Меню Закрыть

Что такое сетевой экран в роутере

Итак, в предыдущей статье мы разобрались с блокировками сайтов посредством Межсетевого экрана (в меню Безопасность), а теперь разберем подробнее, на что еще способен его функционал.
Примечание. Для прикрытия доступа к сети Интернет в правилах сетевого экрана мы использует протокол передачи данных TCP, ведь Интернет у нас настроен на базе стека протоколов TCP/IP. В большинстве примеров правила настраиваются для интерфейса Home Network (или просто Home), если не сказано ничего другого.

Пример 1. Разрешить доступ в Интернет только одному определенному компьютеру локальной сети, а для всех остальных заблокировать доступ.
В данном примере нужно создать два правила для интерфейса локальной сети Home network.
Сначала создаем разрешающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ) и тип протокола TCP.

Стоит отметить, что общее запрещающее в данном случае правило должно быть ниже частного.
Предупреждение! Настройку данного правила следует выполнять с компьютера, IP-адрес которого разрешен для доступа в Интернет. В противном случае, после применения указанных выше правил, вы потеряете доступ к веб-конфигуратору интернет-центра. Если же такое произошло, назначьте вручную разрешенный IP-адрес в настройках сетевого адаптера и затем выполните подключение к веб-конфигуратору.

Пример 2. Заблокировать доступ в Интернет только для одного определенного компьютера локальной сети.
В данном примере нужно создать одно правило для интерфейса локальной сети Home network.
Создаем запрещающее правило, в котором указываем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ) и тип протокола TCP.

Пример 3. Заблокировать доступ к определенному веб-сайту из локальной сети.
В данном примере заблокируем доступ всем компьютерам локальной сети к веб-сайту социальной сети vk.com

Внимание! В настройках правил межсетевого экрана интернет-центра серии Keenetic нельзя использовать доменные имена, а можно указать только IP-адреса.
В связи с чем, перед настройкой правил нужно выяснить IP-адрес(а) нужного вам веб-сайта. Один сайт может иметь несколько разных IP-адресов (обычно это касается крупных ресурсов, таких yandex.ru, google.com, vk.com и др.).

Первый способ узнать IP-адрес сайта — использовать специальную команду nslookup имя_веб-сайта
Например, в командной строке операционной системы выполним команду nslookup vk.com
В итоге имеем следующие IP.
Addresses: 87.240.165.82; 95.213.11.180
Результат выполнения указанной выше команды позволит увидеть IP-адреса, на которых размещается веб-сайт (в нашем примере сайт использует 4 IP-адреса).

Второй способ узнать IP-адрес сайта — воспользоваться одним из специальных онлайн-сервисов (например, 2ip.ru).
В специальной строке нужно будет указать имя интересующего вас сайта и нажать кнопку Проверить. После этого вы увидите все IP-адреса, на которых работает сайт.

Читайте также:  Игры для двоих андроид по bluetooth

Теперь, выяснив IP-адреса веб-сайта, можно приступать к созданию правил межсетевого экрана.

Внимание! Веб-сайты могут работать не только на протоколе HTTP, но и на протоколе HTTPS.

Так как в нашем примере сайт использует 2 IP-адреса, создадим для интерфейса локальной сети Home network 4 правила для блокировки трафика по протоколам: 2 для HTTP и 2 для HTTPS.
Создаем запрещающие правила, в котором указываем IP-адрес назначения (IP-адрес сайта, к которому будет запрещен доступ) и тип протокола (HTTP и HTTPS).


Пример 4. Разрешить определенному компьютеру локальной сети доступ только к одному указанному веб-сайту.
В данном примере разрешим компьютеру локальной сети с IP-адресом 192.168.1.228 доступ только к веб-сайту свободной энциклопедии Википедия. Доступ же к другим сайтам Интернета будет заблокирован для указанного компьютера.

Сначала определим IP-адрес нужного нам веб-сайта. В нашем примере это сайт ru.wikipedia.org и его IP-адрес 91.198.174.192. Подробную информацию о том как определить IP-адрес(а) сайта можно найти в Примере 3 данной статьи.

В данном примере нужно создать три правила для интерфейса локальной сети Home network.
Сначала создаем разрешающие правила, в которых указываем IP-адрес источника (IP-адрес компьютера, которому будет разрешен доступ), IP-адрес назначения (IP-адрес веб-сайта, к которому будет разрешен доступ) и тип протокола HTTP и HTTPS.


Пример 5. Разрешить доступ из локальной сети в Интернет только по определенным протоколам (сервисам, службам).
Разрешим доступ компьютерам локальной сети в Интернет только по протоколам HTTP, HTTPS, FTP, SMTP, POP3, IMAP, DNS, а весь остальной трафик заблокируем.

