Universitatea tefan cel Mare Suceava

Facultatea de Inginerie Electric i tiina Calculatoarelor

Instalarea i configurarea unui firewall

Proiect Reele Locale de Calculatoare

Nichifor Ana-Maria
Calculatoare
An II
2014-2015
Grupa 3123 (b)
1

Cuprins
Tema Proiectului ......................................................................................................................................3
Consideraii teoretice ..............................................................................................................................3
Tipuri de firewall...................................................................................................................................3
Firewall Hardware ............................................................................................................................3
Firewall Software..............................................................................................................................3
Instalarea i configurarea unui firewall de tip software ........................................................................5
Instalarea firewall-ului ..........................................................................................................................5
Configurarea setrilor generale ale firewall-ului..................................................................................9
Configurarea setrilor de administrare a reelelor ........................................................................... 10
Configurarea setrilor de control al aplicaiilor ................................................................................ 10
Setarea permisiunilor unui program ................................................................................................. 12
Bibliografie ............................................................................................................................................ 13

Tema Proiectului
Conectarea la Internet sau chiar la o reea mai restrns de calculatoare expune calculatorul
personal la diverse ameninri cibernetice precum hackers, keyloggers (spy software care nregistreaz
tastele apsate) sau participarea la atacuri cibernetice fr contientizarea utilizatorului. Aceste riscuri
ale conectrii la Internet pot duce la furtul de informaii importante precum datele personale, parole
sau contul bancar utilizat n cazul tranzaciilor online. Astfel, se observ necesitatea unui filtru situat
ntre calculator i reeaua la care acesta este conectat, acest rol fiind ndeplinit de programul numit
firewall.

Consideraii Teoretice
Un firewall, denumit i paravan de protecie, este de dou tipuri: firewall-ul hardware
reprezentat de router, care este situat ca o barier ntre calculator i reeaua la care este conectat, i
firewall-ul software, un program care selecteaz datele care ajung n acest PC. Conectarea la Internet
presupune trimiterea i primirea constant de informaii sub forma unor uniti numite pachete. Ele
sunt analizate de ctre firewall n funcie de un set de reguli prestabilite care este actualizat frecvent i
n funcie de acesta pachetele sunt respinse sau trimise mai departe.

Tipuri de Firewall
Hardware Firewall
Un firewall hardware este un dispozitiv care conecteaz dou sau mai multe segmente de
reea i restricioneaz traficul dintre reele. Cel mai simplu tip este denumit filtru de pachete i se
bazeaz reguli care specific criteriile de trecere ale unui pachet. Aceste criterii pot fi tipul pachetului,
adresa, portul surs i destinaie. Unele firewall-uri integreaz verificri ale datelor adiionale,
specifice protocolului, cum ar fi verificri de virui sau spam. Multe dintre aceste teste depind de
folosirea semnturilor pentru a detecta tipuri cunoscute de ameninri. Aceste semnturi trebuie s fie
pstrate la curent i n plus, nu pot oferi protecie mpotriva ameninrilor nou aprute pn cnd
semntura adecvat nu este creat i rspndit.

Software Firewall
Firewall-urile software sunt instalate pe calculatorul care trebuie protejat i limiteaz
conexiunile care sunt acceptate ntre aplicaiile care ruleaz pe calculator i reeaua la care calculatorul

este conectat. La fel ca i firewall-ul hardware, acestea cuprind reguli care permit unor aplicaii s se
conecteze la porturile lor specifice sau s le refuze accesul celor nenregistrate.
Network layer firewalls, denumite i firewall-uri de filtrare a pachetelor, nu permit trecerea
pachetelor dect dac ndeplinesc regulile prestabilite. Aceste reguli pot fi stabilite de ctre
administrator sau pot fi aplicate regulile prestabilite. Acest tip de firewall-uri se mparte n dou
categorii: stateful i stateless.
Cele stateful pstreaz informaii despre sesiunile active i le folosesc pentru procesarea ntrun timp mai scurt a pachetelor. Orice conexiune la o reea este caracterizat de proprieti precum
adresa IP a sursei i a destinaiei, portul UDP sau TCP i stadiul curent al conexiunii. Dac un pachet
nu aparine niciunei conexiuni existente, el va fi evaluat n conformitate cu setul de reguli pentru
conexiuni noi. ns dac el aparine unei conexiuni existente i se permite trecerea fr o procesare
ulterioar.
Firewall-urile stateless necesit mai puin memorie ntruct, n contrast cu firewall-urile
stateful, nu in evidena conexiunilor existente, ci doar evalueaz coninuturile pachetelor.
Un alt tip de firewall este cel care functioneaz la nivel de aplicaie (application-layer
firewall) care intercepteaz toate pachetele care au ca surs sau destinaie o aplicaie i blocheaz alte
pachete. Acest tip de paravan de protecie determin dac un proces ar trebui s accepte o anumit
conexiune i, in caz afirmativ, se conecteaz la computerul destinatar. Application-layer firewall
funcioneaz asemntor cu firewall-ul de filtrare a pachetelor, ns n acest caz regulile de filtrare fac
referire la un proces, pe cnd la network-layer firewall se ine cont de port. De aceea, application-layer
firewall este ntlnit n cele mai multe cazuri n asociere cu unul de tip network-layer.
Un server proxy este n general folosit pentru a accelera performanele reelei, dar poate
ndeplini i rolul unui firewall. Serverele proxy ascund de asemenea adresa intern astfel ncat toate
comunicaiile par s provin chiar de la serverul proxy nsui. El poate fi configurat n aa fel nct s
blocheze accesul la anumite site-uri web i s filtreze traficul prin anumite porturi pentru a proteja
reeaua intern.

Instalarea i configurarea unui firewall de tip software

Firewall-ul utilizat pentru exemplificarea temei se numete ZoneAlarm, unul dintre cele mai
populare firewall-uri free. Programul poate fi downloadat de aici:
http://www.zonealarm.com/security/en-us/fza-install-steps.htm .

Instalarea firewall-ului
Dup descrcare se acceseaz fiierul de setup:

Pentru instalarea cu setri prestabilite dai click pe QUICK INSTALL, iar pentru instalarea cu setri
stabilite de utilizator vom accesa Custom Install.

La aceast etap putei alege ntre dou moduri de funcionare:

-

Modul AUTO-LEARN const n configurarea setrilor de securitate pe baza deciziilor luate

de utilizator de-a lungul timpului

Modul MAX SECURITY presupune controlul manual al setrilor, un mod mai flexibil de
utilizare a programului

Se instaleaz programul...

n cadrul ultimei etape este solicitat adresa de e-mail a utilizatorului pentru nregistrarea produsului i
informarea n privina actualizrilor, care ns este opional. Dai click pe FINISH i firewall-ul va fi
activat.

Aceasta este interfaa programului, iar prin accesarea View Details din categoria Firewall sunt
afiate opiunile de personalizare.

Dai click pe Settings din categoria Basic Firewall.

Aici putei seta rigurozitatea securitii n cadrul unei reele publice sau n cazul unei reele locale sau
de ncredere.
-

Modul High security accept accesarea Internetului dar mpiedic partajarea resurselor cu
alte calculatoare din reea.

Modul Medium security protejeaz calculatorul de posibile atacuri asupra serviciilor de

reea Windows dar accept i partajarea resurselor cu alte calculatoare sau reele.

Modul Blocked zone cuprinde calculatoarele sau reelele care nu sunt de ncredere, n
aceast zon traficul fiind blocat.

Se acceseaz Advanced Settings :

Configurarea setrilor generale ale firewall-ului

Block all fragments blocheaz toate pachetele de date incomplete, create uneori de hackeri pentru
a sabota dispozitivele de reea care citesc informaiile privitoare la pachete
Block trusted servers Anuleaz permisiunile acordate serverelor de ncredere
Block public servers - Anuleaz permisiunile acordate serverelor publice
Enable ARP protection blocheaz toate cererile ARP (Address Resolution Protocol) , exceptnd
cele broadcast pentru adresa calculatorului destinatar
Filter IP traffic over 1394 filtreaz traficul FireWire. Pentru activarea acestei setri, calculatorul
trebuie repornit
Allow VPN Protocols accept folosirea protocoalelor VPN chiar i n modul High security.
Cnd aceast opiune este dezactivat, aceste protocoale sunt acceptate doar n modul Medium
Security
9

Allow uncommon protocols at high security accept folosirea protocoalelor diferite de cele VPN
n modul High security
Lock hosts file mpiedic modificarea fiierului hosts de ctre hackeri. Aceast opiune este
dezactivat iniial pentru c unele programe trebuie s modifice acest fiier pentru a putea funciona.
Disable Windows Firewall detecteaz i dezactiveaz firewall-ul inclus n Windows

Configurarea setrilor de administrare a reelelor

Include networks in the Trusted Zone upon detection asociaz automat reelele noi zonei de
ncredere
Exclude networks from the Trusted Zone upon detection - asociaz automat reelele noi zonei de
publice
Ask which Zone to place new networks in upon detection pentru fiecare reea nou se cere
utilizatorului s aleag o zon n care aceasta s fie inclus
Automatically put new unprotected wireless networks (WEP or WPA) in the Public Zone aceast
opiune poate fi activat mpreun cu cea anterioar i include automat n zona public reelele
wireless neprotejate
Enable IPv6 networking activeaz IPv6 n cazul sistemelor care suport acest protocol
Pentru a reveni la setrile iniiale dai click pe Reset to default, iar pentru a aduga un host, o adres
IP sau o subreea alegei opiunea View Zones din meniul ferestrei de mai sus, apoi pe butonul
Add>>, alegei din submeniul afiat ce dorii s introducei apoi dai informaiile cerute.

Configurarea setrilor de control al aplicaiilor

Pentru a reduce numrul de notificri sau pentru a avea un control mai extins asupra aplicaiilor sau a
regulilor de acces revenii la fereastra principal >Firewall > View Details i accesai opiunea
Settings de la categoria Application Control de data aceasta.

10

Network firewall poate fi setat pe urmtoarele moduri:

Off dezactivat
Min produce mai puine notificri dar crete riscul de a fi atacat de malware nou, nc neexistent n
baza de date
Med este opiunea prestabilit i lucreaz n modul Auto-Learn, reducnd astfel numrul de
notificri nct firewall-ul ia decizii automat n funcie de alegerile utilizatorului de-a lungul timpului
Max este cea mai sigur opiune dar care presupune un numr mare de nnotificri, ntruct fiecare
program trebuie s solicite acces la reea, la Internet i la privilegii pe server.
DefenseNet poate funciona n urmtoarele moduri:
Off dezactivat
Manual - DefenseNet nu poate lua automat o decizie n privina solicitrilor unui program dar ofer
sugestii utilizatorului n privina acesteia

11

Auto cnd un program solicit accesul, DefenseNet acceseaz serverul ZoneAlarm i genereaz o
decizie dac programul se regsete n baza de date. Dac programul este necunoscut este necesar
decizia utilizatorului n privina accesului acestuia.

Setarea permisiunilor unui program

Pentru a modifica permisiunile unui program dai click pe Advanced Settings.

Dai click pe Add, selectai programul care trebuie adugat apoi dai informaiile cerute:
DefenseNet politica DefenseNet aplicat programului
Trust Level definete aciunile pe care programul le poate face
-

Super este cel mai ridicat nivel de ncredere; programele pot face aciuni suspicioase fr a
solicita acces

Programele Trusted pot face aciuni suspicioase fr a solicita acces, exceptnd cele
necunoscute

Programele Restricted trebuie s cear acces pentru aciunile suspicioase

12

Ask necesit decizia utilizatorului

Kill anuleaz accesul programelor, acestea neputnd funciona

Outbound Trusted definete permisiunea de a trimite date ctre zona de ncredere

-

Allow permite traficul outbound ctre Trusted Zone

Deny nu permite traficul outbound ctre Trusted Zone

Ask cere o opiune pentru fiecare program

Outbound Internet definete permisiunea de a trimite date ctre Internet, Inbound Trusted permite
primirea de date de la Trusted Zone, iar Inbound Internet permite primirea de date de pe Internet,
acestea avnd opiuni similare categoriei Outbound Trusted.

Bibliografie
https://corisweb.stsisp.ro/documente/firewall
http://marinescuandrei.tripod.com/tipuri_de_firewall.htm
http://en.wikipedia.org/wiki/Firewall_%28computing%29
http://download.zonealarm.com/bin/inclient/ZA_HelpCenter/93094.htm
http://download.zonealarm.com/bin/inclient/ZA_HelpCenter/91620.htm
13