Ветеран
Сообщения: 2029
Благодарности: 704
|
Профиль
|
Отправить PM
| Цитировать
Не вопрос!
Берем информацию по Вашей ссылке на разъянение настроек Base Firewall и разбираем по пунктам:
1. Блокировка фрагментов.
IP-пакеты поступают на Ваш компьютер по сети ethernet. Для доставки пакета на компьютер с заданным ip-адресом узел-отправитель пакета (в нашем случае это маршрутизатор, который получил пакет от шлюза провайдера и должен передать его дальше по цепочке) этот пакет дополняют заголовком и, в ряде случаев, "хвостом" протокола более низкого уровня. Например, кадра ethernet. Если пакет не помещается в кадр, его режут на несколько кусочков, каждый из которых представляет собой кадр содержащий фрагмент пакета.
Любой узел, через который происходит передача, включая маршрутизатор, может собрать ip-пакет из кусочков обратно.
На моем маршрутизаторе такая "обратная сборка" включается командой "ip virtual-reassembly".
Резюме: компьютеру, находящемуся за маршутизатором (тем более, с включенной трансляцией адресов) блокировка фрагментов не требуется - её может выполнить маршрутизатор.
2. Блокировка доверенных серверов.
На мой взгляд, абсолютно бесполезная функция. Маршрутизатор не может помешать компьютерам локального сегмента служить серверами друг для друга, но это и никому не нужно. Зато ни один локальный сервер не будет виден в интернете - запросы к нему не будут переадресовываться, если обратное прямо не указано в конфигурации маршрутизатора.
3. Блокировка публичных серверов.
Аналогично указанному выше. Чтобы сервер в локальной сети за NAT'ом был доступен из интернет необходимо задать "проброску" или, правильнее сказать, "переадресацию" (forwading) портов на маршрутизаторе. По умолчанию маршрутизатор в высшей степени эффективно блокирует локальные серверы от доступа извне. Причем для достижения этого эффекта даже не надо ничего делать.
4. Блокировка входящих ARP запросов, кроме широковещательных.
Протокол ARP служит для определения MAC-адреса по IP-адресу. Он действует в пределах одного сегмента сети. Какие бы ARP запросы не посылались извне в Вашу сеть - они не смогут пройти через маршрутизатор. Причем, этот эффект опять-таки достигается автоматически.
5. Фильтрация трафика передающегося по протоколу IEEE 1394.
Это нужно только тем, у кого компьютеры соединены не сетевым кабелем и не беспроводной сетью, а кабелем FireWire. Этот протокол одно время Apple пыталась продавить как альтернативу USB, но, как обычно, безуспешно и на современных материнских платах порты этого протокола уже начали исчезать.
Резюме: у Вас нет соединения ethernet поверх IEEE 1394, поэтому данная функция Вам не нужна. Мало того, такого соединения вообще ни у кого нет, поэтому для меня остается загадкой на кой черт эту функциональность вообще включили в "базовые функции".
6. Разрешение протокола поддержки виртуальных сетей (VPN)
Начнем с того, что эта функция Вам не нужна просто по причине отсутствия у Вас на ПК этих самых виртуальных сетей.
Те, кому VPN всё-таки необходима, организуют её на маршрутизаторе, а не на ПК. Чтобы ей могли пользоваться все компьютеры локального сегмента (или те из них, кому это разрешено).
7. Разрешение пользоваться необычными протоколами в режиме повышенной безопасности.
Необычная функция. Не нужна Вам хотя бы потому, что Вы вряд ли пользуетесь необычными протоколами. Если Вы ими всё-таки пользуетесь, не включайте режим повышенной безопасности.
8. Защита файла hosts от изменений
Это вторая функция из вышеперечисленных, которая не может быть выполнена маршрутизатором (первой была блокировка серверов от доступа из локального сегмента). Опять-таки, на мой взгляд, бесполезна. Почему я считаю её бесполезной? Потому что мониторинг файлов, особенно важных системных, это важная и нужная задача, но она должна решаться комплексно при помощи ПО специально ориентированного на эти цели. Защита одного файла из сотен тысяч аналогична жесткому диску, у которого только одна дорожка защищена контрольными суммами, а все остальные блоки никакой защиты не имеют.
9. Отключение встроенного межсетевого экрана Windows.
Без комментариев. Думаю, название говорит само за себя (понятно, что когда работает один межсетевой экран - ZoneAlarm, второй ему становится уже не нужен).
|
