Thuật toán module phần mềm vận hành tường lửa. Bức tường lửa. tường lửa có tính năng lọc gói
Tường lửa là hệ thống phần mềm bảo vệ đặc biệt (tường lửa) ngăn chặn trái phép và đồng thời tạo rào cản cho cả máy tính cá nhân và toàn bộ mạng cục bộ khỏi sự xâm nhập của các phần mềm độc hại. Dựa trên mục đích chính của chúng - không cho phép các gói đáng ngờ đi qua, các chương trình như vậy có đã nhận được một tên khác - bộ lọc. Ngày nay, các nhà sản xuất tường lửa bảo mật nổi tiếng nhất như sau: ZyXEL, Tường lửa, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.
Cài đặt tường lửa
Tường lửa được cấu hình thủ công, cho phép cài đặt chi tiết sự bảo vệ. Một trong những tính năng quan trọng nhất là thiết lập phần mềm chống vi-rút trực tiếp trên cổng USB. Sau khi chỉ định các cài đặt cần thiết, bạn có thể sử dụng chương trình như vậy để tạo toàn quyền kiểm soát đầu vào và đầu ra trên mạng cục bộ và trong mỗi mạng. thiết bị điện tử trong thành phần của nó.
Đã hoàn thành cài đặt thủ công màn hình bảo vệ trên một trong các máy tính trong mạng, bạn có thể nhanh chóng chuyển các cài đặt sẵn có sang các thiết bị mạng khác. Hơn nữa, hoạt động đồng bộ được đảm bảo ngay cả với mạng không dây Kết nối mạng. Bài tập thông số bắt buộc Tường lửa cần một chút thời gian để hoạt động, nhưng nếu bạn lơ là, các hạn chế bảo vệ có thể chặn một số dịch vụ cần thiết cho hoạt động.
Các tính năng lọc mạng bổ sung
Có những tường lửa có thể được cấu hình để cung cấp khả năng bảo vệ bổ sung cho các dịch vụ và ứng dụng riêng lẻ. Ví dụ: để ngăn chặn việc hack “kiểm soát của phụ huynh” hoặc cài đặt “chống thư rác”. Việc thiết lập quyền truy cập Internet và quyền vận hành trong mạng cục bộ khép kín cho từng chương trình và ứng dụng có thể được xác định riêng biệt. Tường lửa cho phép bạn kiểm soát quyền truy cập vào các trang web, có thể giám sát quá trình quét cổng và lọc nội dung Web. Nó cũng có khả năng chặn quyền truy cập từ các địa chỉ IP đáng ngờ và thông báo về các nỗ lực tấn công hoặc thăm dò.
Các loại tường lửa
Tường lửa được chia thành các loại sau:
Tường lửa truyền thống cung cấp tính năng lọc truy cập để gửi và nhận gói;
Tường lửa phiên theo dõi các phiên riêng lẻ giữa ứng dụng đã cài đặt, đảm bảo chặn kịp thời quyền truy cập vào các gói không được chứng nhận, thường được sử dụng để hack, quét dữ liệu bí mật, v.v.;
Tường lửa phân tích lọc dựa trên phân tích thông tin nội bộ gói có chức năng chặn các Trojan được xác định sau đó;
Tường lửa phần cứng được trang bị bộ tăng tốc tích hợp cho phép ngăn chặn xâm nhập đồng thời (IPS), quét chống vi-rút, ngăn chặn người dùng trong mạng riêng và ẩn danh VPN cũng như hiệu suất tường lửa hiệu quả hơn.
Biện pháp phòng ngừa
Để đảm bảo bảo mật chất lượng cao và đáng tin cậy chống lại sự xâm nhập và hack trái phép, chỉ cần cài đặt tường lửa được chứng nhận trên các nút mạng. TRONG Hiện nay Các đạo luật lập pháp của Liên bang Nga quy định về chứng nhận của FSTEC, Gazpromsert và FSB. Ví dụ: nó chứng nhận rằng bộ lọc tường lửa này đáp ứng tất cả các yêu cầu được nêu trong phần đầu tiên của tài liệu của Ủy ban Kỹ thuật Nhà nước Nga. Và các chứng chỉ của FSB cho thấy hệ thống chương trình bảo vệ tuân thủ theo tiêu chuẩn Gosstandart của Nga về yêu cầu đảm bảo an ninh, bảo mật thông tin.
Hướng dẫn
Chuyển đến menu Bắt đầu chính hệ điều hành Các cửa sổ. Chọn phần “Bảng điều khiển” và đi tới “ Tường lửa Windows" Bạn cũng có thể chạy cấu hình của nó từ dòng lệnh bằng cách nhập văn bản sau: “control.exe /name Microsoft.WindowsFirewall”.
Kiểm tra cửa sổ mở ra. Ở bên trái có một bảng điều khiển bao gồm một số phần chịu trách nhiệm cài đặt khác nhau mạng lưới màn hình MỘT. Chuyển đến tab “Hồ sơ công khai” và “Hồ sơ riêng tư”, trong đó bên cạnh dòng chữ “Kết nối đi”, bạn cần bỏ chọn tùy chọn “Chặn”. Nhấp vào nút "Áp dụng" và "OK", sau đó đóng cửa sổ. Sau đó, bạn có thể bắt đầu thiết lập quyền truy cập Internet dịch vụ khác nhau và các chương trình được cài đặt trên máy tính cá nhân.
Chuyển đến tab "Cài đặt nâng cao" để khởi chạy tường lửa màn hìnhở chế độ bảo mật nâng cao. Cửa sổ xuất hiện bao gồm một thanh công cụ và ba phần. Chọn phần “Quy tắc cho kết nối đi” ở trường bên trái, sau đó chọn “Tạo quy tắc” ở trường bên phải. Thao tác này sẽ mở Trình hướng dẫn tạo quy tắc.
Chọn loại quy tắc bạn muốn thêm vào cài đặt tường lửa của mình màn hình MỘT. Bạn có thể chọn tất cả các kết nối máy tính hoặc định cấu hình một chương trình cụ thể bằng cách chỉ định đường dẫn đến chương trình đó. Nhấp vào nút “Tiếp theo” để chuyển đến mục “Chương trình”, trong đó chúng tôi lại chỉ định đường dẫn đến ứng dụng.
Đi tới Hành động. Tại đây bạn có thể cho phép kết nối hoặc chặn nó. Bạn cũng có thể thiết lập kết nối an toàn, trong đó nó sẽ được kiểm tra thông qua IPSec. Đồng thời, bằng cách nhấp vào nút “Tùy chỉnh”, bạn có thể đặt quy tắc của riêng mình. Sau đó, chỉ định “Hồ sơ” cho quy tắc của bạn và đặt tên cho quy tắc đó. Nhấp vào nút "Xong" để lưu cài đặt của bạn.
Mức độ nhấp nháy khi màn hình bật phụ thuộc vào thông số cài đặt cho tốc độ làm tươi hình ảnh trên màn hình. Khái niệm “tốc độ làm mới” áp dụng cho màn hình đèn, đối với màn hình LCD, những cài đặt này không quan trọng. Màn hình của hầu hết các màn hình đèn được cập nhật mỗi phút một lần. Nếu những cài đặt này không phù hợp với bạn, hãy loại bỏ nhấp nháy màn hình bằng cách làm theo một số bước.
Hướng dẫn
Gọi thành phần Màn hình. Để thực hiện việc này, hãy mở “Bảng điều khiển” thông qua menu “Bắt đầu”. Trong danh mục “Thiết kế và Chủ đề”, nhấp chuột trái vào biểu tượng “Màn hình” hoặc chọn bất kỳ tác vụ có sẵn nào ở đầu cửa sổ. Nếu Control Panel trên máy tính của bạn có cái nhìn cổ điển, hãy chọn ngay biểu tượng bạn đang tìm kiếm.
Có một cách khác: nhấp chuột phải vào bất kỳ phần nào của “Máy tính để bàn” không có tệp và thư mục. Trong menu thả xuống, chọn “Thuộc tính” bằng cách nhấp chuột trái vào nó. Hộp thoại "Thuộc tính hiển thị" mới sẽ mở ra.
Trong cửa sổ mở ra, hãy chuyển đến tab “Tùy chọn” và nhấp vào nút “Nâng cao” nằm ở cuối cửa sổ. Hành động này sẽ hiển thị hộp thoại “Thuộc tính: Mô-đun kết nối giám sát và [tên thẻ video của bạn]” bổ sung.
Trong cửa sổ mới, hãy chuyển đến tab “Màn hình” và chọn hộp bên cạnh “Ẩn các chế độ mà màn hình không thể sử dụng”. Điều này sẽ giúp bạn tránh được những vấn đề có thể xảy ra: nếu màn hìnhđược cài đặt không đúng, hình ảnh màn hình có thể không ổn định. Ngoài ra, tần số được chọn không chính xác có thể dẫn đến trục trặc thiết bị.
Sử dụng danh sách thả xuống trong phần “Cài đặt màn hình”, đặt trường “Tốc độ làm mới” thành màn hình» giá trị bạn cần. Tốc độ làm mới càng cao màn hình, màn hình càng ít nhấp nháy. Tần số mặc định là 100 Hz, mặc dù màn hình của bạn có thể hỗ trợ tần số khác. Kiểm tra thông tin này trong tài liệu hoặc trên trang web của nhà sản xuất.