В данном примере нужно создать правила для интерфейса локальной сети Home network.
Сначала создаем разрешающие правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол выбираем из списка нужный тип протокола (сервиса или службы).
А затем создаем два запрещающих правила, в которых указываем значение Любой в полях IP-адрес источника и IP-адрес назначения, а в поле Протокол значение TCP и UDP для блокирования доступа в Интернет.

Обращаем ваше внимание, что для корректной работы Интернета необходима работа службы доменных имен DNS (TCP/53, UDP/53), которая позволяет преобразовывать символьные имена сайтов/доменов в IP-адреса (и наоборот).

В нашем примере получился следующий набор правил сетевого экрана:

Пример 6. Разрешить удаленное управление интернет-центром.
Внимание! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен только при наличии "белого" публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети. Желательно, чтобы это был статический или постоянный IP-адрес. Если же IP-адрес для выхода в Интернет динамический (т.е. меняется каждый раз при новом соединении с провайдером), нужно воспользоваться сервисом динамического DNS.

Читайте также:  Пропал значок интернет эксплорер

В данном примере создадим правило межсетевого экрана для возможности удаленного управления роутером из Интернета (в частности для подключения к веб-конфигуратору устройства).
В дополнении к этому разрешим выполнение пинг-запросов ICMP на роутер из Интернета (это позволит проверять доступность устройства в сети).
В целях повышения безопасности удаленное управление и пинг роутера со стороны внешней сети разрешим только с определенного публичного IP-адреса (в нашем примере с IP-адреса 176.111.73.33).
Внимание! Не открывайте доступ к веб-конфигуратору интернет-центра и не разрешайте выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.

В нашем примере нужно создать правила для интерфейса внешней сети Broadband connection (ISP). Нужно создавать правила для интерфейса, через который осуществляется выход в Интернет (это может быть PPPoE, PPTP, USB LTE, Yota и др.).

Создаем разрешающее правило, в котором указываем в поле IP-адрес источника (публичный IP-адрес компьютера, с которого будет разрешен доступ из Интернета) и в поле Протокол выбираем TCP/80 (HTTP).

Таким образом пинг интернет-центра (по протоколу ICMP) и доступ к его веб-конфигуратору (по протоколу HTTP) будут возможны из Интернета, только с определенного IP-адреса.
Обращаем ваше внимание, что в веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать публичный WAN IP-адрес роутера в глобальной сети (его можно посмотреть в веб-конфигураторе интернет-центра в окне Системный монитор на вкладке Система в поле Адрес IPv4). Адрес в браузере нужно начинать с http://, т.е. http://IP-адрес (например, http://176.111.73.33).

Пример 7. Заблокировать обращения к интернет-центру с IP-адресов определенной подсети со стороны Интернета или внешней сети.
Предположим, что вы обнаружили частые попытки обращений (атаки) из Интернета на WAN-порт роутера с неизвестных IP-адресов.
Например, попытки подключения идут с разных IP-адресов, но все они принадлежат одной подсети 115.230.121.x.
В данном случае на внешнем интерфейсе интернет-центра (через который осуществляется доступ в Интернет) нужно заблокировать доступ к WAN-порту для IP-адресов подсети 115.230.121.x.

Создайте запрещающие правила для трафика TCP/UDP/ICMP (пинг), где в качестве IP-адреса источника нужно установить значение Подсеть и указать номер подсети и маску.
Обращаем ваше внимание, что при использовании маски подсети с префиксом /24 (255.255.255.0) IP-адрес подсети должен заканчиваться на 0 (в нашем примере это 115.230.121.0).

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Читайте также:  Материнская плата gigabyte ga 8i945gzme rh

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого – когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым – приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого – когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым – приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.

Использование межсетевого экрана на вашем роутере (аппаратный межсетевой экран) и компьютере (программный межсетевой экран) может быть полезным, если дело дойдет до атак, так как у вас будет несколько линий защиты. Однако в некоторых случаях отключение межсетевого экрана на роутере может помочь устранить конфликт, который возникает при одновременном использовании межсетевых экранов на роутере и компьютере. Отключение межсетевого экрана на роутере или компьютере не рекомендуется, но это, без всякого сомнения, можно сделать . Для того чтобы отключить межсетевой экран роутера, вам потребуется доступ к его веб-интерфейсу. В этой статье детально описано, как отключить межсетевой экран роутера через его веб-интерфейс.

Рекомендуем к прочтению

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code

Adblock detector