Какой сетевой фильтр выбрать для компьютера
Обновлено: 21.11.2024
Пользователю Windows 10 доступно множество вариантов управления компьютерными сетями, как проводными, так и беспроводными. Некоторые из них невероятно важны, в то время как другие менее полезны с точки зрения безопасности.
В этой статье мы рассмотрим, почему фильтрация MAC-адресов относится ко второй категории. Эти знания важны, поскольку широко распространено мнение, что фильтрация MAC-адресов является эффективной мерой сетевой безопасности.
Если быть кратким и точным, это не так, и это совершенно определенно так. Хотя этот процесс, безусловно, имеет некоторую пользу и преимущества в конкретных обстоятельствах, с точки зрения устранения внешних угроз он на несколько ступеней выше совершенно бесполезен.
Читайте дальше, чтобы узнать все о фильтрации MAC-адресов, о том, как это сделать в Windows 10, когда это делать и, самое главное, когда от этого НЕ нужно зависеть.
Введение в MAC-адреса и фильтрацию
Все компьютеры используют аппаратное обеспечение, называемое контроллером сетевого интерфейса (также называемое сетевой картой), для подключения ко всем сетям, локальным и глобальным. Адрес управления доступом к среде (MAC) — это уникальный идентификатор, назначаемый каждой сетевой карте — и, соответственно, ПК, которому она принадлежит, — в компьютерной сети.
Если вы хотите управлять правами доступа к сети, это можно легко сделать с помощью этих MAC-адресов. Любому ПК, чей MAC-адрес находится в белом списке, разрешен доступ к сетевым портам, а тем, кто находится в черном списке, доступ запрещен или заблокирован. Весь этот процесс называется фильтрацией MAC-адресов.
Если ваш компьютер поддерживает как Ethernet, так и Wi-Fi, это означает, что он имеет два отдельных адаптера — проводной и беспроводной. Если вы используете программное обеспечение для виртуализации, их может быть еще больше! Поскольку MAC-адреса привязаны к сетевым картам, а не к их компьютерам, довольно часто можно увидеть, как один компьютер содержит несколько MAC-адресов.
Вы можете идентифицировать MAC-адрес по его формату — последовательности из 12 шестнадцатеричных цифр, расположенных как «00-00-00-00-00-00-00».
Поиск MAC-адресов на ПК с Windows 10
Самый быстрый способ посмотреть MAC-адреса на ПК с ОС Windows — использовать командную строку. Запустите экземпляр, нажав кнопку «Пуск» и введя «CMD». Запустите его, и появится окно командной строки. Введите команду «ipconfig/all» и выполните ее, нажав Enter.
В следующем списке вы можете найти MAC-адреса отдельных карт, взглянув на запись рядом с «Физический адрес». Это будет 12-значное шестнадцатеричное число. Если вам нужен строгий метод на основе графического интерфейса, перейдите в меню «Настройки». Перейдите в раздел Сеть и Интернет и щелкните имя любого активного подключения. В нижней части «Свойства» вы можете найти «Физический адрес (MAC)».
Как полезна фильтрация MAC-адресов
MAC-адрес подобен государственному удостоверению личности или номеру социального страхования, который выдается гражданам. Это постоянный адрес устройства в сети, который никогда не меняется при нормальных обстоятельствах. Напротив, IP-адреса сетевых устройств постоянно меняются, если системный администратор не установил их как «статические».
Таким образом, MAC-адрес дает сетевым администраторам надежный адрес для отслеживания известных устройств в системе. Они представляют собой эффективную форму контроля доступа, которая в основном похожа на работу вышибалы перед ночным клубом. Если вы в его списке, вы в нем; если нет, держись подальше!
В личных и домашних сетях фильтрация MAC-адресов менее полезна, если только в ней не задействовано несколько сетей и много пользователей/устройств. Или если вы родитель, который хочет ограничить доступ ваших детей к Интернету в определенные часы дня.
В противном случае лучше всего использовать фильтрацию MAC-адресов на предприятии или в учреждении.
В больших сложных сетях с несколькими шлюзами и точками доступа администраторы могут использовать фильтрацию MAC-адресов, чтобы ограничить доступ пользователей к определенным сетям. В основном это служит организационным или административным целям.
Управление фильтрацией MAC-адресов в Windows 10
Чтобы включить или отключить фильтрацию MAC-адресов в Windows 10, вам необходимо получить доступ к сетевому маршрутизатору. В большинстве современных случаев это ваш домашний беспроводной маршрутизатор. Все маршрутизаторы имеют IP-адрес, который вы можете использовать для доступа к элементам управления с помощью браузера.
Этот IP-адрес обычно указывается в документации маршрутизатора. Если у вас его нет, вы можете найти его в командной строке, используя только команду ipconfig. В списке сетей найдите свое активное соединение и запишите его шлюз по умолчанию.
Введите это число, которое обычно выглядит как 192.173.1.0, в адресную строку браузера и нажмите Enter. Когда вы попадете на страницу маршрутизатора, вам нужно будет ввести свой идентификатор администратора маршрутизатора и пароль.
В настройках фильтрация MAC-адресов обычно находится в разделе «Дополнительные настройки», «Безопасность», «Контроль доступа» или что-то подобное. Его точное расположение зависит от марки маршрутизатора.Внутри у вас есть возможность выбрать форму фильтрации с помощью следующих двух опций:
- Черный список: запретить доступ к определенным MAC-адресам
- Белый список: предоставление доступа только к определенным MAC-адресам
Выберите тот, который вы предпочитаете, и добавьте/удалите MAC-адреса устройств, которые существуют в вашей сети. Сохраните и выйдите из настроек маршрутизатора, чтобы сделать эти изменения постоянными.
