Как настроить брандмауэр
Обновлено: 21.11.2024
Правила брандмауэра проверяют управляющую информацию в отдельных пакетах и либо блокируют, либо разрешают их в соответствии с заданными вами критериями. Правила брандмауэра можно назначать политике или непосредственно компьютеру.
В этой статье подробно рассказывается, как создать правило брандмауэра. Сведения о настройке модуля брандмауэра см. в разделе Настройка брандмауэра Deep Security.
Чтобы создать новое правило брандмауэра, необходимо:
Когда вы закончите с правилом брандмауэра, вы также можете узнать, как:
Добавить новое правило
Существует три способа добавить новое правило брандмауэра на странице Политики > Общие объекты > Правила > Правила брандмауэра. Вы можете:
- Создайте новое правило. Нажмите «Создать» > «Новое правило брандмауэра».
- Импортируйте правило из XML-файла. Нажмите «Создать» > «Импорт из файла» .
- Скопируйте и затем измените существующее правило. Щелкните правой кнопкой мыши правило в списке «Правила брандмауэра» и выберите «Дублировать». Чтобы изменить новое правило, выберите его и нажмите "Свойства" .
Выберите поведение и протокол правила
Введите имя и описание правила.
Рекомендуется документировать все изменения правил брандмауэра в поле «Описание» правила брандмауэра. Запишите, когда и почему правила были созданы или удалены, чтобы облегчить обслуживание брандмауэра.
Выберите действие, которое правило должно выполнять с пакетами. Вы можете выбрать одно из следующих пяти действий:
К пакету применяется только одно действие правила, а правила (с одинаковым приоритетом) применяются в порядке приоритета, указанном ниже.
Правило может разрешать трафику обходить брандмауэр. Правило обхода позволяет трафику проходить через брандмауэр и механизм предотвращения вторжений с максимально возможной скоростью. Правила обхода предназначены для трафика, использующего протоколы с интенсивным использованием мультимедиа, где фильтрация может быть нежелательной, или для трафика из надежных источников.
Пример создания и использования правила обхода доверенных источников в политике см. в разделе Разрешить доверенному трафику обходить брандмауэр.
Правила обхода являются однонаправленными. Для каждого направления движения требуются явные правила.
- Приоритет: самый высокий
- Тип фрейма: IP
- Протокол: TCP, UDP или другой IP-протокол. (Не используйте вариант «Любой».)
- Исходный и конечный IP-адрес и MAC-адрес: все «Любой»
- Если используется протокол TCP или UDP и направление трафика "входящий", порты назначения должны быть одним или несколькими указанными портами (не "любыми"), а исходные порты должны быть "любыми".
- Если используется протокол TCP или UDP и направление трафика "исходящее", исходные порты должны быть одним или несколькими указанными портами (не "любыми"), а порты назначения должны быть "любыми".
- Расписание: нет.
Если на компьютере не действуют разрешающие правила, разрешается весь трафик, если он специально не заблокирован запрещающим правилом. Когда вы создаете одно разрешающее правило, весь остальной трафик блокируется, если только он не соответствует требованиям разрешающего правила. Есть одно исключение: трафик ICMPv6 всегда разрешен, если только он специально не заблокирован запрещающим правилом.
Выберите приоритет правила. Приоритет определяет порядок применения правил. Если вы выбрали «принудительное разрешение», «запретить» или «обход» в качестве действия правила, вы можете установить приоритет от 0 (низкий) до 4 (самый высокий). Установка приоритета позволяет комбинировать действия правил для достижения эффекта каскадного правила.
Правила с высоким приоритетом применяются раньше, чем правила с низким приоритетом. Например, правило запрета входящих событий порта 80 с приоритетом 3 отбрасывает пакет до того, как к нему будет применено правило принудительного разрешения входящих событий порта 80 с приоритетом 2.
Подробную информацию о том, как действия и приоритет работают вместе, см. в разделе Действия и приоритеты правил брандмауэра.
Выберите направление пакета. Выберите, будет ли это правило применяться к входящему (от сети к хосту) или исходящему (от хоста к сети) трафику.
Отдельное правило брандмауэра применяется только к одному направлению трафика. Возможно, вам потребуется создать пары правил брандмауэра для входящей и исходящей почты для определенных типов трафика.
Выберите тип кадра Ethernet. Термин «кадр» относится к кадрам Ethernet, а доступные протоколы определяют данные, которые несет кадр. Если вы выберете «Другое» в качестве типа кадра, вам необходимо указать номер кадра.
