Заблокировать доступ в интернет

Оцените материал
(99 голосов)

Как заблокировать доступ к интернет ресурсам, используя встроенные в Windows XP и Windows 2003 средства. IPSec в качестве межсетевого экрана:

Для блокировки доступа в интернет используются межсетевые экраны - так называемые файрволы или брандмауэры. Начиная с линейки Windows XP/Windows 2003, Microsoft стала встраивать программные межсетевые экраны в свои операционные системы. Однако, реализация брандмауэров Windows, очень далека от совершенства. Его ограниченная функциональность заставляет использовать для обеспечения безопасности продукты других разработчиков.

В данной статье будет рассмотрен вариант использования IPSec для реализации межсетевого экрана. IPSec позволяет реализовать множество задач, выполняемых «продвинутым файрволлом» используя штатные средства ОС Windows.

Задача №1 - запрещаем весь Интернет-трафик на локальной машине

Необходимо создать политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS.

Изображения диалоговых окон и последовательность действий будет показана на примере использования ОС Windows 2003. Для Windows XP и Windows 2000 отличия будут не значительны.

Необходимо открыть консоль MMC:

Пуск - Выполнить - mmc

В меню выбрать команду:

Консоль, Добавить или удалить оснастку.

Добавить или удалить оснастку

В открывшемся диалоге выбрать:

Добавить, Управление политикой безопасности IP .

Управление политикой безопасности IP

В следующем диалоговом окне выбора компьютера указать:

Локальный компьютер.

Последовательно закрыть окна, нажимая кнопки

Готово, Закрыть, ОК.

В левой панели консоли появился узел Политики безопасности IP на ‘Локальный компьютер'.

После нажатия правой кнопкой мыши, выберать команду Управление списками IP-фильтра...

Управление списками IP-фильтра

В открывшемся диалоге нажать кнопку Добавить.

Следующим диалоговым окном будет - Список фильтров.

Для удобства работы со списком фильтров нужно заполнить в поле Имя. Например, HTTP, HTTPS.

Нажать кнопку Добавить для  создания фильтра. Если вы не снять флажок Использовать мастер, то процесс создания будет сопровождаться мастером создания фильтра.

Его первую страницу можно пропустить, нажав Далее. На второй странице необходимо указать описание фильтра. Один фильтр может состоять из множества других. Целесообразно последовательно создать два фильтра - один для HTTP, другой для HTTPS. Объединяющий фильтр будет состоять из этих двух фильтров.Для этого:

Указать в поле описания HTTP. Флажок Отраженный оставить включенным - это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем Далее.

Мастер IP-фильтров

В следующем диалоге необходимо указать адрес источника IP-трафика. Возможность выбора адреса довольно широка.

В данном случае необходимо указать Мой IP-адрес и нажать Далее.

В следующем окне задаётся адрес назначения.

Выбрать Любой IP-адрес и нажать Далее.

Затем указывается тип протокола.

Выбрать из списка TCP.

Затем задаётся номера портов.

Верхний переключатель оставить в положении Пакеты из любого порта, а нижним в режим Пакеты на этот порт и в поле ввести значение HTTP-порта - 80.

Нажать Готово, закрыв мастер.

Установка порта для протокола IP

 

В нижнем окне списка появился созданный фильтр.

Проделать теже операции для порта HTTPS - 443. Результат на снимке ниже:

Список фильтров IP

Нажать кнопку ОК. Фильтр создан.

Необходимо определить действия, которые он будет производить.

Переключиться на закладку Управление действиями фильтра и нажать кнопку Добавить.

Снова откроется диалог мастера - нажать Далее.

Указать имя, например Block, и нажать Далее.

В качестве действия выбрать переключатель Блокировать, нажать Далее и Готово.

Теперь необходимо создать политику и назначить ее.

В окне консоли MMC нажать правой кнопкой мыши узел Политики безопасности IP и выбрать команду Создать политику безопасности IP.

Создать политику безопасности IP

В открывшемся окне мастера нажать Далее, затем указать имя для политики. Например - Block Web. Нажать Далее.

Снять флажок Использовать правило по умолчанию, нажать Далее и Готово.

В окне свойств политики нажать кнопку Добавить.

Свойства политики Block Web

Нажать Далее, оставив переключатель в положении Это правило не определяет туннель.

Тип сети - указать Все сетевые подключения и нажать Далее.

Мастер правил безопасности

Выбрать созданный фильтр HTTP, HTTPS (слева должна появится точка в кружке) и нажать кнопку Далее.

Таким же образом выбрать действие для фильтра - Block Web, нажать Далее и Готово.

В правой панели консоли MMC появится созданная политика с именем BlockWeb.

Назначение политики

Для включения политики - нажать правый кнопкой мыши на названии и выбрать команду Назначить.

Для проверки запустить браузер. Если все было сделано правильно, картина должна быть такой:

Сайт заблокирован в проводнике

Задача №2 - добавляем разрешенные зоны

Чтобы добавить возможность посещения некоторых сайтов необходимо добавть фильтр в созданную политику.

Например, необходимо разрешить браузеру просмотр узла www.pontin.ru.

Для этого в консоли MMC дважды щелкнуть название политики BlockWeb.

В окне свойств нажать кнопку Добавить, затем двойным щелчком выбрать фильтр HTTP, HTTPS.

На вкладке Список фильтров нажать кнопку Добавить.

Указать имя для нового фильтра, например, pontin.ru.

Нажать Добавить, Далее, и качестве источника пакетов оставить Мой IP-адрес.

Нажать кнопку Далее. В качестве адреса назначения выбрать строку Определенное DNS-имя, а в поле Имя узла ввести www.pontin.ru. Нажать Далее.

Разрешающий фильтр для сайта

Появится предупреждение о том, что в фильтре вместо DNS-имени www.pontin.ru будет использован IP-адрес 83.222.31.146. Согласиться, нажав кнопку Да.

Затем указат тип протокола - TCP, выбрать переключатель На этот порт и указать его номер - 80.

Нажать Далее, Готово и ОК.

Затем необходимо определить действие фильтра - перейти на одноименную закладку и выбрать параметр Разрешить.

Теперь политика состоит из двух фильтров - один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом. Все это выглядит примерно так:

Свойство политики безопасности IP

Осталось закрыть все диалоговые окна и проверить фильтрацию.

Сайт разрешён фильтром

Теперь, при переходе на www.pontin.ru (и только!) браузер должен отобразить содержание этого узла.

Обратите внимание, что ресурсы, расположенные на другом хосте (например, рекламные баннеры), не отображаются - они также фильтруются примененной политикой IPSec.

Подобным же образом можно создать собственные необходимые фильтры и применить их.

Для написания данной статьи использовался следующий источник: http://www.windowsfaq.ru/content/view/661/90/

{jcomments on}

Добавить комментарий


Яндекс.Метрика

По всем вопросам, связанным с сайтом просьба обращаться на e-mail: pontin@mail.ru