดิจิทัล, เช่น. ยืนยันความถูกต้องของกุญแจ ทำเช่นเดียวกันกับไฟล์แนบในอีเมล และประหยัดเวลามากยิ่งขึ้น เนื่องจากการเข้ารหัส PGP บีบอัดข้อมูล ตอนนี้ผู้โจมตีทุกคนคงประสบปัญหา เนื่องจากมีเพียงองค์กรที่มีประสิทธิภาพเพียงพอเท่านั้นที่สามารถถอดรหัสคีย์ PGP ที่มีความยาว 2 KB (2,048 บิต) แต่ควรสังเกตว่าหากคีย์ล็อกเกอร์ทำงานบนคอมพิวเตอร์ของคุณ ความพยายามทั้งหมดของคุณเกี่ยวกับการรักษาความปลอดภัยอีเมลจะพังทลายลง

ในกรณีนี้ ผู้โจมตีที่ติดตั้งบั๊กบนคอมพิวเตอร์ของคุณจะรู้รหัสผ่าน ข้อมูลเข้าสู่ระบบ และที่อยู่ทั้งหมดของคุณ เช่นเดียวกับคุณ ดังนั้น ก่อนที่จะตั้งค่าความปลอดภัยของบริการอีเมลของคุณ อย่าลืมตรวจสอบคอมพิวเตอร์ของคุณเพื่อหาโทรจันและ คีย์ล็อกเกอร์- และโปรดจำไว้ว่าสายลับเหล่านี้สามารถติดตั้งได้อย่างง่ายดายในขณะที่คุณกำลังเดินไปที่ไหนสักแห่งโดยไม่ต้องเปิดสกรีนเซฟเวอร์รหัสผ่านหรือปิดคอมพิวเตอร์ของคุณ


ข้อมูลที่เกี่ยวข้อง.