В Solaris агенты Deep Security будут проверять только пакеты с типом кадра IP, а агенты Linux будут проверять только пакеты с типами кадра IP или ARP. Пакеты с другими типами кадров будут пропущены. Обратите внимание, что виртуальное устройство не имеет этих ограничений и может проверять все типы фреймов, независимо от операционной системы виртуальной машины, которую оно защищает.
Если вы выбираете тип фрейма Интернет-протокола (IP), вам необходимо выбрать транспортный протокол .Если вы выберете «Другой» в качестве протокола, вам также потребуется ввести номер протокола.
Выберите источник и место назначения пакета
Выберите комбинацию IP- и MAC-адресов, а также, если они доступны для типа фрейма, порт и специальные флаги для источника и назначения пакета.
Вы можете использовать ранее созданный список IP-адресов, MAC-адресов или портов.
Поддержка типов фреймов на основе IP:
Типы фреймов ARP и REVARP поддерживают только использование MAC-адресов в качестве источников и получателей пакетов.
Вы можете выбрать любые флаги или отдельно выбрать следующие флаги:
Настройка событий и предупреждений правила
При срабатывании правила брандмауэра оно регистрирует событие в Deep Security Manager и записывает данные пакета.
Оповещения
Вы можете настроить правила так, чтобы они также вызывали оповещение, если они регистрируют событие. Для этого откройте свойства правила, нажмите «Параметры» и выберите «Оповещать, когда это правило регистрирует событие».
Только правила брандмауэра с действием, установленным на "Запретить" или "Только журнал", могут быть настроены для запуска оповещения.
Установите расписание для правила
Укажите, должно ли правило брандмауэра быть активным только в запланированное время.
Дополнительную информацию о том, как это сделать, см. в разделе Определение расписания, которое можно применить к правилам.
Назначить контекст правилу
Контексты правил позволяют устанавливать уникальные правила брандмауэра для различных сетевых сред. Контексты обычно используются для обеспечения действия различных правил для ноутбуков, когда они находятся в офисе и за его пределами.
Дополнительную информацию о создании контекста см. в разделе Определение контекстов для использования в политиках.
Пример политики, реализующей правила брандмауэра с использованием контекстов, см. в свойствах политики «Портативный компьютер с Windows Mobile».
Просмотреть политики и компьютеры, которым назначено правило
Вы можете увидеть, какие политики и компьютеры назначены правилу брандмауэра, на вкладке Назначено. Щелкните политику или компьютер в списке, чтобы просмотреть их свойства.
Экспорт правила
Вы можете экспортировать все правила брандмауэра в файл .csv или .xml, нажав Экспорт и выбрав соответствующее действие экспорта из списка. Вы также можете экспортировать определенные правила, сначала выбрав их, нажав Экспорт, а затем выбрав соответствующее действие экспорта из списка.
Удалить правило
Чтобы удалить правило, щелкните его правой кнопкой мыши в списке "Правила брандмауэра", выберите "Удалить", а затем нажмите "ОК" .
Правила брандмауэра, которые назначены одному или нескольким компьютерам или являются частью политики, не могут быть удалены.
Можем поспорить, что на вашем устройстве есть встроенный брандмауэр, но вы никогда не проверяли, включен ли он, и не меняли ли настройки. Если мы правы, читайте дальше!
Брандмауэры – отличные инструменты безопасности, и, к счастью, они встроены в большинство устройств. Однако они ни в коем случае не являются универсальным решением для обеспечения безопасности. Важно знать, что брандмауэр может, а что не может. Брандмауэры — это не то же самое, что антивирусное программное обеспечение, но они являются привратником для трафика в вашу сеть и из нее. Они проверяют входящие пакеты данных и помечают вредоносные. Или, если IP-адрес за пределами вашей локальной сети становится слишком любопытным, брандмауэр NAT в вашем маршрутизаторе блокирует его.
Существует два типа брандмауэров: аппаратные и программные. Аппаратные брандмауэры являются частью вашего маршрутизатора. Не все маршрутизаторы, особенно если вы используете оборудование, предоставленное провайдером, имеют брандмауэр или позволяют изменять настройки. Это стоит проверить! Аппаратный брандмауэр похож на внешнюю стену защиты перед тем, как вы отступите к крепости (также известной как программные брандмауэры для конкретных устройств). Он защищает всю вашу сеть в первой точке подключения.
Программные брандмауэры почти всегда встроены в ваше устройство, но не всегда включены. В частности, у Apple есть брандмауэр приложений, который позволяет изменять настройки брандмауэра для каждого установленного приложения.
Короче говоря, брандмауэры — это хорошо, но нужно немного поработать, чтобы убедиться, что ваш работает именно так, как вы хотите. Ознакомьтесь с рекомендациями по использованию брандмауэра и справкой по конкретным устройствам.
