Чайникам 

Схемы настройки межсетевых экранов. Для чего нужен межсетевой экран. Защита корпоративной сети от несанкционированного доступа из Интернет

Электронный офис организуется на предприятиях, в организациях или учреждениях в управленческих структурах.

Основными функциями электронного офиса являются:

Автоматизация рутинных работ с документами;

Организация электронного документооборота.

Для реализации перечисленных выше функций в электронном офисе выполняется ряд стандартных типовых процедур обработки документов, представленных на рис.4.6.

В состав электронного офиса входят аппаратные и программные средства реализации типовых офисных процедур обработки информации:

Программные средства электронного офиса - ϶ᴛᴏ пакеты прикладных программ, которые позволяют автоматизировать основные процедуры обработки информации в процессе управления.

Программные средства электронного офиса делятся на три группы, представленные на рис.4.7.

1. Программы, предназначенные для создания и редактирования документов. Основой функционирования любого офиса является документ. В электронном офисе циркулируют документы, содержащие данные разных типов (текстовую информацию, табличные данные, графические изображения и т.д.). Офисные программы для создания и редактирования документов различных типов, как правило, интегрируют в единый пакет, который позволяет работать с одним документом, включая в него различные виды данных. Существуют и самостоятельные программные продукты, ориентированные на выполнение только одного вида работ: разработку электронных таблиц, редактирование текстов, электронную верстку документов и т.д.

Для формирования и обработки каждого типа данных крайне важно использовать специальные пакеты прикладных программ, ориентированных на работу с документационной информацией (табл.4.1.).

2. Организаторы работ - это пакеты программ, предназначенные для автоматизации процедур планирования использования различных ресурсов (времени, денег, материалов) как отдельного человека, так и всœей фирмы или ее структурных подразделœений. Выделяют две разновидности пакетов данного класса:

Программы управления проектами предназначены для сетевого планирования и управления проектами. Эти программные средства позволяют быстро спланировать проект любой величины и сложности, эффективно распределить людские, финансовые и материальные ресурсы, составить оптимальный график работ и проконтролировать его исполнение.

Программы организации деятельности человека выполняют функции электронных секретарей и предназначены для эффективного управления деловыми контактами. В них предусмотрены следующие основные функции:

Формирование графика деловой активности с автоматическим контролем со стороны программы;

Ведение электронной картотеки, полностью настраиваемой под конкретные нужды пользователя;

Обеспечение безопасности и конфиденциальности данных;

Автоматический набор телœефонных номеров (с автодозвоном) и занесение даты и времени звонка в соответствующую карточку;

Работа с электронной почтой и факсом и т.д.

Наименование программы Назначение программы
Текстовые редакторы Программы, предназначенные для работы стекстовыми документами. Οʜᴎ предоставляют пользователю следующие возможности: набор текста редактирование текста автоматическая проверка правописания создание в тексте различных таблиц, графиков, диаграмм; формирование перекрестных ссылок в документе и т.д.
Настольные издательские системы Программы, позволяющие осуществлять электронную верстку широкого спектра базовых типов документов. Предусмотренные в пакетах данного типа средства позволяют: компоновать (верстать) текст, используя эталонные страницы; осуществлять полиграфическое оформление текста; обрабатывать графические изображения; обеспечивать вывод документов полиграфического качества и т.д.
Табличные процессоры Пакеты программ, предназначенные для обработки табличным образом организованных данных. Пользователь имеет возможность: осуществлять разнообразные вычисления, строить графики, управлять форматом ввода-вывода данных, компоновать данные, проводить аналитические исследования и т. п.
Графические редакторы Пакеты, предназначенные для обработки графической информации. Οʜᴎ позволяют: создавать графические иллюстраций с использованием графических элементов (дуги, окружности, эллипса, ломаных и многоугольников и т. д.); манипулировать объектами посредством их разбиения или объединœения, копирования, штриховки и т.д.; обрабатывать и редактировать изображения посредством изменения опенков цветов, насыщенности, контрастности и т.д.
Системы управления базами данных (СУБд) Программы, предназначенные для создания, ведения и редактирования баз данных. Οʜᴎ предоставляют возможности: создавать, хранить и извлекать данные, представленные в определœенной форме; формировать запросы и отчеты на основании различных критериев отбора записей
Пакеты демонстрационной графики Программы, предоставляющие средства для: подготовки презентаций лекций и выступлений, подготовки иллюстративного материала, визуального отображения базовых тезисов текстовых докладов и отчетов и т.д.
Пакеты программ мультимедиа Пакеты предназначены для обработки аудио- и видеоинформации. Οʜᴎ позволяют: управлять сценарием аудиозаписи и видеофильма; создавать группы объектов, включаемых в аудиозапись или фильм; манипулировать и генерировать анимационные изображения и т.д.
Программы распознавания символов Программы предназначены для перевода бумажных документов в электронную форму путем сканирования и распознавания текста
Программы перевода с одного иностранного языка на другой Программы обеспечивают разные режимы перевода текстов с одного иностранного языка на другой с использованием общих и специализированных словарей