Недостатки фильтрации MAC-адресов
Полезность фильтрации MAC-адресов с точки зрения безопасности является спорной темой. Хотя фильтрация MAC-адресов широко рекламируется как мера безопасности, сама по себе она не способна защитить вашу сеть от взлома.
Возвращаясь к аналогии с «вышибалой», использованной ранее, мы можем определить основной недостаток фильтрации MAC-адресов как меры безопасности. Это эффективно только в том случае, если хакер не имеет доступа ни к одной из двух частей информации:
- Белый список MAC-адресов сети
- По крайней мере один из MAC-адресов устройства, подключенного к сети (в случае системы фильтрации MAC-адресов, занесенной в черный список)
Если хакер сможет получить доступ к MAC-адресу, имеющему доступ к сети, он сможет выдать себя за это устройство и поставить под угрозу безопасность сети. И они могут легко найти MAC-адреса, отслеживая сетевой трафик с помощью таких наборов инструментов, как Kali Linux и Wireshark.
Это полезно для хакеров, потому что они могут использовать технику, называемую "спуфинг", чтобы легко изменить MAC-адрес своего устройства. Фактически, в Windows 10 любой может сделать это, выполнив следующие действия:
- Откройте Диспетчер устройств и разверните категорию "Сетевые адаптеры".
- Выберите адаптер Ethernet или беспроводной сети, щелкните правой кнопкой мыши и перейдите в раздел "Свойства".
- На вкладке "Дополнительно" найдите "Локально администрируемый адрес" в поле "Свойство".
- Выберите его и удалите связанный с ним MAC-адрес в поле «Значение».
- Замените его другим 12-значным шестнадцатеричным числом по вашему выбору без дефисов и пробелов.
- Изменения вступят в силу после перезагрузки системы.
- Вы можете проверить изменения, используя ipconfig/all из командной строки.
Ключевые выводы
Фильтрация MAC-адресов — это полезный инструмент сетевого администрирования с ограниченным потенциалом безопасности. Его можно использовать в качестве дополнительного уровня защиты поверх базовых уровней, таких как протоколы безопасности WPA2-AES. Но как самостоятельная мера безопасности она крайне неадекватна.
Даже обычные пользователи с правами администратора на ПК с Windows могут изменять его MAC-адреса. И хакеры могут довольно легко найти MAC-адреса устройств, подключенных к сети, с помощью инструментов мониторинга. Объедините эти два недостатка, и мы легко поймем, почему эксперты рассматривают фильтрацию MAC-адресов как потенциальную проблему в области сетевой безопасности. Кроме того, при наличии большого количества устройств/сетевых адаптеров настройка занимает очень много времени.
Существует два типа сетевых адаптеров. Проводной адаптер позволяет нам настроить подключение к модему или маршрутизатору через Ethernet на компьютере, тогда как беспроводной адаптер идентифицирует удаленные точки доступа и подключается к ним. Каждый адаптер имеет отдельную метку, известную как MAC-адрес, которая распознает и аутентифицирует компьютер. Mac-адрес отображается в формате 00:00:00:00:00:00 или 00-00-00-00-00-00.
Он используется в корпоративных беспроводных сетях с несколькими точками доступа, чтобы клиенты не могли взаимодействовать друг с другом. Точка доступа может быть настроена так, чтобы клиенты могли общаться только со шлюзом по умолчанию, но не с другими беспроводными клиентами. Повышает эффективность доступа к сети
Маршрутизатор позволяет настроить список разрешенных MAC-адресов в своем веб-интерфейсе, позволяя вам выбирать, какие устройства могут подключаться к вашей сети. Маршрутизатор имеет ряд функций, предназначенных для повышения безопасности сети, но не все из них полезны. Управление доступом к среде может показаться выгодным, но есть определенные недостатки.
В беспроводной сети устройство с соответствующими учетными данными, такими как SSID и пароль, может пройти аутентификацию на маршрутизаторе и присоединиться к сети, которая получает IP-адрес и доступ к Интернету и любым общим ресурсам.
Фильтрация MAC-адресов добавляет дополнительный уровень безопасности, который проверяет MAC-адрес устройства по списку согласованных адресов. Если адрес клиента совпадает с адресом в списке маршрутизатора, доступ предоставляется, в противном случае он не подключается к сети.
- Настройте список разрешенных устройств. Только те MAC-адреса, которые есть в списке, будут предоставлять услуги DHCP.
- Настройте список запрещенных устройств. MAC-адреса, находящиеся в списке запрещенных, не будут предоставлены DHCP-сервером.
- Если MAC-адрес есть и в разрешенном, и в запрещенном списке, ему будет отказано в обслуживании.
- Перейдите в консоль DHCP, щелкните правой кнопкой мыши узел IPv4 и выберите свойства.
- Используйте сведения о текущей конфигурации фильтра на вкладке фильтра и используйте список разрешений, выбрав «Включить список разрешений», и используйте список запрещенных, выбрав «Включить список запретов».
- Нажмите "ОК" и сохраните изменения.
Обновление фильтрации Mac.
Обратите внимание, что если фильтрация MAC-адресов включена на беспроводном маршрутизаторе и MAC-адрес не введен, беспроводное устройство, подключенное к маршрутизатору, не сможет подключиться.
Нам это не нужно. чтобы включить фильтрацию MAC-адресов, если она уже отключена в целях устранения неполадок. Производители маршрутизаторов более осведомлены в этой области.
