Рекомендації щодо налаштування програмних МСЕ

Рекомендації щодо налаштування програмних МСЕ

Як правило, МСЕ використовуються при підключенні до мережі Інтернет або для розмежування трафіку всередині організації, наприклад, МСЕ може обмежити з'єднання з внутрішньою підмережею компанії, в якій обробляється конфіденційна інформація.

МСЕ дозволяють підвищити захищеність Вашого комп'ютера та забезпечити такі типи захисту:

  • захист комп'ютера від проникнення зовні;
  • захист від витоку інформації з комп'ютера.

У випадку МСЕ є деякий набір фільтрів. При визначенні правил фільтрації слід керуватися однією з двох простих безпекових стратегій:

  • дозволено все, що не заборонено. Така стратегія означає, що дозволяється весь трафік, який не заборонений правилами фільтрації.
  • заборонено все, що не дозволено. Така стратегія означає, що заборонено весь трафік, не дозволений правилами фільтрації.

Як критерії, за якими здійснюється фільтрація можуть бути обрані:

За виконанням МСЕ можна поділити на великі групи:

  • Програмно-апаратні(іноді їх називають просто апаратні). Програмно-апаратні МСЕ є спеціалізованим пристроєм з кількома мережевими інтерфейсами. Такі МСЕ вважаються найефективнішими. Цей тип МСЕ часто містять власну спеціалізовану ОС.
  • Програмні. Даний тип МСЕ є ПЗ, що встановлюється на комп'ютер. Такий тип МСЕ простіше інтегрується з сервісами ОС, що функціонує на комп'ютері, де встановлюється МСЕ, також такі МСЕ є більш звичними та простими для їх налаштування та управління користувачами. Деякі ОС, наприклад, ОС сімейства Windows мають вбудований МСЕ,який, як правило, включений за умовчанням.

За функціонуванням на рівнях моделі OSI МСЕ можна розділити на наступні групи:

  • Комутатори, що функціонують на канальному рівні. МСЕ, що функціонують на канальному рівні, дозволяють оптимізувати роботу внутрішньої мережі за рахунок організації віртуальних локальних мереж.
  • Мережеві або пакетні фільтри, що функціонують на мережному рівні.
  • Шлюзи сеансового рівня (circuit-level proxy).
  • Посередники прикладного рівня (application proxy або application gateway).
  • Інспектори стану (stateful inspection), що функціонують на прикладному рівні.

У загальному випадку, чим вищий рівень, на якому функціонує МСЕ, тим більше надійно його можна сконфігурувати і тим вище рівень захисту, що забезпечується ним.

Нижче наведено рекомендації щодо налаштування програмного МСЕ на прикладіViPNet Personal Firewall версія 3.0.

Рекомендації щодо налаштування МСЕ на прикладі ViPNet версія 3.0

Налаштування веб-фільтрації

Щоб настроїти веб-фільтрацію, виконайте такі дії:

1. У головному меню за допомогоюСервісвідкрийте вікноНалаштування

2. У вікніНалаштуваннявідкрийте розділВеб-фільтри

3. Виберіть один із таких пунктів:

1. При виборі пунктуРекламарозділуВеб-фільтриу вікніНалаштування, у правій частині вікна з'являться параметри блокування, що настроюються.

2. За замовчуванням опціяБлокувати спливаючі вікнавимкнена.

Для додавання рядків фільтрації виконайте такі дії:

1. Натисніть кнопкуДодати…

2. У вікніРядок фільтраціївведіть рядок фільтрації банера, який необхідно блокувати.

3. НатиснітьОК.

Для видалення рядків фільтрації виконайте такі дії:

1. Виберіть рядок та натиснітьВидалити.

Налаштування блокування інтерактивних елементів

Блокування інтерактивних елементів дозволяє збільшити швидкість завантаження сторінок, зменшити мережевий трафік та забезпечити безпеку інформації, що зберігається на комп'ютері.