Характеристика базовых пакетов программ для формирования и редактирования документов Таблица 4.1

3. Программы организации электронного документооборота позволяют решать следующие задачи:

Обеспечение более эффективного управления за счет автоматического контроля выполнения, прозрачности деятельности всœей организации на всœех уровнях;

Поддержка эффективного накопления, управления и доступа к информации и знаниям, обеспечение кадровой гибкости за счет большей формализации деятельности каждого сотрудника и возможности хранения всœей предыстории его деятельности;

Оптимизация бизнес-процессов и автоматизация механизма их выполнения и контроля;

Исключение бумажных документов из внутреннего оборота предприятия;

Исключение крайне важности или существенное упрощение и удешевление хранения бумажных документов за счет наличия оперативного электронного архива.

Системы с развитыми средствами хранения и поиска информации К таким программным продуктам относятся электронные архивы. Электронный архив - это частный случай системы документооборота͵ ориентированный на эффективное хранение и поиск информации
Системы, ориентированные на поддержку управления организацией Эти системы активно используются в государственных структурах управления, в офисах крупных компаний, которые отличаются развитой иерархией, имеют определœенные правила и процедуры движения документов. При этом сотрудники коллективно создают документы, готовят и принимают решения, исполняют или контролируют их исполнение
Системы, ориентированные на поддержку совместной работы Задача этих систем – обеспечить совместную работу людей в организации, даже если они разделœены территориально, и сохранить результаты этой работы. Οʜᴎ предоставляют сервисы хранения и публикации документов, поиска информации, обсуждения, средства назначения встреч (как реальных, так и виртуальных)

Существуют следующие виды систем электронного документооборота:

Аппаратные средства электронного офиса - ϶ᴛᴏ устройства, обеспечивающие техническую реализацию офисных процедур обработки данных. Οʜᴎ подразделяются на основные и дополнительные.


Рис. 4.8. Аппаратные средства электронного офиса

1. Основными техническими средствами электронного офиса являются один или несколько ПК, объединœенных в вычислительную сеть и имеющих широкий набор периферийных устройств, таких, как устройства вывода информации на печать (принтеры), устройства автоматического ввода информации (сканеры, дигитайзеры) и др. (см. рис.4.8.).

2. Дополнительные аппаратные средства электронного офиса служат для реализации операций копирования, размножения, оформления и уничтожения документов.


  • - Электронный документ. Электронный офис.

    В последнее время особое внимание уде­ляется электронным способам отображения содержимого доку­ментов, что позволяет значительно повысить эффективность сис­тем управления благодаря использованию качественно новых подходов к реализации информационных процессов. ... [читать подробенее]


  • - Электронный офис.