Sau khi thực hiện những thay đổi cần thiết, hãy nhấp vào nút “Áp dụng” trong cửa sổ thuộc tính màn hình. Khi được yêu cầu xác nhận cài đặt mới, hãy trả lời có. Bấm vào nút OK. Bạn sẽ còn lại một cửa sổ “Thuộc tính: Màn hình”. Đóng nó bằng nút OK hoặc biểu tượng [x] ở góc trên bên phải của cửa sổ.
Nếu khi thay đổi tốc độ làm mới màn hình giao diện của màn hình sẽ thay đổi, được đặt trong cửa sổ thuộc tính màn hìnhđộ phân giải dễ đọc, hãy nhấp vào nút “Áp dụng” và đóng cửa sổ. Điều chỉnh kích thước vùng làm việc trên màn hình bằng các nút điều chỉnh trên thân màn hình. Đừng quên nhấp vào nút “Degauss” ở cuối.
mạng Internet màn hình, hoặc tường lửa, được thiết kế để kiểm soát hoạt động của các chương trình trên mạng và bảo vệ hệ điều hành và dữ liệu người dùng khỏi các cuộc tấn công từ bên ngoài. Có nhiều chương trình có chức năng tương tự nhưng không phải lúc nào chúng cũng hiệu quả. Để kiểm tra chất lượng mạng của bạn màn hình và sử dụng chương trình Trình kiểm tra tường lửa 2ip.
Hướng dẫn
Tìm với máy tìm kiếm link tải tiện ích 2ip Tường lửa Kiểm tra. Kiểm tra các tệp đã tải xuống bằng chương trình chống vi-rút và chạy ứng dụng. Theo quy định, chương trình phải được cài đặt trên ổ cứng máy tính. Sau đó, một phím tắt sẽ xuất hiện trên màn hình để bạn có thể khởi chạy nó.
Cửa sổ chương trình khá đơn giản và có một dòng thông báo cùng hai nút Trợ giúp và Kiểm tra. Đảm bảo máy tính của bạn có quyền truy cập Internet và nhấp vào nút Kiểm tra. Tiện ích sẽ cố gắng liên lạc với máy chủ bên ngoài. Nếu kết nối được thiết lập (một thông báo xuất hiện bằng chữ màu đỏ) thì tường lửa của bạn không hiệu quả. Điều đáng chú ý là hầu hết phần mềm này đều được cài đặt mặc định với giao diện tiếng Anh. Để đổi sang tiếng Nga, hãy vào cài đặt chương trình. Đừng quên lưu tất cả các thay đổi đã được thực hiện trong chương trình.
Nếu kết nối không thể được thiết lập và chương trình cổng màn hình và đưa ra yêu cầu cho phép kết nối này, nghĩa là tường lửa đang hoạt động. Cho phép chúng tôi thực hiện kết nối một lần. Để kiểm tra tường lửa phức tạp hơn, hãy đổi tên tệp khởi chạy tiện ích Tường lửa 2ip thành tên của chương trình được cho phép truy cập Internet. Ví dụ, trình duyệt web IE. Để thực hiện việc này, hãy đặt tên cho tiện ích iexplore.exe, chạy lại và nhấp vào nút Kiểm tra. Nếu kết nối được thiết lập thì mạng của bạn màn hình có khá cấp thấp sự bảo vệ.
Nếu kết nối không được thiết lập thì chương trình cổng của bạn màn hình và thực hiện các chức năng của nó với năm điểm. Bạn có thể yên tâm lướt Internet vì Máy tính cá nhânđược bảo vệ một cách đáng tin cậy khỏi các mối đe dọa khác nhau. Thông thường một cái gì đó như thế này phần mềm Nó có cài đặt linh hoạt trong hệ thống.
Video về chủ đề
Đôi khi, khi ngồi trước máy tính, bạn có thể nhận thấy hình ảnh trên màn hình bị rung, “nổi” một cách kỳ lạ hoặc bắt đầu xuất hiện bất ngờ. Vấn đề này là phổ biến. Nhưng lý do cho nó là khác nhau. Cần tìm hiểu lý do tại sao màn hình bị rung.
Thông thường, nguyên nhân gây ra màn hình rung là do sự hiện diện của nguồn điện từ trường xen kẽ trong phòng làm việc hoặc căn hộ. Điều này có thể được kiểm tra rất dễ dàng bằng cách di chuyển màn hình. Nếu nó dừng lại thì vấn đề liên quan cụ thể đến trường điện từ. Nguồn hoạt động của chúng là từ các hệ thống lắp đặt điện, trạm biến áp và đường dây điện khác nhau. Ở nhà, chúng được thay thế bằng TV, tủ lạnh, lò vi sóng và các thiết bị gia dụng khác.
Nguyên nhân phổ biến thứ hai khiến màn hình bị rung là do nguồn điện cung cấp cho màn hình không đủ. Theo quy định, màn hình được kết nối với một phi công, ngoài chính nó, còn “cung cấp năng lượng” cho bộ phận hệ thống, modem, TV, đèn chùm và nhiều thứ khác, tùy thuộc vào sở thích của người dùng. Bạn nên thử tắt một số thiết bị này và xem độ giật hình ảnh trên màn hình có giảm hay không. Nếu không, thì có lẽ vấn đề nằm ở chính phi công, ở cách nó lọc điện. Bạn có thể thử thay đổi nó.
Nguyên nhân ít phổ biến nhất (mặc dù nguyên nhân thường được nghĩ đến nhất) là sự cố bên trong màn hình, chẳng hạn như máy quét bị hỏng hoặc sự cố với nguồn điện của màn hình. Trong những trường hợp như vậy, tốt hơn hết người dùng thiếu kinh nghiệm không nên trèo vào bên trong màn hình. Giải pháp tốt nhất trong tình huống này là liên hệ với các chuyên gia có trình độ.
Đôi khi những vấn đề trên có thể do tần số thấp cập nhật màn hình. Theo mặc định, một số màn hình có tần số được đặt ở khoảng 60 Hz. Điều này không chỉ khiến màn hình bị rung đáng chú ý mà còn cực kỳ có hại cho thị lực của bạn. Do đó, bạn nên sử dụng “Bảng điều khiển” để tìm mục menu “Màn hình” và đặt tần số ở đó thành 75 Hz. Ở tần số này, hiện tượng rung màn hình có thể biến mất hoàn toàn.
Chú ý: chúng tôi đang quay phim!
Để chụp ảnh màn hình, hãy khởi chạy ứng dụng trên máy tính của bạn bằng cách nhấp vào phím tắt trên màn hình nền (thường nó được tạo tự động trong quá trình cài đặt) hoặc bằng cách tìm nó trong danh sách các chương trình (thông qua nút “Bắt đầu”). Sau đó, trong cửa sổ làm việc mở ra, hãy chọn chức năng bạn cần. Trong chương trình này, bạn có thể chụp màn hình: toàn bộ màn hình, một thành phần cửa sổ, cửa sổ cuộn, vùng được chọn, vùng cố định, vùng ngẫu nhiên hoặc chụp ảnh màn hình từ lựa chọn trước đó.
Thanh công cụ cũng mở ra khi bạn nhấp vào nút “Tệp” trong menu chính của chương trình.
Từ tên của các tùy chọn, có thể thấy rõ phần nào của cửa sổ làm việc sẽ được đánh dấu trong quá trình chụp màn hình. Bạn có thể chụp ảnh toàn bộ màn hình hoặc bất kỳ phần nào của màn hình chỉ bằng một cú nhấp chuột. Cũng tại đây, bạn có thể đặt một khu vực hoặc một phần cụ thể của màn hình sẽ tương ứng với các thông số đã chỉ định trước đó. Nói chung, bạn có thể chụp màn hình hoàn toàn mọi thứ.
Ngoài ra, chương trình còn có một danh sách nhỏ các công cụ cần thiết để xử lý hình ảnh: bảng màu, cửa sổ phóng đại, thước kẻ để bạn có thể tính khoảng cách từ điểm này đến điểm khác với độ chính xác đến từng milimet, thước đo góc, chồng chéo và thậm chí cả bảng đá phiến, cho phép bạn ghi chú và vẽ trực tiếp trên màn hình.
Để thực thi hành động hơn nữa Nhấp vào nút "Chính", sau đó một bảng bổ sung với một bộ công cụ cụ thể sẽ xuất hiện trên màn hình. Với sự trợ giúp của họ, bạn có thể cắt hình ảnh, đặt kích thước, đánh dấu một phần nhất định bằng màu sắc, lớp phủ văn bản, chọn phông chữ và tô màu.
Nút “Xem” trong menu chính cho phép bạn thay đổi tỷ lệ, làm việc với thước và tùy chỉnh giao diện của các tài liệu được sàng lọc: xếp tầng, khảm.
Sau khi chụp ảnh màn hình, hãy nhấp vào nút "Tệp" trên thanh trên cùng của ứng dụng và chọn tùy chọn "Lưu dưới dạng" trong cửa sổ thả xuống. Sau này, nó sẽ mở ở phía bên phải cửa sổ bổ sung, trong đó bạn sẽ cần chọn loại tệp: PNG, BMP, JPG, GIF, PDF. Sau đó, tất cả những gì còn lại là chỉ định thư mục để lưu tệp.
14.9. Tường lửa
Sự quan tâm đến tường lửa (tường lửa) của những người kết nối với Internet ngày càng tăng và thậm chí các ứng dụng mạng cục bộ đã xuất hiện cung cấp mức độ tăng lên bảo vệ. Trong phần này, chúng tôi hy vọng phác thảo tường lửa là gì, cách sử dụng chúng và cách tận dụng các khả năng do hạt nhân FreeBSD cung cấp để triển khai chúng.