1. При виборі пунктуІнтерактивні елементирозділуВеб-фільтриу вікніНалаштування, у правій частині вікна з'являться параметри блокування, що настроюються.

2. За замовчуванням усі опції вимкнені, і жодні інтерактивні елементи не блокуються. Щоб блокувати інтерактивні елементи, виберіть наступні опції:

-Блокувати ActiveX.ActiveX використовується для розширення функціональних можливостей веб-браузера.

-Блокувати Flash-анімацію.Flash-анімація використовується для заповнення веб-сторінок анімацією.

-Блокувати Java-програми.Java-програми використовуються для наповнення веб-сторінок інтерактивними програмами, наприклад, іграми, анімацією, заставками і т.п.

3. НатиснітьОКабоЗастосувати для використання встановлених параметрів.

Налаштування блокування Cookies та Referer

Блокування Cookies та Referer дозволяє забезпечити захист від несанкціонованого збору інформації про Ваші дії в Інтернеті.

1. При виборі пунктуКонфіденційністьрозділуВеб-фільтриу вікніНалаштування, у правій частині вікна з'являться параметри блокування, що настроюються.

2. За замовчуванням усі опції вимкнені та Cookies та Referer не блокуються. Для блокування Cookies та Referer виберіть відповідні опції:

-Блокувати Cookies.Cookiesвикористовуються веб-браузером для збереження Вашої особистої інформації. Це спрощує введення даних при повторному зверненні до веб-сторінки, наприклад, заповнюючи форми.

-Блокувати Referer.Поле Referer може використовуватися веб-браузером для збереження інформації про веб-сторінки, які Ви відвідали.

3. НатиснітьОКабоЗастосувати для використання встановлених параметрів.

Додавання сайтів до списку винятків та завдання для них індивідуальних веб-фільтрів дозволяє уникнути проблем із доступом до інформації, пов'язаних із блокуванням великої частини вмісту сайту налаштованими спільними веб-фільтрами.

1. При виборі пунктуВиключеннярозділуВеб-фільтриу вікніНалаштування, у правій частині вікна з'являться параметри, що настроюються. У вікні можна здійснити наступні дії:

Додавання сайту та налаштування для нього індивідуального веб-фільтра

3. Налаштуйте параметри блокування різних інтерактивних елементів на вказаному веб-сайті. За промовчанням всі елементи дозволені.

4. НатиснітьОК, щоб зберегти внесені дані.

1. Виберіть рядок з ім'ям сайту, який потрібно видалити і натиснітьВидалити.

2. НатиснітьОКабоЗастосувати для використання встановлених параметрів.

Мережева фільтрація призначена для блокування/пропуску IP-пакетів залежно від протоколу, параметрів протоколу, напряму з'єднання або напряму пакета тощо.

Після відкриття вікнаМережеві фільтриможна виявити два типи мережевих фільтрів:

-Локальні фільтри. Є групою фільтрів, призначених для налаштувань правил для неширокомовних IP-пакетів, якими комп'ютер із встановленим ViPNetPersonal Firewall обмінюється із зовнішніми пристроями.

-Широкомовні фільтри. Є групою фільтрів, призначених для налаштування правил для широкомовних пакетів.

Для додавання нового правила необхідно виконати такі дії:

1. У вікніМережеві фільтривідкрити контекстне менюПравила доступута вибрати командуСтворити нове правило доступу…

2. Команда також доступна в головному менюДії.

3. Залежно від групи фільтрів, куди додається правило, відкриється одне з віконлокальніабоширокомовне правило.

-Ім'я правила. Залежить від стану опціїАвтоматичне призначення імені.Вимкнення опції дозволяє ввести власне найменування, яке збережеться доти, доки опція не буде включена.

-Автоматичне призначення імені. Увімкнення опції дозволяє автоматично вказувати ім'я правила за деяким правилом. Вимкнення опції дозволяє вказувати ім'я правила вручну.

-Включити правило. Увімкнення опції означає, що правило буде використане для фільтрації. При відключенні опції правило буде вимкнено.

Для додавання нового правила фільтру протоколів необхідно:

1. Вибрати правило, для якого необхідно додати фільтр протоколів та відкрити контекстне менюПравила доступута вибрати командуДодати фільтр протоколів…

2. Команда також доступна в головному менюДії.

3. Залежно від групи фільтрів, куди додається фільтр, відкриється одне з віконлокальнийабоширокомовний фільтр.

Налаштування фільтрів протоколів

Для додавання нового фільтра протоколів необхідно:

2. НатиснутиПравиладоступута вибратиДодати фільтр протоколів.

3. У вікніФільтриналаштувати такі параметри:

-Ім'я фільтра. Залежить від стану опціїАвтоматичне призначення імені.Вимкнення опції дозволяє ввести власне найменування, яке збережеться доти, доки опція не буде включена.

-Автоматичне призначення імені. Увімкнення опції дозволяє автоматично вказувати ім'я фільтра за деяким правилом. Вимкнення опції дозволяє вказувати ім'я фільтра вручну.

-Увімкнути фільтр. Увімкнення опції означає, що правило буде використане для фільтрації. При відключенні опції правило буде вимкнено.

-Протокол.Необхідно вибрати протокол зі списку. Спочатку список містить лише TCP, UDP та ICMP протоколи. Для вибору іншого протоколу необхідно попередньо додати їх до списку, натиснувши кнопкуСписок...У вікніСписок протоколіввибрати необхідні протоколи.

ViPNet Personal Firewall має 3 основні та 2 тестові режими безпеки. Вибір одного із трьох основних режимів дозволяє збільшувати або зменшувати рівень захисту.

- 1 режим.Блокувати IP-пакети всіх з'єднань.Цей режим блокує всі IP-пакети незалежно від мережевих фільтрів, налаштованих у вікніМережеві фільтри. Режим блокування IP-пакетів всіх з'єднань дозволяє максимально захистити комп'ютер та еквівалентний фізичному вимкненню комп'ютера від мережі.

- 3 режими.Пропустити всі вихідні з'єднання, крім заборонених.Даний режим дозволяє за промовчанням пропускати всі ініціативні вихідні з'єднання з Вашого комп'ютера та блокувати будь-який несанкціонований вхідний трафік. За замовчуванням ViPNet Personal Firewall встановлено у цьому режимі.

Рекомендується встановити цей режим безпеки.

Для тестових цілей існують такі режими:

- 4 режими. Пропускати всі з'єднання. Цей режим не захищає комп'ютер від несанкціонованого доступу з мережі, незалежно від мережевих фільтрів, налаштованих у вікніМережеві фільтри.

- 5 режим. Пропускати IP-пакети без обробки. Цей режим дозволяє вимкнути всю обробку трафіку та його фільтрацію. У цьому режимі журнал реєстрації IP-пакетів не ведеться.

Для встановлення режиму безпеки необхідно:

2. Виберіть потрібний режим. При необхідності наступного запуску Personal Firewall у вибраному режимі необхідно вибрати потрібний режим зі списку в розділіПри старті програми…

3. Збережіть зміни, натиснувшиЗастосувати.

  • Налаштування системи виявлення атак

Система виявлення атак служить для виявлення та запобігання атакам з боку зловмисників, які можуть призвести до несанкціонованого доступу до інформації, що зберігається на комп'ютері користувача.

Для налаштування системи виявлення атак необхідно налаштувати такі опції:

-Слідкувати за мережевими атаками у вхідному потоці. Ця опція включена за замовчуванням. При включеній даній опції здійснюється перевірка на мережеві атаки всього вхідного трафіку комп'ютера. Вимикати цю функцію не рекомендується.

-Слідкувати за мережевими атаками у вихідному потоці.Ця опція включена за замовчуванням. При включеній даній опції здійснюється перевірка всього вихідного трафіку на комп'ютері.