    Лекция №6. Электронный офис. СТРОИТЕЛЬНАЯ ИНФОРМАТИКА П частьФункции: 1) Автоматизация рутинных работ с документами 2) Организация электронного документа. Основные пакеты программ для форматирования и редактирования документов. Наименование... [читать подробенее]


  • - Электронный офис

    Перспективы развития информационных технологий обеспечения управленческой деятельности Современное состояние информационных технологий можно охарактеризовать следующим образом: 1. Наличие множества промышленно функционирующих баз данных большого объема,...

    • При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от несанкционированного удаленного доступа со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.

    У организации часто возникает потребность иметь в составе корпоративной сети нескольких сегментов с разными уровнями защищенности:

    О свободно доступные сегменты (например, рекламный VWW-cepBep);

    О сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

    О закрытые сегменты (например, финансовая локальная подсеть организации).

    Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик используемых МЭ. Широкое распространение получили следующие схемы подключения межсетевых экранов:

    О схемы защиты сети с использованием экранирующего маршрутизатора;

    О схемы единой защиты локальной сети;

    О схемы с защищаемой закрытой и не защищаемой открытой подсетями;

    О схемы с раздельной защитой закрытой и открытой подсетей .

    Схема защиты с использованием экранирующего маршрутизатора. Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из экранирующего маршрутизатора, расположенного между защищаемой сетью и потенциально враждебной открытой внешней сетью (рис. 8.10). Экранирующий маршрутизатор (пакетный фильтр) сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

    Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Интернет, в то время как большая часть доступа к ним из Интернета блокируется.

    Часто блокируются такие опасные службы, как X Windows, NIS и NFS. В принципе, экранирующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено в явной форме» может быть затруднена.

    Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и экранирующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметим некоторые из них:

    О сложность правил фильтрации; в некоторых случаях совокупность этих правил может стать неуправляемой;

    О невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от непротестированных атак;

    О практически отсутствующие возможности регистрации событий; в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он.

    Схемы подключения межсетевых экранов с несколькими сетевыми интерфейсами. Схемы защиты с МЭ с одним сетевым интерфейсом (рис. 8.11) недостаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно, не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены МЭ с одним сетевым интерфейсом на МЭ с двумя или тремя сетевыми интерфейсами. Поэтому далее будут более подробно рассмотрены схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами.

    Защищаемую локальную сеть целесообразно представлять как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.

    Среди множества возможных схем подключения МЭ типовыми являются следующие:

    О схема единой защиты локальной сети;

    О схема с защищаемой закрытой и не защищаемой открытой подсетями;

    О схема с раздельной защитой закрытой и открытой подсетей.

    Схема единой защиты локальной сети. Данная схема является наиболее простым решением (рис. 8.12), при котором МЭ целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и МЭ имеется только один путь, по которому идет весь трафик. Данный вариант МЭ реализует политику безопасности, основанную на принципе «запрещено все, что явно не разрешено»; при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Обычно маршрутизатор настраивается таким образом, что МЭ является единственной видимой снаружи машиной.

    Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения МЭ можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

    Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволит выявить действия злоумышленников.

    Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы защиты на базе межсетевого экрана с двумя интерфейсами.

    Схема с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, тогда их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. 8.13). Данный


    Рис. 8.11


    Рис. 8.12.


    Рис. 8.13.

    способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана.

    Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой и не защищаемой открытой подсетями целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

    Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

    Схемы с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного МЭ с тремя сетевыми интерфейсами (рис. 8.14) или на основе двухМЭ с двумя сетевыми интерфейсами (рис. 8.15). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети.

    Из этих двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя МЭ, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей.

    Обычно экранирующую подсеть конфигурируют таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть по крайней мере две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов позволяют практически всегда обнаружить подобную попытку, и администратор системы может своевременно предпринять необходимые действия по предотвращению несанкционированного доступа.