14.9.1. Tường lửa là gì?
Có hai loại tường lửa khác biệt rõ ràng được sử dụng hàng ngày trong internet hiện đại. Loại đầu tiên được gọi chính xác hơn bộ định tuyến lọc gói . Loại tường lửa này chạy trên một máy được kết nối với nhiều mạng và áp dụng một bộ quy tắc cho từng gói để xác định xem gói đó được chuyển tiếp hay bị chặn. Loại thứ hai, được gọi là máy chủ proxy , được triển khai dưới dạng daemon thực hiện xác thực và chuyển tiếp gói, có thể trên một máy có nhiều kết nối mạng nơi tính năng chuyển tiếp gói bị vô hiệu hóa trong kernel.
Đôi khi hai loại tường lửa này được sử dụng cùng nhau, do đó chỉ có một máy cụ thể (được gọi là chủ pháo đài ) được phép gửi các gói thông qua bộ định tuyến lọc tới mạng nội bộ. Các dịch vụ proxy chạy trên một máy chủ bảo mật, thường an toàn hơn các cơ chế xác thực thông thường.
FreeBSD đi kèm với một gói bộ lọc (được gọi là IPFW) được tích hợp trong kernel, đây sẽ là trọng tâm của phần còn lại của phần này. Máy chủ proxy có thể được xây dựng trên FreeBSD từ phần mềm của bên thứ ba, nhưng có quá nhiều máy chủ proxy sẽ được trình bày trong phần này.
14.9.1.1. Bộ định tuyến có tính năng lọc gói
Bộ định tuyến là một máy chuyển tiếp các gói giữa hai hoặc nhiều mạng. Bộ định tuyến lọc gói được lập trình để so sánh từng gói với danh sách các quy tắc trước khi quyết định có chuyển tiếp gói đó hay không. Hầu hết các phần mềm định tuyến hiện đại đều có khả năng lọc và theo mặc định tất cả các gói đều được chuyển tiếp. Để bật bộ lọc, bạn sẽ cần xác định một bộ quy tắc.
Để xác định xem một gói có được phép đi qua hay không, tường lửa sẽ tìm kiếm một bộ quy tắc khớp với nội dung tiêu đề của gói. Sau khi tìm thấy kết quả phù hợp, hành động được chỉ định cho quy tắc này. Hành động này có thể là loại bỏ gói, chuyển tiếp gói hoặc thậm chí gửi tin nhắn ICMP đến địa chỉ nguồn. Chỉ trận đấu đầu tiên được tính vì luật chơi được xem xét theo một thứ tự cụ thể. Vì vậy, một danh sách các quy tắc có thể được gọi là “chuỗi quy tắc” » .
Tiêu chí lựa chọn gói phụ thuộc vào phần mềm bạn đang sử dụng, nhưng thông thường bạn có thể xác định quy tắc dựa trên địa chỉ IP nguồn của gói, địa chỉ IP đích, số cổng nguồn của gói, số cổng đích (đối với các giao thức hỗ trợ cổng) hoặc thậm chí loại gói (UDP, TCP, ICMP, v.v.).
14.9.1.2. Máy chủ proxy
Máy chủ proxy là các máy tính có trình nền hệ thống thông thường ( telnetd, ftpd, v.v.) được thay thế máy chủ đặc biệt. Những máy chủ này được gọi máy chủ proxy , vì chúng thường chỉ hoạt động với các kết nối đến. Điều này cho phép bạn chạy (ví dụ) telnet máy chủ proxy trên tường lửa và có thể đăng nhập bằng telnet vào tường lửa, vượt qua cơ chế xác thực và giành quyền truy cập vào mạng nội bộ (tương tự, máy chủ proxy có thể được sử dụng để truy cập mạng bên ngoài).
Máy chủ proxy thường được bảo vệ tốt hơn các máy chủ khác và thường có phạm vi cơ chế xác thực rộng hơn, bao gồm cả hệ thống mật khẩu một lần, do đó ngay cả khi ai đó biết bạn đã sử dụng mật khẩu nào, họ cũng sẽ không thể sử dụng nó để truy cập vào máy chủ. hệ thống vì mật khẩu sẽ hết hạn ngay sau lần sử dụng đầu tiên. Vì mật khẩu không trực tiếp cấp quyền truy cập vào máy tính đặt máy chủ proxy nên việc backdoor hệ thống trở nên khó khăn hơn nhiều.
Máy chủ proxy thường có cách hạn chế quyền truy cập hơn nữa để chỉ một số máy chủ nhất định mới có thể truy cập vào máy chủ. Hầu hết cũng cho phép quản trị viên chỉ định người dùng và máy tính nào họ có thể truy cập. Lần nữa Tùy chọn có sẵn chủ yếu phụ thuộc vào phần mềm được sử dụng.
14.9.2. IPFW cho phép bạn làm gì?
Phần mềm IPFW đi kèm với FreeBSD là một hệ thống tính toán và lọc gói nằm trong kernel và được trang bị tiện ích cấu hình người dùng, ipfw (8). Chúng cùng nhau cho phép bạn xác định và xem các quy tắc được kernel sử dụng để định tuyến.
IPFW bao gồm hai phần liên quan. Tường lửa lọc các gói. Phần kế toán gói IP theo dõi việc sử dụng bộ định tuyến dựa trên các quy tắc tương tự như các quy tắc được sử dụng trong phần tường lửa. Điều này cho phép quản trị viên xác định, chẳng hạn như lượng lưu lượng mà bộ định tuyến nhận được từ một máy tính cụ thể hoặc lượng lưu lượng WWW mà nó chuyển tiếp.
Do cách triển khai IPFW nên bạn có thể sử dụng nó trên các máy tính không có bộ định tuyến để lọc các kết nối đến và đi. Cái này một trường hợp đặc biệt việc sử dụng IPFW tổng quát hơn và các lệnh và kỹ thuật tương tự được sử dụng trong tình huống này.
14.9.3. Kích hoạt IPFW trên FreeBSD
Vì phần lớn hệ thống IPFW nằm trong kernel nên bạn sẽ cần thêm một hoặc nhiều tham số vào tệp cấu hình kernel, tùy thuộc vào khả năng cần thiết và xây dựng lại kernel. Tham khảo chương xây dựng lại kernel (Chương 8) để biết mô tả chi tiết về quy trình này.
Chú ý: Quy tắc IPFW mặc định là từ chối ip từ bất kỳ đến bất kỳ. Nếu bạn không thêm bất kỳ quy tắc nào khác vào lúc khởi động để cho phép truy cập thì chặn truy cập đến máy chủ có tường lửa được kích hoạt trong kernel sau khi khởi động lại. Chúng tôi khuyên bạn nên chỉ định tường lửa_type=open trong tệp /etc/rc.conf khi thêm tường lửa lần đầu và sau khi kiểm tra chức năng của nó, hãy chỉnh sửa các quy tắc trong tệp /etc/rc.firewall. Một biện pháp phòng ngừa bổ sung có thể là ban đầu định cấu hình tường lửa từ bảng điều khiển cục bộ, thay vì đăng nhập qua ssh. Ngoài ra, có thể xây dựng kernel với các tham số IPFIREWALL và IPFIREWALL_DEFAULT_TO_ACCEPT. Trong trường hợp này, quy tắc IPFW mặc định sẽ được thay đổi để cho phép ip từ bất kỳ đến bất kỳ, điều này sẽ ngăn chặn khả năng chặn.
Có bốn tùy chọn cấu hình kernel liên quan đến IPFW:
tùy chọn IPFIREWALL
Bao gồm mã lọc gói trong kernel.
Tùy chọn IPFIREWALL_VERBOSE
Cho phép ghi nhật ký gói thông qua nhật ký hệ thống (8). Nếu không có tham số này, ngay cả khi bạn chỉ định trong quy tắc lọc để ghi nhật ký các gói, nó sẽ không hoạt động.
Tùy chọn IPFIREWALL_VERBOSE_LIMIT=10
Giới hạn số lượng gói được ghi theo từng quy tắc thông qua nhật ký hệ thống (8). Bạn có thể sử dụng tùy chọn này nếu muốn ghi lại hoạt động của tường lửa nhưng không muốn để nhật ký hệ thống bị tấn công DoS.
Khi một trong các quy tắc trong chuỗi đạt tới được xác định bởi tham số giới hạn, việc ghi nhật ký bị vô hiệu hóa đối với quy tắc này. Để kích hoạt tính năng ghi nhật ký, bạn sẽ cần đặt lại bộ đếm tương ứng bằng tiện ích ipfw (8) :
# ipfw số 0 4500
trong đó 4500 là số quy tắc mà bạn muốn tiếp tục ghi nhật ký.
Tùy chọn IPFIREWALL_DEFAULT_TO_ACCEPT
Thay đổi quy tắc mặc định từ "từ chối" thành "cho phép". Điều này ngăn chặn khả năng chặn nếu kernel được tải với hỗ trợ IPFIREWALL nhưng tường lửa chưa được cấu hình. Tùy chọn này cũng hữu ích nếu bạn đang sử dụng ipfw (8) như một giải pháp cho một số vấn đề nhất định khi chúng phát sinh. Tuy nhiên, hãy thận trọng khi sử dụng cài đặt này vì nó sẽ mở tường lửa và thay đổi hành vi của nó.
Bình luận: Những phiên bản trước FreeBSD chứa tham số IPFIREWALL_ACCT. Tùy chọn này không được dùng nữa vì mã tự động kích hoạt tính năng tính toán.
