• Обзор программы
• Принцип работы Lan2net
  • Архитектура Lan2net
  • Контроль входящих и транзитных соединений
  • Контроль исходящих соединений
  • Время жизни и обновление текущих IP-соединений
  • Трансляция сетевых адресов (NAT)
• Интерфейс Администратора
  • Запуск
  • Мастер настроек
    • Настройка сетевых соединений
    • Завершение работы мастера
  • Пользователи
    • Работа со списком пользователей
    • Параметры пользователя
    • Статистика
  • Группы пользователей
    • Правила
    • Квоты
    • Локальные адреса
  • Сервисы
    • Сервисы
  • Распределение загрузки канала
    • Регулятор TBF
    • Регулятор DRR
    • Регулятор HTB
  • Соединения
    • Соединения
  • Журнал
    • Журнал
    • Поиск по журналу
  • Мониторинг
    • Мониторинг
  • Параметры
    • Параметры
• Веб сервер
  • Веб сервер
• Клиент
  • Клиент
• Базовая конфигурация
  • Описание базовой конфигурации
• Рекомендации по обеспечению безопасности
  • Антиспуфинг
  • Защита от smurf-атак
• Примеры конфигураций
  • Простые конфигурации
  • Конфигурация с DMZ
• Дополнительно
  • Техническая поддержка
  • Лицензия

Рекомендации по обеспечению безопасности

Установка межсетевого экрана Lan2net NAT Firewall, как и любого другого, сама по себе не обеспечивает сетевой безопасности. Межсетевой экран является всего лишь инструментом для достижения данной цели. От того, как будет настроен межсетевой экран, и зависит безопасность пользователей и ресурсов сети. В данной главе приводятся типовые рекомендации по уточнению базовой конфигурации, созданной Мастером Настройки.

По завершению работы Мастера Настройки создается Пользователи, Группы пользователей и Правила.

Пользователи создаются сразу для диапазона IP-адресов в соответствии с адресом сетевого адаптера. Следует, либо уточнить диапазон IP-адресов в соответствии с реальной конфигурацией вашей сети, либо создать индивидуальные правила для каждого пользователя. В последнем случае, стоит также усилить правило, изменив способ аутентификации на аутентификацию по MAC- и IP-адресу одновременно.

Для сетевого соединения "Интернет" создается пользователь "Из Интернет", служащий для идентификации любого внешнего пользователя. Возможно, нет необходимости, чтобы шлюз в Интернет или ресурсы локальной сети были видны для всех пользователей Интернет. Поэтому следует ограничить диапазон IP-адресов, с которых с разрешен доступ из Интернет.

Если доступ из Интернет к внутренним ресурсам разрешен только для пользователей, зарегистрированных в домене или на шлюзе, то следует применить NTLM-аутентификацию для таких пользователей.

Для этого следует создать еще одну группу пользователей, например, "Аутентифицированный доступ из Интернет". В группе следует создать соответствующие правила, разрешающие доступ к внутренним ресурсам сети. В разделе Пользователи следует создать пользователей, которым будет разрешен доступ из Интернет, с аутентификацией по NTLM. В группе пользователей "Интернет" следует оставить единственное правило, разрешающее доступ на порт 7001 (или другой номер порта, заданный в разделе "Параметры" Интерфейса Администратора).

Кроме вышесказанного, по окончании работы Мастера Настроек, следует скорректировать созданные им правила для пользователей. Мастер настроек создает ряд разрешающих правил для типовых протоколов, таких как HTTP, DNS и т.д. Также он создает правила разрешающие прохождение любых TCP, UDP и ICMP пакетов. Впоследствии, следует удалить данные правила, добавив более конкретные правила взамен, основываясь на реальных потребностей ваших пользователей и сетевых приложений. Список типовых портов и протоколов для типовых приложений и сервисов Windows можно найти здесь.