    Следует обратить внимание на то, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи - установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например терминального сервера Аппех компании Вау Хе1уог1«. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.

    Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволяет достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно,


    Рис. 8.14.

    с тремя сетевыми интерфейсами


    Рис. 8.15.

    если терминальный сервер включить в состав открытой подсети при использовании схем подключения МЭ с раздельной защитой открытой и закрытой подсетей.

    Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно развитые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов и выполняют следующие функции:

    О использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;

    О использование запроса на аутентификацию с какой-либо машины локальной сети; О использование внешних средств аутентификации;

    О установку списка контроля доступа на порты терминального сервера;

    О протоколирование сеансов связи через терминальный сервер.

    Инструкция

    Зайдите в главное меню «Пуск» операционной системы Windows. Выберите раздел «Панель управления» и перейдите к пункту «Брандмауэр Windows». Также можно запустить его настройку из командной строки, введя следующий текст: “control.exe /name Microsoft.WindowsFirewall”.

    Ознакомьтесь с открывшимся окном. Слева имеется панель, состоящая из нескольких разделов, которые отвечают за различные настройки межсетевого экран а. Зайдите на вкладку «Общий профиль» и «Частный профиль», где возле надписи «Исходящие подключения» необходимо отменить опцию «Блокировать». Нажмите кнопку «Применить» и «Ок», после чего закройте окно. После этого вы можете приступить к настройке доступа к интернету различных сервисов и программ, установленных на персональном компьютере.

    Зайдите на вкладку «Дополнительные параметры», чтобы запустить межсетевой экран в режиме повышенной безопасности. Появившееся окно состоит из панели инструментов и трех разделов. Выберите в левом поле раздел «Правила для исходящих подключений», после чего на правом поле отметьте пункт «Создать правило». В результате откроется мастер создания правил.

    Выберите тип правила, который хотите добавить в настройки межсетевого экран а. Можно выбрать для всех подключений компьютера или настроить конкретную программу, указав к ней путь. Нажмите кнопку «Далее», чтобы перейди к пункту «Программа», в котором опять указываем путь к приложению.

    Перейдите к пункту «Действие». Здесь можно разрешить подключение или блокировать его. Также можно становить безопасное подключение, при котором будет проверяться его посредством IPSec. При этом, нажав кнопку «Настроить», можно установить собственные правила. После этого укажите «Профиль» для вашего правила и придумайте ему название. Нажмите кнопку «Готово», чтобы сохранить настройки.

    Степень мерцания на включенном экране, зависит от параметров, установленных для частоты обновления изображения на мониторе. Понятие «частота обновления» применимо к ламповым мониторам, для жидкокристаллических мониторов данные настройки не важны. Экран большинства ламповых мониторов обновляется один раз в минуту. Если вам не подходят данные настройки, устраните мерцание экрана , выполнив несколько действий.

    Инструкция

    Вызовите компонент «Экран». Для этого через меню «Пуск» откройте «Панель управления». В категории «Оформление и темы» кликните по значку «Экран» левой кнопкой мыши или выберите любое из доступных заданий в верхней части окна. Если «Панель управления» на вашем компьютере имеет классический вид, выберите искомый значок сразу.

    Существует и другой способ: кликните правой кнопкой мыши в любой свободной от файлов и папок части «Рабочего стола». В выпадающем меню выберите пункт «Свойства», кликнув по нему левой кнопкой мыши. Откроется новое диалоговое окно «Свойства: Экран».

    В открывшемся окне перейдите на вкладку «Параметры» и нажмите на кнопку «Дополнительно», расположенную в нижней части окна. Это действие вызовет дополнительное диалоговое окно «Свойства: Модуль подключения монитора и [название вашей видеокарты]».

    В новом окне перейдите на вкладку «Монитор» и установите маркер в поле напротив надписи «Скрыть режимы, которые монитор не может использовать». Это поможет вам избежать возможных проблем: если экрана установлена неверно, изображение на мониторе может быть неустойчивым. Также неверно выбранная частота может привести к неисправности оборудования.