14.9.4. Thiết lập IPFW
Phần mềm IPFW được cấu hình bằng tiện ích ipfw (8). Cú pháp của lệnh này trông rất phức tạp nhưng nó sẽ trở nên tương đối đơn giản khi bạn hiểu cấu trúc của nó.
Tiện ích hiện sử dụng bốn loại lệnh khác nhau: thêm/xóa, liệt kê, xóa và xóa. Thêm/Thả được sử dụng để tạo các quy tắc xác định cách các gói được chấp nhận, loại bỏ và ghi lại. Việc tra cứu được sử dụng để xác định nội dung của một bộ quy tắc (còn gọi là chuỗi) và bộ đếm gói (kế toán). Đặt lại được sử dụng để xóa tất cả các quy tắc trong một chuỗi. Xóa được sử dụng để đặt lại một hoặc nhiều bộ đếm về 0.
14.9.4.1. Thay đổi quy tắc IPFW
ipfw [-N] lệnh [số] địa chỉ hành động giao thức [tham số]
Có một cờ có sẵn khi sử dụng dạng lệnh này:
Giải quyết địa chỉ, tên dịch vụ khi hiển thị.
Có thể xác định đội có thể được rút ngắn thành một dạng duy nhất ngắn hơn. hiện tại đội :
Thêm quy tắc vào danh sách lọc/kế toán
Xóa quy tắc khỏi danh sách lọc/kế toán
Các phiên bản trước của IPFW sử dụng các mục riêng biệt để lọc và tính toán gói. Phiên bản hiện đại xem xét các gói cho mỗi quy tắc.
Nếu một giá trị được chỉ định con số, nó được sử dụng để đặt một quy tắc tại một vị trí cụ thể trong chuỗi. Nếu không, quy tắc sẽ được đặt ở cuối chuỗi với số cao hơn quy tắc trước đó là 100 (điều này không bao gồm số quy tắc mặc định là 65535).
Với tham số nhật ký, các quy tắc tương ứng sẽ xuất thông tin ra bảng điều khiển hệ thống nếu kernel được xây dựng bằng tùy chọn IPFIREWALL_VERBOSE.
hiện tại hành động :
Thả gói và gửi gói ICMP đến địa chỉ nguồn cho biết rằng máy chủ hoặc cổng không thể truy cập được.
Bỏ qua gói như bình thường. (từ đồng nghĩa: vượt qua, cho phép và chấp nhận)
Bỏ gói đi. Không có thông báo ICMP nào được gửi tới nguồn (như thể gói tin chưa bao giờ đến đích).
Cập nhật bộ đếm gói nhưng không áp dụng quy tắc cho phép/từ chối cho nó. Việc tìm kiếm sẽ tiếp tục với quy tắc tiếp theo trong chuỗi.
Mỗi hoạt động có thể được viết dưới dạng tiền tố duy nhất ngắn hơn.
Có thể xác định những điều sau đây giao thức :
Phù hợp với tất cả các gói IP
Phù hợp với các gói ICMP
So khớp các gói TCP
Phù hợp với các gói UDP
Cánh đồng địa chỉđược hình thành như thế này:
nguồn địa chỉ/mặt nạ [Hải cảng] mục tiêu địa chỉ/mặt nạ [Hải cảng]
Bạn có thể chỉ định Hải cảng chỉ cùng với giao thức cổng hỗ trợ (UDP và TCP).
Tham số via là tùy chọn và có thể chứa địa chỉ IP hoặc tên miền của giao diện IP cục bộ hoặc tên của giao diện (ví dụ ed0), nó định cấu hình quy tắc để chỉ khớp với những gói đi qua giao diện đó. Số giao diện có thể được thay thế bằng mặt nạ tùy chọn. Ví dụ: ppp* sẽ tương ứng với giao diện hạt nhân PPP.
Cú pháp dùng để chỉ địa chỉ/mặt nạ:
Địa chỉ hoặc Địa chỉ/bit mặt nạ hoặc Địa chỉ:mặt nạ mẫuThay vì địa chỉ IP, bạn có thể chỉ định tên máy chủ hiện có. bit mặt nạđây là số thập phân cho biết số bit phải được đặt trong mặt nạ địa chỉ. Ví dụ: 192.216.222.1/24 sẽ tạo một mặt nạ khớp với tất cả các địa chỉ mạng con lớp C (trong trong trường hợp này, 192.216.222). Tên máy chủ hợp lệ có thể được chỉ định thay cho địa chỉ IP. mặt nạ mẫuđây là IP sẽ được nhân một cách hợp lý với địa chỉ đã cho. Từ khóa bất kỳ có thể được sử dụng với nghĩa là "bất kỳ địa chỉ IP nào".
Số cổng được chỉ định trong định dạng sau:
Hải cảng [,Hải cảng [,Hải cảng [.]]]
Để chỉ định một cổng hoặc danh sách các cổng, hoặc
Hải cảng-Hải cảng
Để chỉ định một loạt các cổng. Bạn cũng có thể kết hợp một phạm vi với một danh sách các cổng, nhưng phạm vi đó phải luôn được liệt kê trước tiên.
Có sẵn tùy chọn :
Kích hoạt nếu gói không phải là gói đầu tiên trong datagram.
So khớp các gói đến.
So khớp các gói gửi đi.
Ipoption thông số kỹ thuật
Kích hoạt nếu tiêu đề IP chứa danh sách các tham số được phân tách bằng dấu phẩy được chỉ định trong thông số kỹ thuật. Các tham số IP được hỗ trợ: ssrr (tuyến nguồn nghiêm ngặt), lsrr (tuyến nguồn lỏng), rr (tuyến gói bản ghi) và ts (dấu thời gian). Hiệu ứng của các tham số riêng lẻ có thể được thay đổi bằng cách chỉ định tiền tố!.
Thành lập
Kích hoạt nếu gói là một phần của gói đã được cài đặt kết nối TCP(tức là nếu các bit RST hoặc ACK được đặt). Bạn có thể cải thiện hiệu suất tường lửa bằng cách đặt quy tắc với thành lập gần đầu chuỗi.
Phù hợp nếu gói đang cố gắng thiết lập kết nối TCP (bit SYN được đặt và bit ACK không được đặt).
cờ tcp cờ
Kích hoạt nếu tiêu đề TCP chứa danh sách được phân tách bằng dấu phẩy cờ. Các cờ được hỗ trợ là fin, syn, rst, psh, ack và urg. Tác dụng của các quy tắc đối với từng cờ có thể được thay đổi bằng cách chỉ định tiền tố!.
Icmptypes các loại
Kích hoạt nếu loại gói ICMP có trong danh sách các loại. Danh sách có thể được chỉ định dưới dạng bất kỳ sự kết hợp nào của phạm vi và/hoặc loại riêng lẻ, được phân tách bằng dấu phẩy. Các loại ICMP thường được sử dụng là 0 phản hồi tiếng vang (trả lời ping), 3 đích không thể truy cập được, 5 chuyển hướng, 8 yêu cầu tiếng vang (yêu cầu ping) và vượt quá 11 thời gian (được sử dụng để biểu thị hết hạn TTL, như với theo dõi lộ trình (8)).
14.9.4.2. Xem quy tắc IPFW
Cú pháp cho dạng lệnh này là:
danh sách ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S]
Có bảy lá cờ cho dạng lệnh này:
Hiển thị giá trị bộ đếm Thông số này -- cách duy nhấtđể xem các giá trị bộ đếm.
Xem các quy tắc ở dạng nhỏ gọn.
Trình diễn quy tắc động bên cạnh những cái tĩnh.
Nếu tùy chọn -d được chỉ định, cũng hiển thị các quy tắc động đã hết hạn.
Hiển thị thời gian kích hoạt cuối cùng cho mỗi quy tắc trong chuỗi. Danh sách này không tương thích với cú pháp được chấp nhận ipfw (8) .
Cố gắng giải quyết các địa chỉ và tên dịch vụ đã cho.
Hiển thị tập hợp mà mỗi quy tắc thuộc về. Nếu cờ này không được chỉ định, các quy tắc bị chặn sẽ không được hiển thị.
14.9.4.3. Đặt lại quy tắc IPFW
Cú pháp để đặt lại quy tắc:
Tất cả các quy tắc trong chuỗi sẽ bị xóa ngoại trừ quy tắc mặc định do kernel đặt ra (số 65535). Hãy cẩn thận khi đặt lại quy tắc; quy tắc loại bỏ các gói theo mặc định sẽ ngắt kết nối hệ thống khỏi mạng cho đến khi các quy tắc cho phép được thêm vào chuỗi.
14.9.4.4. Xóa bộ đếm gói IPFW
Cú pháp để xóa một hoặc nhiều bộ đếm gói là:
ipfw số không [ mục lục]
Khi được sử dụng mà không có đối số con số Tất cả các bộ đếm gói sẽ bị xóa. Nếu như mục lụcđược chỉ định, thao tác dọn dẹp chỉ áp dụng cho quy tắc chuỗi đã chỉ định.
14.9.5. Các lệnh ví dụ cho ipfw
Lệnh sau sẽ từ chối tất cả các gói tin từ máy chủ evil.crackers.org tới cổng telnet của máy chủ nice.people.org:
# ipfw thêm từ chối tcp từ evil.crackers.org vào nice.people.org 23
Ví dụ sau từ chối và ghi lại tất cả lưu lượng TCP từ mạng cracker.org (lớp C) đến máy tính nice.people.org (trên bất kỳ cổng nào).
# ipfw thêm từ chối đăng nhập tcp từ evil.crackers.org/24 vào nice.people.org
Nếu bạn muốn cấm tổ chức các phiên X trên mạng của mình (một phần của mạng lớp C), lệnh tiếp theo sẽ thực hiện việc lọc cần thiết:
# ipfw thêm từ chối tcp từ bất kỳ vào thiết lập my.org/28 6000
Để xem hồ sơ kế toán:
# ipfw -a danh sách hoặc viết tắt # ipfw -a l
Bạn cũng có thể xem lần cuối cùng các quy tắc được kích hoạt bằng lệnh:
14.9.6. Tạo tường lửa với tính năng lọc gói
Khi định cấu hình tường lửa lần đầu, trước khi kiểm tra hiệu suất và đưa máy chủ vào hoạt động, chúng tôi đặc biệt khuyên bạn nên sử dụng các phiên bản ghi nhật ký của lệnh và cho phép ghi nhật ký vào kernel. Điều này sẽ cho phép bạn nhanh chóng xác định các khu vực có vấn đề và sửa chữa thiết lập của mình mà không cần nỗ lực nhiều. Ngay cả sau khi thiết lập ban đầu hoàn tất, bạn nên sử dụng tính năng ghi nhật ký để "từ chối" vì nó cho phép bạn giám sát các cuộc tấn công có thể xảy ra và thay đổi quy tắc tường lửa nếu yêu cầu tường lửa của bạn thay đổi.
Bình luận: Nếu bạn đang sử dụng phiên bản ghi nhật ký của lệnh chấp nhận, hãy cẩn thận vì nó có thể tạo ra to lớn khối lượng dữ liệu giao thức. Mọi gói đi qua tường lửa sẽ được ghi lại, do đó khối lượng lớn FTP/http và lưu lượng truy cập khác sẽ làm hệ thống chậm đi đáng kể. Điều này cũng sẽ làm tăng độ trễ của các gói như vậy vì kernel cần thực hiện thêm công việc trước khi cho gói đi qua. syslogd cũng sẽ sử dụng nhiều thời gian CPU hơn vì nó sẽ gửi tất cả dữ liệu bổ sung vào đĩa và phân vùng /var/log có thể nhanh chóng lấp đầy.
Bạn sẽ cần kích hoạt tường lửa trong /etc/rc.conf.local hoặc /etc/rc.conf. Trang tham khảo tương ứng giải thích chính xác những gì cần phải làm và chứa các ví dụ về cài đặt sẵn sàng. Nếu bạn không sử dụng giá trị đặt trước, lệnh danh sách ipfw có thể đặt bộ quy tắc hiện tại vào một tệp, từ đó nó có thể được đặt vào các tệp khởi động của hệ thống. Nếu bạn không sử dụng /etc/rc.conf.local hoặc /etc/rc.conf để bật tường lửa, điều quan trọng là đảm bảo rằng nó được bật sau khi định cấu hình các giao diện.
Tiếp theo, bạn cần xác định Những gì chính xác làm cho tường lửa của bạn! Điều này chủ yếu phụ thuộc vào mức độ truy cập mà bạn muốn có từ bên ngoài vào mạng của mình. Ở đây có một ít quy tắc chung:
Chặn quyền truy cập bên ngoài vào cổng TCP với các số dưới 1024. Hầu hết các dịch vụ quan trọng về bảo mật như ngón tay, SMTP (thư) và telnet đều được đặt ở đây.
Khối tất cả lưu lượng UDP đến. Có rất ít dịch vụ hữu ích chạy trên UDP, nhưng chúng thường gây ra rủi ro bảo mật (ví dụ: giao thức Sun RPC và NFS). Phương pháp này cũng có nhược điểm vì giao thức UDP không nhận biết kết nối và việc chặn các gói đến cũng sẽ chặn phản hồi đối với lưu lượng UDP đi. Đây có thể là vấn đề đối với những người sử dụng máy chủ bên ngoài hoạt động với UDP. Nếu bạn muốn cho phép truy cập vào các dịch vụ này, bạn sẽ cần cho phép các gói đến từ các cổng thích hợp. Ví dụ, đối với ntp bạn có thể cần cho phép các gói đến từ cổng 123.
Chặn tất cả lưu lượng truy cập từ bên ngoài đến cổng 6000. Cổng 6000 được sử dụng để truy cập máy chủ X11 và có thể là một rủi ro bảo mật (đặc biệt nếu người dùng có thói quen chạy lệnh xhost + trên máy trạm của họ). X11 có thể sử dụng nhiều cổng bắt đầu từ 6000, giới hạn trên được xác định bởi số lượng màn hình X có thể chạy trên máy. Giới hạn trên được xác định bởi RFC 1700 (Số được chỉ định) là 6063.
Kiểm tra các cổng được sử dụng dịch vụ nội bộ(Ví dụ, máy chủ SQL và như thế.). Bạn cũng có thể chặn các cổng này vì chúng thường không nằm trong phạm vi 1-1024 được liệt kê ở trên.
Một danh sách khác để kiểm tra cài đặt tường lửa có sẵn trên CERT tại http://www.cert.org/tech_tips/packet_filtering.html
Như đã nêu ở trên, tất cả các quy tắc này chỉ là sự quản lý . Bạn có thể tự mình quyết định quy tắc lọc nào sẽ được sử dụng trong tường lửa. Chúng tôi không thể chịu bất kỳ trách nhiệm nào nếu mạng của bạn bị hack, ngay cả khi bạn đã làm theo lời khuyên được cung cấp ở trên.
14.9.7. Tối ưu hóa chi phí và IPFW
Nhiều người dùng muốn biết IPFW tải hệ thống bao nhiêu. Câu trả lời chủ yếu phụ thuộc vào bộ quy tắc và tốc độ của bộ xử lý. Đưa ra một bộ quy tắc nhỏ, đối với hầu hết các ứng dụng chạy trên Ethernet, câu trả lời là “không nhiều”. Phần này dành cho những người cần một câu trả lời chính xác hơn.
Các phép đo tiếp theo được thực hiện với 2.2.5-STABLE trên 486-66. (Mặc dù IPFW đã thay đổi một chút trong các bản phát hành FreeBSD tiếp theo, nhưng tốc độ vẫn gần như giữ nguyên.) IPFW đã được sửa đổi để đo thời gian mà ip_fw_chk sử dụng, in kết quả ra bảng điều khiển sau mỗi gói thứ 1000.
Hai bộ 1000 quy tắc đã được thử nghiệm. Cái đầu tiên được thiết kế để thể hiện một bộ quy tắc tồi bằng cách lặp lại quy tắc:
# ipfw thêm từ chối tcp từ bất kỳ vào bất kỳ 55555
Bộ quy tắc này không tốt vì hầu hết các quy tắc IPFW không khớp với các gói đang được kiểm tra (do số cổng). Sau lần lặp thứ 999 của quy tắc này, quy tắc cho phép ip từ bất kỳ đến bất kỳ quy tắc nào sẽ tuân theo.
Bộ quy tắc thứ hai được thiết kế để kiểm tra từng quy tắc nhanh nhất có thể:
# ipfw thêm từ chối ip từ 1.2.3.4 lên 1.2.3.4
Địa chỉ IP nguồn không khớp trong quy tắc trên sẽ dẫn đến rất kiểm tra nhanh các quy tắc. Như trước đây, quy tắc thứ 1000 cho phép ip từ bất kỳ đến bất kỳ.
Chi phí kiểm tra gói trong trường hợp đầu tiên là khoảng 2,703 ms/gói hoặc khoảng 2,7 micro giây cho mỗi quy tắc. Giới hạn tốc độ quét lý thuyết là khoảng 370 gói mỗi giây. Giả sử kết nối Ethernet 10 Mbps và kích thước gói khoảng 1500 byte, điều này chỉ dẫn đến việc sử dụng băng thông 55,5%.
Trong trường hợp thứ hai, mỗi gói được quét trong khoảng 1,172 ms hoặc khoảng 1,2 micro giây cho mỗi quy tắc. Giới hạn tốc độ quét lý thuyết là khoảng 853 gói mỗi giây, điều này có thể thực hiện được sử dụng đầy đủ Băng thông Ethernet 10 Mbps.
Số lượng quy tắc được kiểm tra quá nhiều và loại của chúng không cho phép chúng tôi tạo ra một bức tranh gần với điều kiện bình thường - những quy tắc này chỉ được sử dụng để lấy thông tin về thời gian xác minh. Dưới đây là một số nguyên tắc cần xem xét để tạo ra một bộ quy tắc hiệu quả:
Đặt quy tắc đã thiết lập càng sớm càng tốt để xử lý phần lớn lưu lượng TCP. Đừng đặt các quy tắc cho phép tcp ở phía trước nó.
Đặt các quy tắc được sử dụng thường xuyên gần phần đầu của tập hợp hơn các quy tắc hiếm khi được sử dụng (tất nhiên mà không thay đổi hiệu ứng của toàn bộ bộ ). Bạn có thể xác định các quy tắc được sử dụng phổ biến nhất bằng cách kiểm tra bộ đếm gói bằng lệnh ipfw -al.
Chỉ cách đây vài năm, để bảo vệ PC của bạn một cách đáng tin cậy, việc cài đặt một phần mềm tốt là đủ. chương trình chống vi rút và theo dõi cập nhật cơ sở dữ liệu thường xuyên. Tuy nhiên, sự khéo léo của những kẻ tấn công ngày càng tạo ra nhiều cách thức gây thiệt hại mới. Thông thường cách chính để xâm nhập vào máy tính của người dùng là thông qua kết nối mạng, hay đúng hơn là các lỗ hổng hệ thống liên quan đến chúng. Một gói diệt virus chỉ có thể phát hiện được mã độc nhưng không phải phần mềm diệt virus nào cũng có khả năng phát hiện những truy cập trái phép vào dữ liệu.
Với sự phát triển của quan hệ thị trường, thông tin ngày càng mang những đặc tính của một loại hàng hóa, tức là nó có thể được mua, bán, chuyển nhượng và không may bị đánh cắp. Vì vậy, vấn đề đảm bảo an ninh thông tin ngày càng trở nên cấp bách hơn mỗi năm. Một giải pháp khả thi cho vấn đề này là sử dụng tường lửa.
Công nghệ hiện đại bảo vệ mạng là một trong những phân khúc năng động nhất của thị trường an ninh hiện đại. Các công cụ an ninh mạng đang phát triển nhanh đến mức thuật ngữ được chấp nhận rộng rãi hiện nay trong lĩnh vực này vẫn chưa được thiết lập đầy đủ. Những phương tiện bảo vệ này xuất hiện trong tài liệu và phương tiện truyền thông như tường lửa, tường lửa và thậm chí cả màng thông tin. Nhưng thuật ngữ được sử dụng phổ biến nhất là “tường lửa” (FW).
Nói chung, để đảm bảo bảo vệ mạng, một màn hình hoặc màng thông tin được lắp đặt giữa hai bộ hệ thống thông tin (IS), đây là một phương tiện hạn chế quyền truy cập của máy khách từ một bộ hệ thống này vào thông tin được lưu trữ trên các máy chủ trong một bộ khác. Theo nghĩa này, ME có thể được biểu diễn dưới dạng một tập hợp các bộ lọc để phân tích thông tin đi qua chúng và đưa ra quyết định: truyền thông tin hay chặn thông tin đó. Đồng thời, các sự kiện được ghi lại và cảnh báo được tạo ra nếu phát hiện mối đe dọa. Thông thường, hệ thống che chắn được làm không đối xứng. Đối với màn hình, các khái niệm “bên trong” và “bên ngoài” được xác định và nhiệm vụ của màn hình là bảo vệ mạng nội bộ khỏi môi trường thù địch tiềm ẩn. Ngoài ra, ME có thể được sử dụng như một phần mở của mạng công ty, có thể nhìn thấy được từ Internet. Ví dụ: nhiều tổ chức sử dụng ME để lưu trữ dữ liệu truy cập mở, chẳng hạn như thông tin về sản phẩm và dịch vụ, tệp từ cơ sở dữ liệu FTP, thông báo lỗi, v.v.
Tường lửa hoặc tường lửa - một phức hợp phần cứng hoặc phần mềm, điều khiển và lọc những thứ đi qua nó gói mạng theo những quy tắc đã cho.
Nhiệm vụ chính của tường lửa là bảo vệ mạng máy tính hoặc các nút riêng lẻ khỏi bị truy cập trái phép. Ngoài ra, tường lửa thường được gọi là bộ lọc, vì nhiệm vụ chính của chúng là không cho (lọc) các gói không đáp ứng các tiêu chí được xác định trong cấu hình đi qua.
Một số tường lửa cũng cho phép dịch địa chỉ - thay thế động các địa chỉ hoặc cổng mạng nội bộ (màu xám) bằng các địa chỉ bên ngoài được sử dụng bên ngoài mạng cục bộ.
Hinh 4. Cấu trúc chung bức tường lửa
Vài cái tên khác
Tường lửa (tiếng Đức: Brandmauer) là một thuật ngữ mượn từ tiếng Đức, tương tự như tường lửa tiếng Anh theo nghĩa gốc (bức tường ngăn cách các tòa nhà liền kề, bảo vệ khỏi sự lây lan của lửa). Điều thú vị là trong lĩnh vực công nghệ máy tính, từ “Tường lửa” được sử dụng trong tiếng Đức.
Tường lửa - được hình thành bằng cách phiên âm thuật ngữ tường lửa trong tiếng Anh.
Các loại tường lửa
Tường lửa được chia thành Nhiều loại khác nhau tùy thuộc vào các đặc điểm sau:
liệu tấm chắn có cung cấp kết nối giữa một nút và mạng hoặc giữa hai hoặc nhiều mạng khác nhau hay không;
ở mức độ nào giao thức mạng luồng dữ liệu được kiểm soát;
trạng thái của các kết nối đang hoạt động có được giám sát hay không.
Tùy thuộc vào phạm vi bao phủ của luồng dữ liệu được kiểm soát, tường lửa được chia thành:
mạng truyền thống (hoặc tường lửa) -- một chương trình (hoặc một phần không thể thiếu của hệ điều hành) trên một cổng (máy chủ truyền lưu lượng giữa các mạng) hoặc giải pháp phần cứng kiểm soát luồng dữ liệu đến và đi giữa các mạng được kết nối.
tường lửa cá nhân - một chương trình được cài đặt trên máy tính người dùng và được thiết kế để chỉ bảo vệ máy tính này khỏi bị truy cập trái phép.
Trường hợp thoái hóa là việc máy chủ sử dụng tường lửa truyền thống để hạn chế quyền truy cập vào tài nguyên của chính nó.
Tùy thuộc vào mức độ kiểm soát truy cập xảy ra, có sự phân chia thành các tường lửa hoạt động trên:
cấp độ mạng, khi quá trình lọc diễn ra dựa trên địa chỉ của người gửi và người nhận gói, số cổng lớp vận chuyển Mô hình OSI và các quy tắc tĩnh do quản trị viên đặt ra;
lớp phiên (còn được gọi là trạng thái) - theo dõi các phiên giữa các ứng dụng, không cho phép các gói vi phạm thông số kỹ thuật TCP/IP, thường được sử dụng trong các hoạt động độc hại - quét tài nguyên, hack thông qua việc triển khai TCP/IP không chính xác, kết nối bị rớt/chậm, tiêm dữ liệu.
cấp độ ứng dụng, lọc dựa trên phân tích dữ liệu ứng dụng được truyền trong gói. Những loại màn hình này cho phép bạn chặn việc truyền thông tin không mong muốn và có khả năng gây hại dựa trên các chính sách và cài đặt.
Một số giải pháp tường lửa cấp ứng dụng là các máy chủ proxy có một số khả năng tường lửa, triển khai máy chủ proxy minh bạch, với chuyên môn về giao thức. Khả năng của máy chủ proxy và sự chuyên môn hóa đa giao thức giúp việc lọc linh hoạt hơn nhiều so với tường lửa cổ điển, nhưng những ứng dụng như vậy có tất cả những nhược điểm của máy chủ proxy (ví dụ: ẩn danh lưu lượng truy cập).
Tùy thuộc vào việc giám sát các kết nối đang hoạt động, tường lửa là:
không trạng thái (lọc đơn giản), không giám sát các kết nối hiện tại (ví dụ: TCP), nhưng chỉ lọc luồng dữ liệu dựa trên các quy tắc tĩnh;
kiểm tra gói có trạng thái, trạng thái (SPI) (lọc nhận biết ngữ cảnh), giám sát các kết nối hiện tại và chỉ truyền những gói đáp ứng logic và thuật toán của các giao thức và ứng dụng tương ứng. Những loại tường lửa này giúp chống lại các loại tấn công DoS và lỗ hổng khác nhau của một số giao thức mạng một cách hiệu quả hơn. Ngoài ra, chúng còn cung cấp chức năng của các giao thức như H.323, SIP, FTP, v.v., sử dụng mạch phức tạp truyền dữ liệu giữa những người nhận, khó mô tả bằng các quy tắc tĩnh và thường không tương thích với tường lửa tiêu chuẩn, không trạng thái.
Cần lưu ý rằng hiện nay, cùng với các tường lửa đơn cấp, các tường lửa phức tạp bao trùm các cấp độ từ mạng đến ứng dụng đang ngày càng trở nên phổ biến, do các sản phẩm này kết hợp với nhau. tài sản tốt nhất màn hình đơn cấp các loại khác nhau. Hình 1 thể hiện cấu trúc che chắn thông tin giữa hai hệ thống khi sử dụng mô hình tham chiếu ISO/OSI.
Hình 5. Khung bảo vệ thông tin sử dụng mô hình tham chiếu
Yêu cầu hiện đại đối với tường lửa
Yêu cầu chính là đảm bảo an ninh cho mạng nội bộ (được bảo vệ) và toàn quyền kiểm soát bên trên kết nối bên ngoài và các buổi giao tiếp.
Hệ thống bảo mật phải có các biện pháp kiểm soát mạnh mẽ và linh hoạt để thực hiện dễ dàng và đầy đủ chính sách bảo mật của tổ chức.
Tường lửa phải hoạt động mà người dùng mạng cục bộ không chú ý và không gây khó khăn cho họ khi thực hiện các hành động pháp lý.
Bộ xử lý tường lửa phải nhanh, hoạt động đủ hiệu quả và có thể xử lý tất cả lưu lượng truy cập đến và đi vào thời gian cao điểm để không bị chặn bởi số lượng lớn cuộc gọi và làm gián đoạn hoạt động của nó.
Bản thân hệ thống an ninh phải được bảo vệ một cách đáng tin cậy khỏi mọi ảnh hưởng trái phép, vì đây là chìa khóa để thông tin bí mật Trong tổ chức.
Hệ thống quản lý màn hình phải có khả năng thực thi tập trung chính sách bảo mật thống nhất cho các chi nhánh ở xa.
Đặc điểm của tường lửa hiện đại
Như có thể thấy trong Bảng 3, tường lửa là phương tiện phổ biến nhất để tăng cường các phương tiện bảo vệ truyền thống chống truy cập trái phép và được sử dụng để đảm bảo bảo vệ dữ liệu khi tổ chức liên mạng.
Việc triển khai ME cụ thể trong đến một mức độ lớn phụ thuộc vào nền tảng điện toán được sử dụng, tuy nhiên, tất cả các hệ thống thuộc lớp này đều sử dụng hai cơ chế, một trong số đó cung cấp khả năng chặn lưu lượng mạng, và thứ hai, ngược lại, cho phép trao đổi dữ liệu.
Đồng thời, một số phiên bản ME tập trung vào việc chặn lưu lượng truy cập không mong muốn, trong khi những phiên bản khác tập trung vào việc điều chỉnh việc trao đổi giữa các máy được phép.
Bảng 3 - Đặc điểm của tường lửa
|
Loại tường lửa |
Nguyên tắc hoạt động |
Thuận lợi |
sai sót |
|
Che chắn bộ định tuyến (tường lửa lọc gói) |
Việc lọc gói được thực hiện theo tiêu đề IP của gói theo tiêu chí: những gì không bị cấm rõ ràng đều được cho phép. Thông tin được phân tích là: - địa chỉ của người gửi; - địa chỉ của người nhận; - thông tin về ứng dụng hoặc giao thức; - số cổng nguồn; - số cổng người nhận |
Giá thấp · Tác động tối thiểu về hiệu suất mạng Dễ dàng cấu hình và cài đặt Phần mềm minh bạch |
Lỗ hổng của cơ chế bảo vệ trước các kiểu tấn công mạng khác nhau, chẳng hạn như giả mạo địa chỉ nguồn gói, sửa đổi trái phép nội dung gói Thiếu các công cụ kiểm tra và hỗ trợ nhật ký sự kiện trong một số sản phẩm |
|
Cổng sàng lọc (ESG) |
Trao đổi thông tin xảy ra thông qua một máy chủ pháo đài được cài đặt giữa mạng nội bộ và bên ngoài, đưa ra quyết định về khả năng định tuyến lưu lượng. Có hai loại ES: phiên và cấp độ ứng dụng |
· Không truyền gói tin từ đầu đến cuối trong trường hợp lỗi · Cơ chế bảo vệ nâng cao so với EM, cho phép sử dụng các công cụ xác thực bổ sung, cả phần mềm và phần cứng · Sử dụng quy trình dịch địa chỉ cho phép ẩn địa chỉ máy chủ Mạng kín |
· Chỉ sử dụng các máy chủ pháo đài mạnh do khối lượng tính toán lớn · Thiếu "tính minh bạch" do ES gây ra sự chậm trễ trong quá trình truyền và yêu cầu các thủ tục xác thực từ người dùng |
|
Mạng con che chắn (ES) |
Một mạng con biệt lập được tạo giữa mạng nội bộ và mạng công cộng. Tin nhắn từ mạng mở được cổng ứng dụng xử lý và kết thúc bằng chữ ký điện tử. Sau khi vượt qua thành công quyền kiểm soát ở chữ ký điện tử, chúng sẽ vào một mạng đóng. Các yêu cầu từ mạng đóng được xử lý thông qua chữ ký điện tử theo cách tương tự. Lọc dựa trên nguyên tắc: cái gì không được phép thì bị cấm |
Khả năng ẩn địa chỉ mạng nội bộ Tăng độ tin cậy bảo mật Khả năng tạo lưu lượng truy cập cao giữa mạng nội bộ và mạng mở khi sử dụng một số máy chủ pháo đài trong truyền thông điện tử; “minh bạch” công việc đối với mọi dịch vụ mạng và mọi cấu trúc của mạng nội bộ |
Chỉ sử dụng máy chủ pháo đài mạnh mẽ do khối lượng tính toán cao · BẢO TRÌ(cài đặt, cấu hình) chỉ có thể được thực hiện bởi các chuyên gia |
Các tùy chọn điển hình để kích hoạt tường lửa
Hình 6. Kích hoạt ME bằng sơ đồ cổng hai cổng
Hình 7. Kích hoạt ME trực tiếp trên máy chủ được bảo vệ
Hình 8. Kích hoạt ME trong hệ thống Internet Intranet
Đặc điểm so sánh của tường lửa hiện đại
Bảng 4 - Đặc điểm so sánh của tường lửa hiện đại
|
Nền tảng |
Công ty |
Đặc điểm |
||
|
Tường lửa hạ chí |
Tổ hợp |
SunOS, UNIX, Solaris |
Hệ thống vi mô mặt trời |
Thực hiện chính sách bảo mật: tất cả dữ liệu không có sự cho phép rõ ràng sẽ bị loại bỏ. Trong quá trình hoạt động, bộ lọc gói trên cổng và máy chủ tạo ra bản ghi của tất cả các sự kiện và kích hoạt cơ chế cảnh báo yêu cầu phản hồi của quản trị viên. |
|
Tập đoàn mạng lưới Milkyway |
Không sử dụng cơ chế lọc gói. Nguyên tắc hoạt động: những gì không được cho phép rõ ràng đều bị cấm. Đăng ký tất cả các hành động của máy chủ và cảnh báo các vi phạm có thể xảy ra. Có thể được sử dụng như một cổng hai chiều. |
|||
|
Máy chủ tường lửa BorderWare |
Cổng sàng lọc cấp ứng dụng |
UNIX, Windows, DOS |
Tập đoàn máy tính an toàn |
Phần mềm bảo mật đảm bảo hoạt động dưới sự kiểm soát của hệ điều hành (do chúng tôi phát triển). Cho phép bạn ghi lại địa chỉ, thời gian, lần thử, giao thức được sử dụng. |
|
ALF (Bộ lọc lớp ứng dụng) |
Cổng sàng lọc cấp ứng dụng |
Có thể lọc các gói IP theo địa chỉ, phạm vi cổng, giao thức và giao diện. Một gói hàng đến có thể bị bỏ sót, loại bỏ hoặc gửi đến địa chỉ của nó. |
||
|
Dịch vụ khóa liên động ANS |
Cổng sàng lọc cấp ứng dụng |
Hệ thống ANS CO + RE |
Sử dụng các chương trình trung gian cho các dịch vụ Telnet, FTR, HTTR. Hỗ trợ mã hóa các kết nối điểm-điểm và phần cứng có thể được sử dụng làm phương tiện xác thực. |
|
|
Màn hình tích hợp |
SunOS, BSDI trên Intel, IRIX trên INDY và Challenge |
Sử dụng thời gian, ngày tháng, địa chỉ, cổng, v.v. để phân tích. Bao gồm phần mềm trung gian lớp ứng dụng cho Telnet, FTR, SMTP, X11, HTTP, Gopher và các dịch vụ khác. Hỗ trợ hầu hết các gói xác thực phần cứng. |
||
|
Cổng sàng lọc cấp ứng dụng |
SunOS, BSDI, Solaris, HP-UX, AIX |
Một mạng khép kín được nhìn từ bên ngoài như một máy chủ duy nhất. Nó có các chương trình trung gian cho các dịch vụ: email, giao thức FTR, v.v. Đăng ký mọi hành động của máy chủ và cảnh báo các vi phạm. |
||
|
Cổng sàng lọc cấp ứng dụng |
Phần mềm Sterling |
Nó là một sản phẩm phần mềm bảo vệ thông tin khỏi bị truy cập trái phép khi kết nối các mạng đóng và mở. Cho phép bạn ghi lại mọi hoạt động của máy chủ và cảnh báo về những vi phạm có thể xảy ra. |
||
|
Tường lửa CyberGuard |
Cổng đầu cuối hai chiều (máy chủ đến pháo đài dưới dạng bộ lọc, cổng cấp ứng dụng hoặc màn hình đầu cuối) |
Nền tảng RISC, OS UNIX |
Tập đoàn hệ thống máy tính Harris |
Đã sử dụng giải pháp toàn diện, bao gồm các cơ chế bảo vệ hệ điều hành UNIX và các công cụ mạng, được thiết kế cho máy tính RISC. Địa chỉ nguồn, địa chỉ đích, v.v. được sử dụng để phân tích. |
|
Tường lửa kỹ thuật số cho UNIX |
Màn hình tích hợp |
Công Ty Cổ Phần Thiết Bị Kỹ Thuật Số |
Được cài đặt sẵn trên các hệ thống Digital Alpha và cung cấp khả năng lọc che chắn và cổng ứng dụng. |
|
|
Doanh nghiệp đại bàng |
Cổng sàng lọc cấp ứng dụng |
Triển khai công nghệ Riêng tư ảo Mạng |
Bao gồm các chương trình trung gian cấp ứng dụng cho các dịch vụ FTR, HTTP, Telnet. Đăng ký tất cả các hành động của máy chủ và cảnh báo về các vi phạm. |
|
|
Bộ định tuyến tường lửa IRX |
Bộ định tuyến che chắn |
Cho phép bạn phân tích mạng để tối ưu hóa lưu lượng mạng, kết nối mạng cục bộ một cách an toàn với mạng từ xa dựa trên các mạng mở. |
||
|
Tường lửa toàn diện |
Intel x86, Sun Sparc, v.v. |
Cung cấp khả năng bảo vệ chống lại các cuộc tấn công của hacker như giả mạo địa chỉ (giả mạo địa chỉ gói) và thể hiện sự kết hợp giữa các công cụ bảo vệ cấp độ mạng và ứng dụng. |
||
|
Tường lửa-1/VPN-1 |
Tường lửa toàn diện |
Intel x86, Sun Sparc, v.v. |
Công nghệ phần mềm Check Point |
Đại diện cho giao diện ứng dụng API OPSEC mở. Cung cấp: - nhận dạng virus máy tính; - quét URL; - chặn Java và ActiveX; - Hỗ trợ giao thức SMTP; - Lọc HTTP; - Xử lý giao thức FTP |
|
Bộ công cụ tường lửa TIS |
Một bộ chương trình tạo và quản lý hệ thống tường lửa |
Hệ thống thông tin đáng tin cậy |
Phân phối ở mã nguồn, tất cả các mô-đun được viết bằng C. Bộ này dành cho các lập trình viên chuyên nghiệp. |
|
|
Tường lửa Internet Gauntlet |
Cổng sàng lọc cấp ứng dụng |
UNIX, BSD bảo mật |
Hệ thống thông tin đáng tin cậy |
Các dịch vụ hỗ trợ: E-mail, Dịch vụ web, dịch vụ đầu cuối, v.v. Các tính năng: mã hóa ở cấp độ mạng, bảo vệ chống lại các cuộc tấn công của hacker như giả mạo địa chỉ, bảo vệ chống lại các nỗ lực thay đổi định tuyến. |
|
Tường lửa đa giao thức |
Nền tảng phần cứng khác nhau |
Phần mềm và công nghệ Network-1 |
Kiểm soát được thực hiện ở cấp độ khung, gói, kênh và ứng dụng (đối với mỗi giao thức). Cho phép bạn làm việc với hơn 390 giao thức, có thể mô tả mọi điều kiện lọc cho công việc tiếp theo. |
|
|
Máy bay phản lực Zastava |
Tường lửa toàn diện |
SPARC, Solaris, UNIX |
Thực hiện chính sách bảo mật: tất cả dữ liệu không có sự cho phép rõ ràng sẽ bị loại bỏ. |
Bản thân tường lửa không phải là thuốc chữa bách bệnh cho tất cả các mối đe dọa mạng. Đặc biệt, anh:
không bảo vệ các nút mạng khỏi sự xâm nhập qua cửa sau hoặc lỗ hổng phần mềm;
không cung cấp khả năng bảo vệ chống lại nhiều mối đe dọa nội bộ, chủ yếu là rò rỉ dữ liệu;
không bảo vệ chống lại người dùng tải xuống các chương trình độc hại, bao gồm cả vi-rút;
Để giải quyết hai vấn đề cuối cùng, các công cụ bổ sung thích hợp, đặc biệt là phần mềm chống vi-rút, sẽ được sử dụng. Thông thường, chúng kết nối với tường lửa và đi qua phần tương ứng của lưu lượng mạng, hoạt động như một proxy trong suốt đối với các nút mạng khác hoặc chúng nhận bản sao của tất cả dữ liệu được truyền từ tường lửa. Tuy nhiên, việc phân tích như vậy đòi hỏi tài nguyên phần cứng đáng kể nên nó thường được thực hiện độc lập trên mỗi nút mạng.
\\ 06.04.2012 17:16
Tường lửa là một tập hợp các tác vụ nhằm ngăn chặn truy cập trái phép, làm hỏng hoặc đánh cắp dữ liệu hoặc các hành vi khác tác động tiêu cực, điều này có thể ảnh hưởng đến hiệu suất mạng.
Tường lửa, còn được gọi là bức tường lửa(từ Tường lửa tiếng Anh) hoặc tường lửa trên cổng cho phép bạn cung cấp truy cập an toàn người dùng trên Internet, đồng thời bảo vệ kết nối từ xađến nguồn lực nội bộ. Bức tường lửa xem xét tất cả lưu lượng truy cập đi qua giữa các phân đoạn mạng và đối với mỗi gói sẽ đưa ra quyết định - vượt qua hay không vượt qua. Hệ thống quy tắc tường lửa linh hoạt cho phép bạn từ chối hoặc cho phép kết nối dựa trên nhiều tham số: địa chỉ, mạng, giao thức và cổng.
Phương pháp giám sát lưu lượng giữa mạng cục bộ và mạng bên ngoài
Lọc gói. Tùy thuộc vào việc gói đến có thỏa mãn các điều kiện được chỉ định trong bộ lọc hay không, nó sẽ được chuyển vào mạng hoặc bị loại bỏ.
Kiểm tra nhà nước. Trong trường hợp này, lưu lượng truy cập đến sẽ được kiểm tra - một trong những phương pháp triển khai Tường lửa tiên tiến nhất. Kiểm tra không có nghĩa là phân tích toàn bộ gói mà chỉ phân tích phần khóa đặc biệt của nó và so sánh nó với các giá trị đã biết trước đó từ cơ sở dữ liệu về các tài nguyên được phép. Phương pháp này cung cấp hiệu suất Tường lửa cao nhất và độ trễ thấp nhất.
Máy chủ proxy. Trong trường hợp này, một thiết bị bổ sung một máy chủ proxy đóng vai trò như một “cổng” mà qua đó tất cả lưu lượng truy cập vào và ra phải đi qua.
Bức tường lửa cho phép bạn định cấu hình các bộ lọc chịu trách nhiệm chuyển lưu lượng truy cập bằng cách:
Địa chỉ IP. Bằng cách đặt một địa chỉ nhất định hoặc một phạm vi nhất định, bạn có thể cấm nhận các gói từ chúng hoặc ngược lại, chỉ cho phép truy cập từ các địa chỉ IP này.
- Hải cảng. Tường lửa có thể cấu hình các điểm truy cập ứng dụng tới các dịch vụ mạng. Ví dụ: ftp sử dụng cổng 21 và các ứng dụng duyệt web sử dụng cổng 80.
Giao thức. Tường lửa có thể được cấu hình để cho phép dữ liệu từ chỉ một giao thức đi qua hoặc từ chối quyền truy cập bằng cách sử dụng nó. Thông thường, loại giao thức có thể chỉ ra các tác vụ được thực hiện, ứng dụng mà nó sử dụng và tập hợp các tham số bảo mật. Về vấn đề này, quyền truy cập chỉ có thể được cấu hình để vận hành một ứng dụng cụ thể và ngăn chặn quyền truy cập nguy hiểm tiềm tàng bằng cách sử dụng tất cả các giao thức khác.
Tên miền. Trong trường hợp này, bộ lọc từ chối hoặc cho phép kết nối với các tài nguyên cụ thể. Điều này cho phép bạn từ chối quyền truy cập từ các dịch vụ và ứng dụng mạng không mong muốn hoặc ngược lại, chỉ cho phép truy cập vào chúng.
Các tham số khác cho các bộ lọc dành riêng cho mạng cụ thể này có thể được sử dụng để định cấu hình, tùy thuộc vào các tác vụ được thực hiện trong đó.
Thông thường, tường lửa được sử dụng cùng với các công cụ bảo mật khác, chẳng hạn như phần mềm chống vi-rút.
Tường lửa hoạt động như thế nào
Bức tường lửa có thể được thực hiện:
Phần cứng. Trong trường hợp này, bộ định tuyến nằm giữa máy tính và Internet, hoạt động như một tường lửa phần cứng. Một số PC có thể được kết nối với tường lửa và tất cả chúng sẽ được bảo vệ bởi tường lửa, một phần của bộ định tuyến.
Lập trình. Loại tường lửa phổ biến nhất, là phần mềm chuyên dụng mà người dùng cài đặt trên PC của mình.
Ngay cả khi bộ định tuyến có tường lửa tích hợp được kết nối, tường lửa phần mềm bổ sung có thể được cài đặt riêng lẻ trên từng máy tính. Trong trường hợp này, kẻ tấn công sẽ khó xâm nhập vào hệ thống hơn.
Văn bản chính thức
Năm 1997, Tài liệu hướng dẫn của Ủy ban Kỹ thuật Nhà nước của Tổng thống Liên bang Nga “Phương tiện công nghệ máy tính. Tường lửa. Bảo vệ khỏi sự truy cập trái phép vào thông tin. Các chỉ số bảo mật khỏi sự truy cập trái phép vào thông tin." Tài liệu này thiết lập năm lớp bảo mật tường lửa, mỗi lớp được đặc trưng bởi một bộ yêu cầu tối thiểu nhất định để bảo vệ thông tin.
Năm 1998, một tài liệu khác được phát triển: “Yêu cầu tạm thời đối với các thiết bị loại tường lửa.” Theo tài liệu này, 5 lớp bảo mật tường lửa được thiết lập, được sử dụng để bảo vệ thông tin trong các hệ thống tự động có chứa các công cụ mật mã.
Và kể từ năm 2011, các yêu cầu pháp lý về chứng nhận tường lửa đã có hiệu lực. Vì vậy, nếu dữ liệu cá nhân được xử lý trên mạng doanh nghiệp thì cần phải cài đặt tường lửa được chứng nhận Dịch vụ liên bang Qua kiểm soát xuất khẩu(FSTEK).
Gần đây có xu hướng hạn chế quyền riêng tư trên Internet. Điều này là do những hạn chế mà quy định của chính phủ về Internet áp đặt lên người dùng. Quy định của chính phủ về Internet tồn tại ở nhiều nước (Trung Quốc, Nga, Belarus).
"Lừa đảo đăng ký tên miền châu Á" trong RuNet! Bạn đã đăng ký hoặc mua một miền và tạo một trang web trên đó. Nhiều năm trôi qua, trang web ngày càng phát triển và trở nên phổ biến. Bây giờ thu nhập từ nó đã bị “nhỏ giọt”. Bạn nhận được thu nhập của mình, trả tiền cho tên miền, hosting và các chi phí khác...