Рекомендации по работе с брандмауэром
Многоуровневая защита — лучший выбор. Даже если у вас есть аппаратные брандмауэры, не экономьте на программном обеспечении. Как мы упоминали ранее, почти на всех устройствах уже установлены брандмауэры — нужно просто включить их и настроить параметры, чтобы убедиться, что ничего из того, что вы хотите, не блокируется от входа или выхода. Брандмауэры должны блокировать большую часть удаленного доступа, но ключевые слова здесь — «должен» и «большинство». Трудно сказать, особенно обычному человеку, есть ли у вас вирус или кто-то получил удаленный доступ к вашей машине. Вот почему исходящие брандмауэры важны: они могут помочь обнаружить вредоносные пакеты, исходящие из вашей сети с вашего устройства.
В качестве дополнительного шага доступны сторонние брандмауэры, которые добавляют дополнительные уровни безопасности вашей деятельности. Это похоже на использование VPN при подключении к бесплатному Wi-Fi: дополнительная безопасность никогда не помешает. (P.S. Убедитесь, что ваш брандмауэр включен и работает при использовании бесплатного Wi-Fi.)
В некоторых случаях вам может понадобиться отключить брандмауэр, например, если вы играете и подключены к многопользовательскому режиму или если брандмауэр мешает работе вашего антивирусного программного обеспечения. Только не забудьте включить его, когда закончите!
Настройка брандмауэра
Независимо от вашего устройства или операционной системы, вы сможете легко найти настройки брандмауэра. Это неудивительно — сведения о брандмауэре вы найдете в разделе общих настроек конфиденциальности и безопасности.
Брандмауэр прикладного уровня Apple (ALF), о котором мы упоминали ранее, требует некоторой работы с точки зрения времени, если вы используете несколько приложений, подключенных к Интернету. С другой стороны, компьютеры Mac довольно сильны с точки зрения встроенной безопасности: их уровень обнаружения почти вдвое выше, чем у компьютеров с Windows. Вы можете включить брандмауэр Mac, выбрав «Системные настройки» > «Конфиденциальность и безопасность» и выбрав вкладку «Брандмауэр».
Для iPhone важно отметить, что встроенный брандмауэр работает только при просмотре в Safari. Это тот случай, когда сторонний брандмауэр пригодится! Есть два основных варианта для iPhone: Guardian и Lockdown. Подробнее о них читайте здесь.
Настройки брандмауэра Microsoft находятся в меню «Пуск» > «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Брандмауэр и защита сети». Однако, если вы хотите создать определенные правила брандмауэра, прочтите это .
Если у вас есть устройство Samsung Android, ура! Подробнее о настройках брандмауэра можно узнать здесь. В противном случае (или дополнительно!), взгляните на этот список лучших брандмауэров для Android.
Прежде чем мы закончим, мы просто оставим вам еще одно напоминание. (И да, мы просверлим это в мозгу каждого, до кого сможем добраться.) Единого решения для кибербезопасности не существует. Ваши устройства имеют встроенные средства защиты, но никогда не думайте, что они работают с максимальной нагрузкой или вообще включены. Будь как луковица — защити себя слоями!
Брандмауэр играет жизненно важную роль в сетевой безопасности, и его необходимо правильно настроить, чтобы защитить организации от утечки данных и кибератак.
Это возможно путем настройки доменных имен и адресов интернет-протокола (IP) для обеспечения безопасности брандмауэра. Конфигурация политики брандмауэра зависит от типа сети, например общедоступной или частной, и может быть настроена с помощью правил безопасности, которые блокируют или разрешают доступ для предотвращения потенциальных атак со стороны хакеров или вредоносного ПО.
Правильная настройка брандмауэра имеет важное значение, поскольку функции по умолчанию могут не обеспечивать максимальную защиту от кибератак.
Важность базовой конфигурации брандмауэра
Неправильная настройка брандмауэра может привести к тому, что злоумышленники получат несанкционированный доступ к защищенным внутренним сетям и ресурсам. В результате киберпреступники постоянно ищут сети с устаревшим программным обеспечением или серверами, которые не защищены. Gartner подчеркнул масштаб и серьезность этой проблемы, предсказав, что в 2020 году 99 % нарушений брандмауэра будут вызваны неправильными настройками.
Настройки по умолчанию для большинства брандмауэров и протоколов, таких как протокол передачи файлов (FTP), не обеспечивают необходимый уровень защиты для защиты сетей от кибератак. Организации должны убедиться, что базовая конфигурация брандмауэра соответствует уникальным потребностям их сетей.
Как настроить брандмауэр
Правильная конфигурация необходима для поддержки внутренних сетей и проверки пакетов с отслеживанием состояния. Вот как безопасно настроить брандмауэр:
1. Защитите брандмауэр
Защита брандмауэра – это первый важный шаг, который гарантирует, что к нему будут иметь доступ только авторизованные администраторы. Сюда входят такие действия, как:
- Обновите последнюю версию встроенного ПО.
- Никогда не запускайте брандмауэры в эксплуатацию без соответствующих настроек
- Удаление, отключение или переименование учетных записей по умолчанию и изменение паролей по умолчанию
- Используйте уникальные надежные пароли
- Никогда не используйте общие учетные записи пользователей. Если брандмауэром будут управлять несколько администраторов, дополнительные учетные записи администраторов должны иметь ограниченные права в зависимости от индивидуальных обязанностей.
- Отключение простого протокола управления сетью (SNMP), который собирает и упорядочивает информацию об устройствах в IP-сетях, или его настройка для безопасного использования
- Ограничение исходящего и входящего сетевого трафика для определенных приложений или протокола управления передачей (TCP)
2.Установите зоны брандмауэра и структуру IP-адресов
Важно определить сетевые активы и ресурсы, которые необходимо защитить. Это включает в себя создание структуры, которая группирует корпоративные активы в зоны на основе схожих функций и уровня риска.
Хорошим примером этого являются серверы, такие как серверы электронной почты, серверы виртуальной частной сети (VPN) и веб-серверы, размещенные в выделенной зоне, которая ограничивает входящий интернет-трафик, часто называемой демилитаризованной зоной (DMZ). Общее правило заключается в том, что чем больше зон создано, тем безопаснее сеть.
Однако наличие большего количества зон также требует больше времени для управления ими. После создания структуры сетевых зон также важно установить соответствующую структуру IP-адресов, которая назначает зоны интерфейсам и субинтерфейсам брандмауэра.
3. Настройка списков контроля доступа (ACL)
Списки управления доступом (ACL) позволяют организациям определять, какой трафик разрешен для входа и выхода из каждой зоны. ACL действуют как правила брандмауэра, которые организации могут применять к каждому интерфейсу брандмауэра и субинтерфейсу.
Списки управления доступом должны содержать конкретные номера портов источника и назначения и IP-адреса. В конце каждого списка ACL должно быть создано правило «запретить все», которое позволяет организациям отфильтровывать неутвержденный трафик. Для каждого интерфейса и субинтерфейса также требуется входящий и исходящий ACL, чтобы гарантировать, что только утвержденный трафик может достигать каждой зоны. Также рекомендуется отключить общий доступ к интерфейсам администрирования брандмауэра, чтобы защитить конфигурацию и отключить незашифрованные протоколы управления брандмауэром.
4. Настройка других служб брандмауэра и ведения журналов
Некоторые брандмауэры можно настроить для поддержки других служб, таких как сервер протокола динамической конфигурации хоста (DHCP), система предотвращения вторжений (IPS) и сервер протокола сетевого времени (NTP). Важно также отключить дополнительные службы, которые не будут использоваться.
Кроме того, брандмауэры должны быть настроены для отправки отчетов в службу регистрации, чтобы соответствовать требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS).
5. Проверьте конфигурацию брандмауэра
После создания конфигураций крайне важно протестировать их, чтобы убедиться, что блокируется правильный трафик и что брандмауэр работает должным образом. Конфигурацию можно протестировать с помощью таких методов, как тестирование на проникновение и сканирование уязвимостей. Не забудьте создать резервную копию конфигурации в безопасном месте на случай каких-либо сбоев в процессе тестирования.
6. Непрерывное управление брандмауэром
Управление и мониторинг брандмауэра имеют решающее значение для обеспечения того, чтобы брандмауэр продолжал функционировать должным образом. Это включает в себя мониторинг журналов, сканирование уязвимостей и регулярную проверку правил. Также важно документировать процессы и постоянно и тщательно управлять конфигурацией, чтобы обеспечить постоянную защиту сети.
Ошибки, которых следует избегать при настройке брандмауэра
Настройка брандмауэра может вызвать трудности, которые обычно можно предотвратить, избегая типичных ошибок, таких как:
- Использование широких политик или неверных настроек брандмауэра может привести к проблемам с сервером, например к проблемам с системой доменных имен (DNS) и подключением.
- Игнорирование исходящего трафика может представлять опасность для сети.
- Использование исключительно брандмауэра для сетевой безопасности или нестандартных методов проверки подлинности может не защитить все корпоративные ресурсы.
Как Fortinet может помочь
Брандмауэр нового поколения (NGFW) фильтрует сетевой трафик, чтобы защитить организации как от внутренних, так и от внешних угроз. Fortinet FortiGate NGFW обладает более глубокими возможностями проверки контента, чем стандартные брандмауэры, что позволяет организациям выявлять и блокировать сложные атаки, вредоносное ПО и другие угрозы. NGFW также обновляются в соответствии с меняющимся ландшафтом киберугроз, поэтому организации всегда защищены от новейших угроз.
Инструмент переноса конфигурации брандмауэра FortiConverter в первую очередь применяется для миграции сторонних конфигураций брандмауэра в FortiOS — для маршрутизации, брандмауэра, преобразования сетевых адресов (NAT), а также политик и объектов VPN. FortiGate NGFW был признан лидером в Магическом квадранте Gartner для сетевых брандмауэров из-за его способности защищать любую периферию любого масштаба и управлять рисками безопасности при одновременном снижении затрат и сложности и повышении операционной эффективности.
Среди многих брандмауэров, доступных на рынке безопасности, есть брандмауэры маршрутизатора. В отличие от программного брандмауэра, брандмауэр маршрутизатора блокирует входящие запросы на уровне сервера, тем самым обеспечивая безопасность всей вашей сети. Поскольку маршрутизатор является конечной точкой большинства сетей и единственной точкой, соединяющей любой компьютер в вашей сети с Интернетом, включение брандмауэра маршрутизатора обеспечивает безопасность вашей сети.
Как настроить брандмауэр маршрутизатора
В этой статье рассказывается, как настроить брандмауэр маршрутизатора или настроить маршрутизатор для активации брандмауэра. Мы также рассмотрим, какие порты нужны вам для нормальной работы.
Открыть страницу конфигурации и настроек брандмауэра маршрутизатора
Прежде чем вы сможете включить брандмауэр маршрутизатора, вам потребуется IP-адрес, чтобы перейти на страницу конфигурации. Чтобы получить адрес, откройте диалоговое окно «Выполнить», нажав клавиши Windows + R. Введите CMD и нажмите Enter.
В командном окне введите IPCONFIG /ALL и нажмите Enter. Запишите IP-адрес, указанный рядом со шлюзом.
Вам нужно будет ввести этот адрес (в виде чисел, включая точки) в адресную строку браузера, чтобы открыть страницу конфигурации маршрутизатора. Этот номер будет работать в большинстве случаев. Если это не работает, обратитесь в службу поддержки маршрутизатора для получения адреса.
Настройка брандмауэра маршрутизатора
Это просто включение/выключение брандмауэра. Если вы установили Windows, скорее всего, операционная система уже настроила ваш маршрутизатор во время установки. Вы также можете настроить его вручную, используя предпочитаемый вами браузер.
- Перейдите на главную страницу маршрутизатора, введя IP-адрес маршрутизатора в браузере (тот, который вы записали в предыдущем разделе, например: 192.168.1.1)
- Проверьте параметр брандмауэра на главной странице маршрутизатора. Этот параметр можно сгруппировать под разными именами, например, «Дополнительные настройки».
- Если брандмауэр деактивирован или не включен, нажмите, чтобы выбрать и активировать его.
На изображении ниже показан включенный брандмауэр на Ethernet-маршрутизаторе Binatone.
Важные порты на компьютере/сети
Для нормального просмотра и работы с электронной почтой достаточно оставить указанные выше порты открытыми. Дополнительные порты могут потребоваться в зависимости от потребностей вашего специального программного обеспечения. В таких случаях программное обеспечение само позаботится об открытии необходимого порта.
Здесь объясняется, как настраивать и настраивать брандмауэр маршрутизатора, а также о том, какие порты следует учитывать при расширенных настройках. Если у вас есть какие-либо вопросы, сомнения или даже советы, поделитесь ими с нами в разделе комментариев. Перейдите сюда, чтобы узнать, как управлять брандмауэром Windows.
По теме: Как получить доступ к настройкам маршрутизатора WiFi и изменить их.
Похожие записи
Различные типы брандмауэров: их преимущества и недостатки
MSI Afterburner не определяет GPU в Windows 11/10
Где найти характеристики компьютерного оборудования в Windows 11/10
[электронная почта защищена]
Арун Кумар — выпускник Microsoft MVP, одержимый технологиями, особенно Интернетом. Он занимается мультимедийным контентом, необходимым для обучения и корпоративных домов. Подпишитесь на него в Твиттере @PowercutIN
Читайте также: