![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-179.png)
Глава
10
Межсетевые
экраны
Руководство
пользователя
P660HWP-Dx
179
Рассмотрим
протокол
FTP.
Пользователь
в
локальной
сети
устанавливает
управляющее
соединение
с
сервером
в
Интернете
и
запрашивает
файл
.
В
ответ
на
него
удаленный
сервер
создаст
соединение
для
передачи
данных
из
Интернета
.
Для
нормальной
работы
FTP
это
соединение
должно
получить
разрешение
доступа
,
даже
если
обычно
такие
подключения
из
Интернета
запрещены
.
Чтобы
достичь
этого
, P660HWP
анализирует
данные
FTP
на
прикладном
уровне
.
В частности
,
ищет
выходную
команду
PORT,
и
если
таковая
имеется
,
добавляет
в
кэш
запись
об
ожидаемом
соединении
для
передачи
данных
.
Эта
операция
безопасна
,
поскольку
команда
PORT
содержит
адрес
и
порт
,
по
которым
идентифицируется
соединение
.
Любой
протокол
,
работающий
таким
образом
,
необходимо
поддерживать
отдельно
по
каждому
случаю
.
Для
этого
можно
использовать
функцию
Web-
конфигуратора
«Custom
Ports» (
Назначение
портов
пользователем
).
10.6
Методы
усиления
безопасности
при
помощи
межсетевого
экрана
•
Измените
пароль
по
умолчанию
с
помощью
CLI (Command Line Interpreter –
интерпретатор
командной
строки
)
или
Web-
конфигуратора
.
•
Ограничьте
круг
лиц
,
имеющих
право
telnet-
подключения
к
маршрутизатору
.
•
Не
подключайте
неиспользуемые
локальные
службы
(SNMP
или
NTP).
Любое
такое
лишнее
подключение
может
представлять
потенциальную
угрозу
безопасности
.
Находчивый
хакер
может
отыскать
оригинальные
способы
злоупотребления
подключенными
службами
для
получения
доступа
к
межсетевому
экрану
или
сети
.
•
Подключенные
локальные
серверы
необходимо
обезопасить
.
Защита
обеспечивается
путем
ограничения
взаимодействия
до
конкретных
клиентских
устройств
и
назначения
правил
блокировки
пакетов
,
поступающих
через
конкретный
порт
.
•
Активированный
межсетевой
экран
обеспечит
защиту
от
подмены
IP-
адресов
.
•
Само
устройство
межсетевого
экрана
должно
находиться
в
недоступном
(
закрытом
)
помещении
.
10.6.1
Общая
безопасность
Предусмотреть
все
возможные
случаи
невозможно
.
Многие
факторы
,
контроль
над
которыми
выходит
за
пределы
возможностей
межсетевого
экрана
,
фильтрации
или
трансляции
сетевых
адресов
,
могут
создать
бреши
в
системе
защиты
.
Ниже
приводятся
некоторые
общие
рекомендации
,
выполнение
которых
позволит
свести
риск
к
минимуму
.
•
Организация
/
компания
должна
разработать
комплексный
план
по
защите
.
Качественное
сетевое
администрирование
предполагает
учет
возможностей
хакеров
и
предвидение
атак
.
Лучшей
защитой
от
хакеров
и
взломщиков
является
информированность
.
Все
сотрудники
компании
должны
быть
осведомлены
о
том
,
как
важна
безопасность
и
как
минимизировать
риск
.
Рекомендуется
составить
перечни
,
подобные
этому
.