- Перейдите к настройкам маршрутизатора.
В настройках роутера найдите вкладку или настройку «Фильтрация MAC-адресов». Это можно найти в параметрах маршрутизатора «Беспроводная сеть» или «Безопасность беспроводной сети». В некоторых маршрутизаторах фильтрация MAC-адресов также может называться «Контроль MAC-адресов», «Резервирование адресов» или «Беспроводная аутентификация MAC». - Необходимо добавить MAC-адрес системы Nintendo в список разрешенных устройств и сохранить или применить это изменение, если фильтрация MAC-адресов включена или включена. Если вы не хотите, чтобы в вашей сети была включена фильтрация MAC-адресов, выключите или отключите ее.
Примечание. Вы можете включить фильтр MAC-адресов на маршрутизаторе Linksys Wireless-N на странице Wireless > Wireless MAC Filter. Мы можем сделать это на маршрутизаторах NETGEAR через РАСШИРЕННЫЕ > Безопасность > Контроль доступа и на маршрутизаторах D-Link через РАСШИРЕННЫЕ > СЕТЕВОЙ ФИЛЬТР.S
- Это отнимает много времени и утомительно, особенно если у вас много устройств с поддержкой Wi-Fi, поскольку вам нужно будет получить MAC-адрес для каждого устройства. Список разрешенных устройств следует изменять каждый раз, когда мы хотим приобрести новый компьютер или мобильное устройство или когда мы хотим предоставить разрешение новому устройству.
- Для ПК необходимо добавить два MAC-адреса: один для проводного адаптера, а другой для беспроводного адаптера.
- Это не защитит от хакеров, которые знают, что делают. Но вы можете использовать его для детей, чтобы запретить доступ, поскольку у них нет достаточных знаний.
- Это может сделать сеть менее безопасной, поскольку теперь хакеру вообще не нужно взламывать ваш зашифрованный пароль WPA2.
Безопасность.
Исследуя пакет с помощью Wireshark, хакеры с помощью набора инструментов, такого как Kali Linux, могут получить доступ к сети, поскольку они могут получить MAC-адрес разрешенных устройств, а затем они могут изменить MAC-адрес своего устройства на разрешенный MAC-адрес. и подключитесь, изображая из себя это устройство. Они могут использовать атаку «deauth» или «deassoc», которая принудительно отключает устройство от сети Wi-Fi, или использовать aireplay-ng для отправки пакетов отключения клиентам и последующего подключения вместо устройства. Однако MAC-адреса беспроводных клиентов не могут быть действительно изменены, потому что они закодированы в аппаратном обеспечении. Но некоторые критики заметили, что MAC-адреса можно подделать. Все, что нужно злоумышленнику, — это знать один из действительных адресов. Им не нужно взламывать шифрование для доступа к вашей сети или взламывать ваш зашифрованный пароль WPA2. Им просто нужно притвориться доверенным компьютером.
Фильтрация MAC-адресов не позволит обычным хакерам получить доступ к сети. Большинство пользователей компьютеров не знают, как обмануть свой MAC-адрес, не говоря уже о том, чтобы найти список разрешенных адресов маршрутизатора. В отличие от доменных фильтров, они не останавливают поток трафика по сети.
Возникает общее сомнение, как хакеры могут получить наш MAC-адрес, если они не могут подключиться к сети. Слабость Wi-Fi заключается в том, что даже если есть сеть с шифрованием WPA2, MAC-адреса в этих пакетах не шифруются. Это означает, что любой, у кого установлено программное обеспечение для анализа сети и беспроводная карта в диапазоне вашей сети, может легко получить все MAC-адреса, которые взаимодействуют с вашим маршрутизатором.
Брандмауэры с фильтрацией пакетов работают на сетевом уровне (уровень 3) модели OSI. Брандмауэры с фильтрацией пакетов принимают решения об обработке на основе сетевых адресов, портов или протоколов.
Брандмауэры с фильтрацией пакетов работают очень быстро, потому что в принимаемых ими решениях не так уж много логики. Никакой внутренней проверки трафика они не проводят. Они также не хранят никакой информации о состоянии. Вы должны вручную открыть порты для всего трафика, который будет проходить через брандмауэр.
Брандмауэры с фильтрацией пакетов считаются не очень безопасными. Это связано с тем, что они будут перенаправлять любой трафик, проходящий через утвержденный порт. Таким образом, может быть отправлен вредоносный трафик, но пока он находится на приемлемом порту, он не будет заблокирован.
Диспетчерский контроль и сбор данных
Статический фильтр пакетов
Брандмауэры с фильтрацией пакетов относятся к старейшим архитектурам брандмауэров. Брандмауэр со статической фильтрацией пакетов работает только на сетевом уровне (уровень 3) модели OSI и не различает протоколы приложений.Брандмауэр этого типа решает, принимать или отклонять отдельные пакеты, основываясь на проверке полей в заголовках IP-адреса и протокола пакета. Статический пакетный фильтр не влияет на производительность в сколько-нибудь заметной степени, а его низкие требования к обработке сделали этот вариант привлекательным на раннем этапе по сравнению с другими брандмауэрами, которые снижали скорость отклика. Однако современные межсетевые экраны более высокого уровня также обеспечивают превосходную производительность. Кроме того, более быстрые сети лучше справляются с более высокими требованиями к обработке брандмауэра, работающего на более высоком уровне стека OSI.