    С помощью выпадающего списка в разделе «Параметры монитора» установите в поле «Частота обновления экрана » нужное вам значение. Чем выше частота обновления экрана , тем меньше мерцает монитор. По умолчанию используется частота 100 Гц, хотя ваш монитор может поддерживать и другую частоту. Уточните данные сведения в документации или на сайте производителя.

    После внесения нужных изменений нажмите на кнопку «Применить» в окне свойств монитора. На запрос о подтверждении новых параметров ответьте утвердительно. Нажмите на кнопку ОК. Перед вами останется одно окно «Свойства: Экран». Закройте его, воспользовавшись кнопкой ОК или значком [x] в правом верхнем углу окна.

    Если при смене частоты обновления экрана изменится вид рабочего стола, установите в окне свойств экрана удобное для восприятия разрешение, нажмите на кнопку «Применить» и закройте окно. Размер рабочей области на экране отрегулируйте с помощью кнопок настройки на корпусе монитора. Не забудьте в конце нажать на кнопку «Размагнитить» (Degauss).

    Межсетевой экран , или firewall, предназначен для контроля за работой программ в сети и для защиты операционной системы и данных пользователя от внешних атак. Программ с подобными функциями немало, и они не всегда эффективны. Чтобы проверить качество работы вашего сетевого экран а, воспользуйтесь программой 2ip Firewall Tester.

    Инструкция

    Найдите с помощью поисковой системы ссылку на скачивание утилиты 2ip Firewall Tester. Проверьте загруженные файлы антивирусной программой и запустите приложение. Как правило, программу нужно установить на жесткий диск компьютера. После чего на рабочем столе появится ярлык, при помощи которого можно ее запустить.

    Окно программы довольно простое и содержит строку вывода сообщений и две кнопки Help и Test. Убедитесь, что на вашем компьютере есть доступ в интернет и нажмите на кнопку Test. Утилита произведет попытку связи с внешним сервером. Если соединение будет установлено (о чем возникнет сообщение красными буквами), значит ваш firewall неэффективен. Также стоит отметить, что большинство подобного программного обеспечения устанавливается по умолчанию с англоязычным интерфейсом. Чтобы изменить на русский язык, зайдите в настройки программы. Не забудьте сохранить все изменения, которые были произведены в программе.

    Если соединение установить не удалось, а программа межсетевого экран а выдала запрос на разрешения данного соединения, значит firewall работает. Разрешите провести одноразовое соединение. Для более сложной проверки firewall переименуйте файл запуска утилиты 2ip Firewall Tester в имя программы, доступ которой в интернет заведомо разрешен. Например, Internet Explorer. Для этого назовите утилиту именем iexplore.exe, снова запустите и нажмите на кнопку Test. Если соединение будет установлено, значит ваш межсетевой экран имеет довольно низкий уровень защиты.

    Если же соединение не будет установлено, значит ваша программа межсетевого экран а выполняет свои функции на пять баллов. Вы можете спокойно бродить по сайтам в интернете, потому что ваш персональный компьютер надежно защищен от различных угроз. Как правило, подобное программное обеспечение имеет гибкие настройки в системе.

    Видео по теме

    Иногда, сидя за компьютером, можно заметить, что изображение на экране трясется, своеобразно "плывет" или начинает неожиданно ь. Эта проблема имеет широкое распространение. Но причины для нее бывают разные. Стоит разобраться с тем, почему трясется экран.

    Чаще всего причиной трясущегося экрана является наличие в рабочем помещении или квартире источника переменных электромагнитных полей. Это проверяется очень легко при помощи перемещением монитора. Если прекращается, значит проблема связана именно с электромагнитными полями. Их источниками на работе являются различные электрические установки, трансформаторные подстанции, а также линии электропередачи. Дома же их заменяют телевизор, холодильник, микроволновая печь и прочая бытовая техника.

    Вторая по частоте причина трясущегося экрана - недостаточное электропитание монитора. Как правило, монитор подключается к пилоту, в котором, помимо его самого, еще "питаются" системный блок, модем, телевизор, люстра и много чего еще, в зависимости от вкуса пользователя. Стоит попробовать отключить часть этих приборов и посмотреть, снизилась ли дрожь изображения на мониторе. Если нет, то, возможно, проблема есть в самом пилоте, в том, как он фильтрует электроэнергию. Можно попробовать просто поменять его.

    Реже всего (хоть и чаще всего приходящее на ум) причиной тряски изображения может быть неисправность внутри самого монитора, например, сломанный блок развертки либо неполадки в системе его питания. В таких случаях лучше неопытному пользователю не лезть внутрь монитора. Оптимальным решением в этой ситуации будет обращение к квалифицированным специалистам.

    Иногда причиной вышеуказанных проблем может стать низкая частота обновления экрана. По умолчанию у некоторых мониторов частота выставлена в районе 60 Гц. Это не только делает заметной дрожь экрана, но и крайне вредно для зрения. Поэтому стоит через "Панель управления" найти пункт меню "Экран" и выставить там частоту в 75 Гц. При данной частоте дрожание экрана может уйти полностью.

    Внимание: снимаем!

    Чтобы снять скриншот, запустите на компьютере приложение, кликнув по ярлыку на рабочем столе (обычно в процессе установки он создается автоматически) или найдя его в списке программ (через кнопку «Пуск»). После этого в открывшемся рабочем окне выберите необходимую для вас функцию. В данной программе можно выполнить захват экрана: весь экран, элемент окна, окно с прокруткой, выделенную область, фиксированную область, произвольную область или снять скриншот с предыдущего выбора.

    Панель инструментов открывается и при нажатии кнопки «Файл» в главном меню программы.

    Из названий опций понятно, какая часть рабочего окна будет выделена в процессе снятия скрина. Вы сможете одним нажатием кнопки «сфотографировать» весь экран или какую-либо его часть. Также здесь можно задать определенную область или часть экрана, которая будет соответствовать заданным ранее параметрам. В общем, заскринить можно абсолютно все.

    Кроме этого, в программе есть небольшой перечень необходимых для обработки изображения инструментов: цветовая палитра, окно увеличения, линейка, при помощи которой можно с точностью до миллиметра просчитать расстояние от одной точки до другой, угломер, перекрытие и даже грифельная доска, позволяющая производить записи и чертежи прямо на экране.

    Для выполнения дальнейших действий нажмите кнопку «Главное», после чего на экране появится дополнительная панель с определенным набором инструментов. С их помощью вы сможете обрезать изображение, задать его размер, выделить цветом определенную часть, наложить текст, выбрать цвет шрифта и заливки.

    Кнопка «Вид» в главном меню позволяет изменить масштаб, работать с линейкой, настроить вид заскриненных документов: каскадом, мозаикой.

    После того как вы снимите скриншот, нажмите кнопку «Файл» на верхней панели приложения и в выпадающем окне выберите опцию «Сохранить как». После этого в правой части откроется дополнительное окно, в котором нужно будет выбрать тип файла: PNG, BMP, JPG, GIF, PDF. Затем останется только указать папку, в которую следует сохранить файл.

    Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел.

    Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

    При этом для определения состава компонентов защиты периметра, обеспечивающих минимальный (начальный) уровень информационной безопасности, необходимо произвести анализ наиболее распространенных угроз информационным ресурсам организации:
    сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, web-серверов, сервисов электронной почты и т.д.) - атаки класса DoS и DDoS;
    компрометация информационных ресурсов и эскалация привилегий как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ваших ресурсов, так и с целью нанесения ущерба;
    действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);
    утечка конфиденциальной информации и похищение данных как через сеть (e-mail, FTP, web и пр.), так и через внешние носители;
    различные сетевые атаки на приложения.

    Для минимизации угроз информационной безопасности необходимо внедрение межсетевых экранов в разных уровнях модели OSI, как показано в таблице.

    Таблица. Межсетевые экраны и модели OSI

    Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (табл.). Модель OSI, разработанная Международной организацией по стандартизации, определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, - начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

    Могут быть выбраны следующие методы контроля трафика между локальной и внешней сетью:
    1. Фильтрация пакетов - основан на настройке набора фильтров. В зависимости от того, удовлетворяет ли поступающий пакет указанным в фильтрах условиям, он пропускается в сеть либо отбрасывается.
    2. Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать разнообразные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на ТСР, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
    3. Proxy-сервер - между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через которые должен проходить весь входящий и исходящий трафик. Statefulinspection - инспектирование входящего трафика - один из самых передовых способов реализации межсетевого экрана. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнение с заранее известными значениями из базы данных разрешенных ресурсов. Данный метод обеспечивает наибольшую производительность работы межсетевого экрана и наименьшие задержки.

    Принцип действия межсетевого экрана основан на контроле поступающего извне трафика.

    Межсетевой экран может быть выполнен аппаратно или программно. Конкретная реализация зависит от масштаба сети, объема трафика и необходимых задач. Наиболее распространенным типом брандмауэров является программный. В этом случае он реализован в виде программы, запущенной на конечном ПК, либо пограничном сетевом устройстве, например, маршрутизаторе. В случае аппаратного исполнения межсетевой экран представляет собой отдельный сетевой элемент, обладающий обычно большими производительными способностями, но выполняющий аналогичные задачи.

    Межсетевой экран позволяет настраивать фильтры, отвечающие за пропуск трафика по следующим критериям:
    1. IP-адрес. Как известно, любое конечное устройство, работающее по протоколу IP, должно иметь уникальный адрес. Задав какой-то адрес либо определенный диапазон, можно запретить получать из них пакеты, либо, наоборот, разрешить доступ только с данных IP-адресов.
    2. Доменное имя. Как известно, сайту в сети Интернет, точнее его IP-адресу, может быть поставлено в соответствие буквенно-цифровое имя, которое гораздо проще запомнить, чем набор цифр. Таким образом, фильтр может быть настроен на пропуск трафика только к/от одного из ресурсов, либо запретить доступ к нему.
    3. Порт. Речь идет о программных портах, т.е. точках доступа приложений к услугам сети. Так, например, ftp использует порт 21, а приложения для просмотра web-страниц порт 80. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо, наоборот, разрешить доступ только к ним.
    4. Протокол. Межсетевой экран может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Обычно тип протокола может говорить о выполняемых задачах используемого им приложения и о наборе параметров защиты. Таким образом, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.

    Выше перечислены только основные параметры, по которым может быть произведена настройка. Также могут применяться другие параметры для фильтров, специфичные для данной конкретной сети, в зависимости от выполняемых в ней задач.

    Таким образом, межсетевой экран предоставляет комплексный набор задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети. Обычно межсетевой экран используется в совокупности с другими средствами защиты, например, антивирусное ПО.

    Создание политики фильтрации для межсетевых экранов
    Существует два основных способа создания наборов правил межсетевого экрана: «включающий» и «исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам, и блокирует все остальное.

    Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому включающий межсетевой экран является лучшим выбором для систем, предоставляющих сервисы в сети Интернет. Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть. Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

    Безопасность может быть дополнительно повышена с использованием «межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.

    В качестве примера можно рассмотреть создание правил фильтрации в простом пакетном фильтре. Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простым является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:

    1. Можно рассмотреть следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Пишется это правило следующем образом:

    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
    ——- Источник —— —— Назначение ——

    Теперь можно применить правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам - адресу в правиле и адресу в пакете. Затем проверяется, одинаковы ли адреса источника и назначения. В результате будем иметь:

    Для адреса источника:

    10.1.0.0 & 255.255.0.0 = 10.1.0.0 (для правила)
    10.1.1.2 & 255.255.0.0 = 10.1.0.0 (для пакета)

    После применения маски оба адреса совпадают. Проверим теперь адрес назначения:

    10.2.0.0 & 255.255.0.0 = 10.2.0.0 (для правила)
    10.3.7.7 & 255.255.0.0 = 10.3.0.0 (для пакета)

    Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.

    Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат:

    10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
    10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
    10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

    Кроме адресов источника и назначения, каждый IP-пакет заключает в себе информацию об используемых протоколе и сервисе. Ее можно использовать как дополнительный параметр фильтрации.

    Например, сервисы в протоколе TCP всегда связаны с портом. В результате можно привести в соответствие список портов с адресами.

    Воспользуемся для примера двумя хорошо знакомыми сервисами - POP3 и HTTP. POP3 использует порт 110, а HTTP - порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим:

    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 TCP 80 110
    —— Источник —— —— Назначение —— Протокол – Порты —

    Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.

    Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.

    С учетом этой новой информации набор правил будет иметь следующий формат:

    10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0 UDP 53
    10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255 TCP 80
    10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0 TCP 21 20 113
    10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 ICMP 0 8

    Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса.

    Цель такой процедуры состоит в блокировании атаки, известной как IP-спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника (из внутренней сети). При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.

    В Одноклассники

    Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра. Брандмауэры с одним сетевым интерфейсом (рис.А.8) не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-,FTP- иSMTP-серверы, а также терминальный сервер с модемным пулом.

    Рис. А.8. Защита локальной сети брандмауэром с одним сетевым интерфейсом

    Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:

      схема единой защиты локальной сети;

      схема с защищаемой закрытой и не защищаемой открытой подсетями;

      схема с раздельной защитой закрытой и открытой подсетей.

    Схема единой защиты локальной сети является наиболее простым решением (рис. А.9), при котором брандмауэр целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

    Рис. А.9. Схема единой защиты локальной сети

    При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. А.10). Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

    Рис. А.10. Схема с защищаемой закрытой и не защищаемой открытой подсетями

    В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами (рис. А.11) или на основе двух брандмауэров с двумя сетевыми интерфейсами (рис. А.12). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети. Из последних двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя брандмауэрами, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых эк­ранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.

    Рис. А.11. Схема с раздельной защитой закрытой и открытой подсетей на основе одного брандмауэра с тремя сетевыми интерфейсами

    Рис. А.12. Схема с раздельной защитой закрытой и открытой подсетей на основе двух брандмауэров с двумя сетевыми интерфейсами

    Следует обратить внимание, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи - установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например, терминального сервера AnnexкомпанииBayNetworks. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляет-ся только после соответствующей аутентификации внешнего пользователя. Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволит достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно, если терминальный сервер включить в состав открытой подсети при использовании схем подключения брандмауэра с раздельной защитой открытой и закрытой подсетей (рис.А.11 и А.12). Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно продвинутые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов, выполняя следующие функции:

      использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;

      использование запроса на аутентификацию с какой-либо машины локальной сети;

      использование внешних средств аутентификации; - установку списка контроля доступа на порты терминального сервера; - протоколирование сеансов связи через терминальный сервер.

    Из всего вышесказанного отнюдь не следует, что использование систем Firewall абсолютно бессмысленно. Нет, на данный момент этой методике (именно как методике!) нет альтернативы. Однако надо четко понимать и помнить ее основное назначение. Нам представляется, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения безопасности сеть Internet никаким отдельно взятым Firewall"ом не защитишь!



    Есть вопросы?

    Сообщить об опечатке

    Текст, который будет отправлен нашим редакторам:

    Отправить