Брандмауэр с фильтрацией пакетов фильтрует IP-пакеты на основе IP-адреса источника и получателя, а также порта источника и получателя. В пакетном фильтре могут отсутствовать средства ведения журнала, что делает его непрактичным для организации, имеющей требования соответствия и отчетности, которых они должны придерживаться. Кроме того, поскольку он проверяет только заголовки пакетов, злоумышленники могут обойти статический фильтр пакетов с помощью простых методов спуфинга, поскольку фильтр не может отличить настоящий адрес от поддельного. Другим ограничением является то, что для более крупных установок статический фильтр пакетов становится громоздким, поскольку правила фильтрации пакетов проверяются в последовательном порядке, и необходимо соблюдать осторожность при вводе правил в базу правил. Другое неотъемлемое ограничение заключается в том, что статический фильтр пакетов не проверяет весь пакет, что позволяет злоумышленнику скрыть вредоносные команды внутри непроверенных заголовков или внутри самой полезной нагрузки. Наконец, статический фильтр пакетов не учитывает состояние, поэтому администратору необходимо настроить правила для обеих сторон диалога. Сегодня этот тип брандмауэра считается очень простым и ограниченным и даже может быть включен в операционные системы в качестве «дополнительного».
Защита внутренней сети от внешней сети и Интернета
Тим Спид, Хуанита Эллис, Internet Security, 2003 г.
5.1.2 Оценка правильного типа брандмауэра(ов) для вашего предприятия
Основной функцией брандмауэра является защита внутренних конфиденциальных данных от внешнего мира. Существует три основных типа брандмауэров, используемых для защиты внутренней сети предприятия, но любое устройство, которое из соображений безопасности контролирует трафик, проходящий через сеть, может считаться брандмауэром. Три основных типа брандмауэров используют разные методы для выполнения одной и той же задачи — защиты внутренней сети. Самый простой тип брандмауэра — это устройство фильтрации пакетов, также известное как экранирующий маршрутизатор. Брандмауэры с фильтрацией пакетов — это маршрутизаторы, работающие на нижних уровнях стека сетевых протоколов. На более высоком уровне находятся шлюзы прокси-серверов, которые выполняют прокси-сервисы для внутренних клиентов, регулируя входящий внешний сетевой трафик, а также отслеживая и обеспечивая контроль трафика исходящих внутренних пакетов. Третий тип брандмауэра, известный как шлюз на уровне канала, основан на методах проверки с отслеживанием состояния. «Проверка состояния» — это метод фильтрации, который требует компромисса между производительностью и безопасностью. Давайте рассмотрим три основных типа брандмауэров.
Брандмауэры с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов позволяют фильтровать IP-адреса одним из двух основных способов:
Разрешение доступа к известным IP-адресам
Запрет доступа к IP-адресам и портам
Например, разрешив доступ к известным IP-адресам, вы можете разрешить доступ только к признанным, установленным IP-адресам или запретить доступ ко всем неизвестным или непризнанным IP-адресам.
Согласно отчету CERT, наиболее выгодно использовать методы фильтрации пакетов, чтобы разрешить только одобренный и известный сетевой трафик в максимально возможной степени. Использование фильтрации пакетов может быть очень экономичным средством добавления контроля трафика к уже существующей инфраструктуре маршрутизатора.
Фильтрация IP-пакетов тем или иным образом выполняется всеми брандмауэрами. Обычно это делается через маршрутизатор с фильтрацией пакетов. Маршрутизатор будет фильтровать или проверять пакеты, проходящие через интерфейсы маршрутизатора, работающие в рамках политики брандмауэра, установленной предприятием. Пакет — это часть информации, которая передается по сети. Маршрутизатор фильтрации пакетов проверяет путь, по которому идет пакет, и тип информации, содержащейся в пакете. Если пакет проходит тесты политики брандмауэра, ему разрешается продолжить свой путь. Информация, которую ищет маршрутизатор фильтрации пакетов, включает (1) IP-адрес источника пакета и исходный порт TCP/UDP и (2) IP-адрес назначения и порт TCP/UDP назначения пакета.
Некоторые брандмауэры с фильтрацией пакетов могут фильтровать только IP-адреса, а не порт TCP/UDP источника, но наличие фильтрации TCP или UDP в качестве функции может обеспечить гораздо большую маневренность, поскольку трафик может быть ограничен для всех входящих подключений, кроме выбранные предприятием.
Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на маршрутизаторах специального назначения. Оба имеют свои преимущества и недостатки. Основное преимущество компьютера общего назначения состоит в том, что он предлагает неограниченную функциональную расширяемость, а недостатками являются средняя производительность, ограниченное количество интерфейсов и недостатки операционной системы. Преимуществами специализированного маршрутизатора являются большее количество интерфейсов и повышенная производительность, а недостатками — ограниченная функциональная расширяемость и более высокие требования к памяти.
Несмотря на то, что брандмауэры с фильтрацией пакетов менее дороги, чем другие типы, и поставщики улучшают свои предложения, они считаются менее желательными с точки зрения удобства обслуживания и настройки. Они полезны для контроля и ограничения полосы пропускания, но им не хватает других функций, таких как возможности ведения журнала. Если политика брандмауэра не ограничивает определенные типы пакетов, пакеты могут остаться незамеченными до тех пор, пока не произойдет инцидент. Предприятиям, использующим брандмауэры с фильтрацией пакетов, следует искать устройства, обеспечивающие подробное ведение журнала, упрощенную настройку и проверку политик брандмауэра.
Прокси-сервер или шлюз приложений
Прокси-серверы, также называемые прокси-серверами приложений или шлюзами приложений, используют тот же метод, что и фильтр пакетов, поскольку они проверяют, куда направляется пакет, и тип информации, содержащейся в пакете. Однако прокси-сервер приложения не просто пропускает пакет к месту назначения; он доставляет пакет для вас.
Скрытие адресов всех внутренних компьютеров снижает риск получения хакерами информации о внутренних данных предприятия. В прошлом использование прокси-серверов приводило к снижению производительности и прозрачности доступа к другим сетям. Однако в новых моделях некоторые из этих проблем решены.
Шлюзы приложений устранили некоторые недостатки, связанные с устройствами фильтрации пакетов в отношении приложений, которые перенаправляют и фильтруют соединения для таких служб, как Telnet и FTP. Однако шлюзы приложений и устройства фильтрации пакетов не обязательно использовать независимо друг от друга. Совместное использование брандмауэров шлюза приложений и устройств фильтрации пакетов может обеспечить более высокий уровень безопасности и гибкости, чем использование любого из них по отдельности. Примером этого может служить веб-сайт, который использует брандмауэр с фильтрацией пакетов, чтобы блокировать все входящие соединения Telnet и FTP и направлять их к шлюзу приложений. С помощью шлюза приложений исходный IP-адрес входящих пакетов Telnet и FTP может быть аутентифицирован и зарегистрирован, и если информация, содержащаяся в пакетах, соответствует критериям приемлемости шлюза приложений, создается прокси-сервер и разрешается соединение между шлюз и выбранный внутренний хост. Шлюз приложений будет разрешать только те соединения, для которых создан прокси. Эта форма системы брандмауэра позволяет только тем службам, которые считаются заслуживающими доверия, проходить во внутренние системы предприятия и предотвращает прохождение ненадежных служб без мониторинга и контроля со стороны системных администраторов брандмауэра.
Преимущества шлюзов приложений многочисленны. Сокрытие исходного IP-адреса клиента от внешних систем обеспечивает дополнительную защиту от посторонних глаз хакеров, стремящихся извлечь информацию из ваших внутренних систем. Использование функций ведения журнала и аутентификации служит для идентификации и авторизации внешних служб, пытающихся войти в вашу внутреннюю сеть. Нежелательных и непрошенных гостей можно распознать и не допустить. Это также очень экономичный подход, поскольку любые сторонние устройства для аутентификации и ведения журнала должны располагаться только на шлюзе приложений. Шлюзы приложений также позволяют использовать более простые правила фильтрации. Вместо того, чтобы направлять трафик приложений в несколько разных систем, его нужно направлять только к шлюзу приложений; весь остальной трафик может быть отклонен.
Многие типы шлюзов приложений также поддерживают электронную почту и другие службы в дополнение к Telnet и FTP. Поскольку шлюзы приложений направляют множество форм трафика приложений, они позволяют применять политики безопасности, основанные не только на исходных и целевых IP-адресах и службах, но и на реальных данных, содержащихся в пакетах приложений.
В случае шлюза приложений, который собирает и маршрутизирует электронную почту между интрасетью, экстранетом и Интернетом, все внутренние пользователи будут отображаться в форме, основанной на имени шлюза приложений электронной почты, например, [ электронная почта защищена] Шлюз приложений электронной почты будет направлять почту из Экстранета или Интернета по внутренней сети.Внутренние пользователи могут отправлять почту извне либо непосредственно со своих хостов, либо через шлюз приложения электронной почты, который направляет почту на хост назначения. Шлюзы приложений также могут отслеживать и отсеивать пакеты электронной почты, содержащие вирусы и другие нежелательные формы коммерческой электронной почты, от проникновения во внутренние области вашего бизнеса.
Как и в случае брандмауэров с фильтрацией пакетов, шлюзы приложений обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на специальных прокси-серверах.
Устройства фильтрации пакетов в целом работают быстрее, чем шлюзы приложений, но, как правило, им не хватает безопасности, предлагаемой большинством прокси-сервисов.
Учитывая дополнительную сложность шлюзов приложений по сравнению с брандмауэрами с фильтрацией пакетов, при оценке потребностей вашего предприятия в брандмауэрах следует учитывать дополнительные вычислительные ресурсы и стоимость поддержки такой системы. Например, в зависимости от ваших требований хост может поддерживать от сотен до тысяч прокси-процессов для всех одновременных сеансов, используемых в вашей сети. Как и в случае с большинством бизнес-решений, чем выше требуемая производительность, тем выше затраты, которые будут понесены для достижения этой дополнительной производительности.
Шлюзы уровня схемы
Шлюз уровня канала аналогичен шлюзу приложений, за исключением того, что ему не нужно понимать тип передаваемой информации. Например, серверы SOCKS могут выступать в качестве шлюзов на уровне каналов. «SOCKS» — это протокол, который сервер использует для приема запросов от клиента во внутренней сети, чтобы он мог отправлять их через Интернет. SOCKS использует сокеты для мониторинга отдельных подключений.
Шлюзы на уровне канала выполняют проверку с отслеживанием состояния или динамическую фильтрацию пакетов для принятия решений о фильтрации. Хотя шлюзы цепного уровня иногда группируются со шлюзами приложений, они принадлежат к отдельной категории, поскольку они не выполняют никакой дополнительной оценки данных в пакете, кроме установления разрешенных соединений между внешним миром и внутренней сетью.
Проверка с отслеживанием состояния — это функция шлюза на уровне канала, которая обеспечивает более надежную проверку, чем предлагаемая устройствами фильтрации пакетов, поскольку для принятия решений по фильтрации используются как содержимое пакета, так и предыдущая история пакетов. Эта проверка является «дополнительной» функцией, поэтому устройство шлюза на уровне канала также служит маршрутизатором.
Эта дополнительная функция обеспечивает повышенную производительность по сравнению с прокси-серверами приложений за счет компромисса между критериями производительности и безопасности.
Шлюзы на уровне каналов предлагают расширенные возможности мониторинга безопасности по сравнению с брандмауэрами с фильтрацией пакетов, но по-прежнему полагаются на хорошо продуманную базовую структуру маршрутизации и, как и прокси-серверы приложений, могут быть настроены для определения расширенного решения о доступе. изготовление.
Важно обеспечить безопасность ваших детей в Интернете, поэтому покупка лучшего программного обеспечения для интернет-фильтров является важной покупкой.
Покупка лучшего программного обеспечения интернет-фильтра жизненно важна для обеспечения безопасности ваших детей в Интернете. Детям еще никогда не было так легко получить доступ к Интернету, что, к сожалению, означает, что они никогда еще не были так подвержены потенциальным опасностям.
Если вы установите высококачественный фильтр, вы сможете позволить своим детям безопасно просматривать веб-страницы, зная, что они с меньшей вероятностью наткнутся на неприемлемый контент. Лучшие продукты для интернет-фильтров предлагают множество функций для обеспечения безопасности ваших детей. К ним относятся возможность блокировать вредоносные веб-сайты, ограничивать доступ ваших детей к социальным сетям и даже запрещать им скачивать файлы. Это обеспечивает их безопасность, а также обеспечивает безопасность ваших устройств.
Некоторые ведущие инструменты также позволяют родителям устанавливать ограничения по времени использования экрана, просматривать отчеты об использовании Интернета и даже отслеживать местонахождение детей. Такие функции идеально подходят, если ваш ребенок слишком склонен к чрезмерному просмотру или блужданию.
Важно знать, что такое программное обеспечение будет работать на всех устройствах, которыми пользуются ваши дети. Независимо от того, используют ли они лучшие смартфоны, лучшие ноутбуки или домашние компьютеры, многие из перечисленных ниже инструментов защитят их.
После того, как вы определились с тем, какая операционная система вам нужна, вам также необходимо решить, что лучше для вас: полный пакет программного обеспечения для обеспечения безопасности в Интернете или достаточно отдельного решения. Мы просмотрели множество вариантов и взвесили, что лучше всего подходит для обеспечения безопасности ваших детей в Интернете. Важно также учитывать ценообразование, поскольку ни у кого нет бесконечного бюджета, даже если безопасность является таким приоритетом.
Нам есть над чем подумать, поэтому мы сузили список до шести лучших вариантов интернет-фильтров. Каждый из них обеспечит безопасность ваших детей в Интернете, независимо от того, используете ли вы один из лучших смартфонов, лучший ноутбук, лучший домашний компьютер или их комбинацию, но полезно оценить функции, которые они все предлагают, а также их производительность при повседневном использовании.
Qustodio работает на ПК и телефонах и имеет 29 категорий фильтров и контроль времени. Подробные родительские отчеты включают изображения сайтов, которые посещает ваш ребенок, а также чат и текстовые сообщения, которые он отправляет и получает.
Прежде чем сделать решительный шаг, очень важно убедиться, что любое программное обеспечение будет работать на устройствах, которыми пользуются ваши дети, независимо от того, используют ли они лучшие смартфоны, лучшие ноутбуки или лучшие домашние компьютеры. Некоторые фильтры работают везде, а другие работают только в определенных операционных системах.
И последнее соображение: некоторые полные пакеты безопасности включают в себя модули интернет-фильтрации, а другие доступны в виде автономных сторонних инструментов. Мы взвесим, сможете ли вы обезопасить своих детей с помощью фильтра, который уже есть в существующем продукте для интернет-безопасности, или вам нужен более надежный автономный продукт с дополнительными функциями.
Чтобы обеспечить безопасность ваших детей в Интернете, нужно подумать о многом, но именно поэтому мы оценили функции и производительность шести лучших предложений интернет-фильтров. Если вы хотите, чтобы ваши дети были в безопасности во время работы в Интернете, не ищите дальше.
1. Qustodio: Лучшее программное обеспечение интернет-фильтра в целом
Кастодио
Причины для покупки
Причины, по которым следует избегать
Qustodio — наш лучший выбор для интернет-фильтров отчасти потому, что его легко установить как на компьютеры, так и на смартфоны. Он также прост в использовании.
Вы можете получить доступ к профилю каждого ребенка со своего телефона и настроить их доступ и нормы времени; вам не нужно находиться за компьютером или на самом устройстве, чтобы настроить параметры. Qustodio имеет 29 категорий фильтров, чтобы быстро и легко блокировать веб-сайты и контент, которые детям не нужно видеть.
Элементы управления временем позволяют вам контролировать временные рамки для доступа в Интернет (чтобы ваш ребенок не мог выходить в Интернет, когда он должен спать или находится в школе), а также позволяют контролировать, как долго дети могут оставаться в сети в разрешенное время. раз. Например, если вашим детям разрешается выходить в Интернет с 18:00 до 21:00 по школьным вечерам, вы можете настроить Qustodio так, чтобы они отключались через час или два, контролируя общее время использования экрана.
Qustodio записывает множество сведений о том, что ваши дети делают в Интернете, и предоставляет подробный отчет. В то время как другие программы просто сообщают вам, когда ваш ребенок получил доступ к своей учетной записи электронной почты или общался с кем-то через программу обмена мгновенными сообщениями, Qustodio фиксирует весь разговор. Вы также можете пометить слова и фразы, например "приходи одна" или "не говори маме", чтобы вы знали, если кто-то отправит сообщение с этими фразами.
2. Net Nanny: лучше всего подходит для наблюдения за детьми
Сетевая няня
Причины для покупки
Причины, по которым следует избегать
Net Nanny – одна из самых дешевых из протестированных нами программ интернет-фильтров, но она по-прежнему включает самые важные инструменты защиты для блокировки опасного контента в Интернете.
Существует 18 категорий фильтров, которые помогут вам быстро ограничить доступ к веб-сайтам, посвященным порнографии, наркотикам и алкоголю, самоубийству и жестокому обращению. Программа отправляет оповещение по электронной почте, если ваш ребенок разрешает прокси-серверу или серверу конфиденциальности скрывать поисковые запросы в Интернете.
Одной из самых уникальных функций Net Nanny является блокировщик ненормативной лексики, который маскирует нецензурные слова на веб-сайтах, чтобы ваш ребенок не мог их увидеть или прочитать. Это также не позволяет детям вводить эти слова в поля поиска и сообщения чата. Вы можете настроить его так, чтобы смешные слова или символы менялись по мере их ввода, или же программа может полностью стереть слово. Net Nanny отправляет уведомление через родительские отчеты, когда ненормативная лексика была напечатана или заблокирована от просмотра.
Net Nanny включает контроль времени, чтобы блокировать детей от Интернета, когда они должны спать, в школе, делать домашнее задание или работу по дому.Поскольку вы можете настроить учетную запись для каждого ребенка, детям старшего возраста могут быть предоставлены более длительные ограничения по времени для школьных проектов, онлайн-игр или потокового видео. Самый большой недостаток Net Nanny заключается в том, что некоторые важные инструменты, такие как мониторинг социальных сетей, захват сообщений в чате и текстовые уведомления для родителей, требуют приобретения отдельной программы, которая работает вместе с программой интернет-фильтра Net Nanny.
3. Kaspersky Safe Kids 2021: лучшее приложение для интернет-фильтра
Kaspersky Safe Kids 2021
Причины для покупки
Причины, по которым следует избегать
Хотя с интернет-фильтрацией не стоит экономить, мы понимаем, что цены на услуги сильно различаются. Kaspersky Safe Kids — это самый дешевый поставщик, которого мы рекомендуем, поскольку он включает в себя основные функции и предлагает очень подробные отчеты, но не стоит земли. Что касается мониторинга социальных сетей, он охватывает таких крупных провайдеров, как Facebook и YouTube, и с удовольствием отслеживает использование вашей семьей всех основных устройств iOS и Android. Вы получаете очень щедрые 500 устройств на лицензию, так что они не закончатся в ближайшее время.
Kaspersky Safe Kids также имеет множество стандартных инструментов отслеживания, таких как оповещения о географическом отслеживании, когда ваши дети покидают определенную безопасную зону или посещают область, которую вы определили как «запретную». Удобно, что он также предупредит вас, когда их телефоны выключены или у них разрядится батарея, включая последнее известное местоположение.
Недостаток заключается в том, что это программное обеспечение не распространяется на некоторые основные платформы социальных сетей, такие как Instagram, TikTok или Snapchat. В нем также отсутствуют некоторые функции iOS, которые входят в стандартную комплектацию Android и ПК, поэтому, если ваша семья использует исключительно продукты Apple, вы можете вместо этого рассмотреть что-то вроде Net Nanny.
4. Surfie: отлично подходит для мобильных телефонов
Серфинг
Причины для покупки
Причины, по которым следует избегать
Surfie совместим с мобильными телефонами и планшетами Android и iOS, а также имеет компьютерную версию Windows. Все версии позволяют фильтровать и блокировать веб-контент, который вы не хотите показывать своим детям.
Он поставляется с 18 категориями фильтров, которые позволяют легко блокировать связанные веб-сайты в каждой категории, включая порнографию, насилие и онлайн-игры. Но вы также можете внести в белый список сайты, которые разрешено посещать вашему ребенку, даже если они попадают под категорию фильтра, или занести в черный список определенные страницы, которые не попадают в отслеживаемую группу. Помимо веб-фильтров, Surfie позволяет вам контролировать, когда ваш ребенок имеет доступ к Интернету и как долго он может быть в сети, даже на мобильных телефонах.
Одной из лучших функций Surfie является монитор ключевых слов, который предупреждает вас, если кто-то отправляет вашему ребенку тестовое задание, электронное письмо или мгновенное сообщение со словами или фразами, которые обычно вызывают тревогу. К ним относятся несколько запрограммированных фраз, таких как «не говори», «ты один дома?» и «дайте мне свой номер телефона». Но вы также можете добавить свои собственные ключевые слова, и Surfie закроет программу, которую использует ваш ребенок, и доступ в Интернет, когда одно из них будет использовано. Он также работает в обратном порядке, чтобы отслеживать, что отправляет ваш ребенок, запрещая им использовать ваше ключевое слово с тегами и делиться личной информацией в Интернете. Вся электронная почта, мгновенные сообщения и текстовые расшифровки записываются, чтобы вы могли их прочитать.
5. Bark: лучше всего подходит для обнаружения скрытых угроз
Причины для покупки
Причины, по которым следует избегать
Если вас больше всего беспокоят социальные сети (а мы подозреваем, что это касается большинства), у вас есть два отличных варианта. Net Nanny хорош, и у Bark также есть большой набор функций для отслеживания ваших детей в Facebook, Twitter, Instagram, Snapchat и TikTok. Более того, его инструменты мониторинга также работают на платформах обмена сообщениями, таких как FB Messenger, WhatsApp и Skype. Он идеально подходит для отслеживания разговоров ваших детей и с кем.
Он не только отслеживает очевидные слова-триггеры, но также имеет систему обучения на основе искусственного интеллекта, которая обнаруживает предстоящие угрозы и темы, которым дети не должны подвергаться. Он также отслеживает модели поведения, чтобы ваши дети не ускользнули слишком глубоко в кроличьи норы, что является блестящей функцией в нынешнем климате социальных сетей.
Существует множество других функций, таких как оповещения, еженедельные отчеты и возможность предотвратить загрузку определенных новых приложений на телефоны. Недостатком является то, что это дорого, и Bark не лучший способ решить, что важно, а что нет, поэтому вам придется проверять множество предупреждений.
6. ContentBarrier: лучше всего подходит для пользователей Mac
Контент-барьер
Причины для покупки
Причины, по которым следует избегать
Для компьютеров Mac мы настоятельно рекомендуем ContentBarrier от Intego. Это программное обеспечение для интернет-фильтрации специально разработано для компьютеров Mac и включает предустановленные категории фильтров, упрощающие блокировку вредоносного контента.
Вы можете добавить определенные веб-сайты, которые хотите заблокировать, в черный список или добавить сайт, заблокированный предустановленными фильтрами, в белый список ContentBarrier, если вы считаете, что ваш ребенок может посещать его. ContentBarrier X9 также имеет контроль времени, поэтому вы можете убедиться, что ваши дети сосредоточены на домашнем задании, работе по дому или сне, а не на онлайн-играх. Вы можете создать отдельные учетные записи для каждого из ваших детей с помощью одной программы и установить для каждого разные фильтры в зависимости от их возраста и зрелости. Программа хорошо блокирует контент, но не записывает большую часть онлайн-активности вашего ребенка, чтобы вы могли увидеть ее позже. Он также совместим только с настольными компьютерами Mac и не будет работать на iPhone, iPad или других мобильных устройствах Apple.
Почему нам доверяют блокировщики веб-сайтов?
Многие из наших авторов являются родителями и понимают, насколько важно защищать детей, когда они используют Интернет, особенно когда вокруг так много угроз, от неприемлемого контента и сообщений до фальшивых новостей, вирусов и угроз кража личных данных.
Мы тестировали программное обеспечение для родительского контроля и инструменты фильтрации в течение пятнадцати лет, поэтому опробовали все основные доступные программные пакеты.
Что искать в программном обеспечении интернет-фильтра
Каждое приложение для интернет-фильтрации имеет ряд предустановленных черных списков, которые предотвращают доступ ваших детей к неприемлемому контенту. Как правило, они охватывают широкий круг тем, но лучшие приложения будут иметь более широкий набор предустановленных списков — они будут охватывать все, от сексуальных и жестоких материалов до сайтов с азартными играми и покупками. Также стоит поискать приложение, которое поддерживает настраиваемые черные списки, если вам нужно немного больше контроля.
В большинстве приложений для родительского контроля есть инструменты планирования, которые могут ограничивать время, которое ваши дети проводят в Интернете, и вы, как правило, можете устанавливать разные правила для разных дней, например, вы можете быть более строгими в течение недели и т. д. снисходителен по выходным.
В приложениях часто есть функции, которые позволяют родителям отслеживать историю поиска своих детей и контролировать, какие приложения они используют. Множество инструментов интернет-фильтрации просматривают приложения социальных сетей, чтобы убедиться, что сообщения и разговоры детей не вызывают проблем. Эти параметры социальных сетей имеют решающее значение, учитывая, насколько важны эти приложения для детей и подростков, но мы всегда рекомендуем вам проверять, какие приложения поддерживаются каждым программным пакетом — нет смысла тратиться на инструмент фильтрации, если он не охватывает приложения, которыми любят пользоваться ваши дети.
Стоит найти инструмент фильтрации с панелью инструментов и регулярными отчетами, чтобы вы могли легко просматривать сводки о действиях ваших детей в Интернете. Если вы хотите следить за своими детьми в реальном мире, вы также можете найти программное обеспечение, использующее GPS-трекинг.
Есть множество областей, в которых приложения предлагают более разнообразные функции. Некоторые инструменты фильтрации и безопасности могут ограничивать доступ к устройствам, отслеживать звонки и мгновенные сообщения, а также проверять, какие видео просматривают ваши дети.
Сколько стоит программное обеспечение интернет-фильтра?
Как обычно, существует множество вариантов цен на программное обеспечение для интернет-фильтров — идеально, если у вас ограниченный бюджет.
Некоторые пакеты стоят всего 15 долларов США за годовой доступ к продуктам. Это небольшая цена, если вы хотите, чтобы ваши дети были в большей безопасности в Интернете. Однако в большинстве случаев вам придется платить не менее 40 долларов США за ежегодный доступ к лучшим инструментам фильтрации веб-сайтов, и ожидайте, что эта сумма возрастет, если вы захотите контролировать большее количество устройств.
Однако, если вы уже подписаны на более широкий пакет интернет-безопасности, мы рекомендуем изучить его функции, прежде чем подписываться на сторонний инструмент фильтрации. Множество пакетов интернет-безопасности уже включают функции родительского контроля и инструменты фильтрации. Хотя они не предоставляют всесторонние возможности, которые вы найдете в специализированных продуктах, они все же могут выполнить работу для вашей семьи без каких-либо дополнительных затрат.
Читайте также: