Для того, что бы сделать сетевую папку в Windows XP, создаем папку, например "Сетевая папка", нажимаем на ней правой кнопкой мыши и выбираем "Свойства ".

В окне свойств, перейдите на вкладку "Доступ " и поставьте галочки напротив "Открыть общий доступ к этой папке ", если необходимо, что бы пользователи сети могли изменять (добавлять, удалять) файлы в этой папке, поставьте галочку- "Разрешить изменение файлов по сети ".

На этом создание сетевой папки (ее называют "шара") можно считать оконченной. Как можете заметить внизу папки появилась рука, это значит, что папка- сетевая.

Что бы другие пользователи могли увидеть ее по сети, необходимо зайти в Сетевое окружение , выбрать "Отобразить компьютеры рабочей группы ", найти компьютер на котором находится сетевая (расшаренная) папка нажать на нее и увидеть там общую папку сети.

Можно нажать "Пуск"- "Выполнить" или сочетание клавиш "Win"+ "R", ввести //<имя или IP компьютера> , например //comp , нажать клавишу Enter, откроются все расшаренные папки компьютера.

сетевым диском .

Как сделать сетевую папку в Windows 7.

Свойства ".

В окне свойств, перходим на вкладку "Доступ " и нажимаем "Общий доступ ".

Теперь необходимо добавить необходимых пользователей и предоставить им соответствующий доступ, в данном примере полный доступ (возможность изменять и удалять файлы) на папку будет у всех. В поле Добавить выбираем "Все ", в столбце Уровень разрешений выбираем "Чтение и запись ", нажимаем "Общий доступ ".

Готово ".

После этого заходите в "Пуск"- "Панель управления"- " или нажмите на кнопке Сетевого подключения на Панели задач и выберите "Центр управления сетями и общим доступом ".

В открывшемся окне Центр управления сетями и общим доступом посмотрите какая сеть используется (в данном примере - Рабочая) нажмите на "".

В используемом вами профиле (домашнем, рабочим или общем) внесите необходимые изменения, а именно:

Опуститесь ниже и:

Сохраните изменения.

На этом настройку сетевой папки в Windows7 можно считать оконченной.

Компьютер , справа нажимаете "Сеть ", выбираете компьютер на котором находится сетевая папка, справа откроются все расшаренные папки компьютера.

Еще один способ- нажать "Пуск" или сочетание клавиш "Win"+ "R" и ввести //<имя или IP компьютера> , например //User-ПК .

Для удобства использования сетевую папку можно подключить сетевым диском .

Как сделать сетевую папку в Windows 8.

Для того, что бы сделать сетевую папку в Windows 7, создаем папку, нажимаем на ней правой кнопкой мыши и выбираем "Свойства ".

В окне свойств, переходим на вкладку "Доступ " и нажимаем "Общий доступ ".

Теперь необходимо добавить необходимых пользователей и предоставить им соответствующий доступ, в данном примере доступ на папку будет у всех полный (право изменять и удалять файлы). В поле Добавить выбираем "Все " и в столбце Уровень разрешений выбираем "Чтение и запись ", нажимаем "Общий доступ ".

Откроется окно сообщений о том, что пака стала сетевой. Нажимаем "Готово ".

После этого заходите в "Панель управления"- "Центр управления сетями и общим доступом " или нажмите на кнопке Сетевого подключения на Панели задач и выбераете "Центр управления сетями и общим доступом ".

В открывшемся окне посмотрите какая сеть используется (в данном примере - Общедоступная) нажмите на "Изменить дополнительные параметры общего доступа ".

В используемом вами профиле (частная, гостевая или общедоступная) внесите необходимые изменения, а именно:

Включите сетевое обнаружение;

Включите общий доступ к файлам и принтерам;

Зайдите во вкладку "Все сети ":

Включите общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках.

Отключите общий доступ с парольной защитой.

Сохраните изменения.

На этом настройку сетевой папки в Windows8 можно считать оконченной.

Что бы пользоваться сетевой папкой заходите в Компьютер , справа нажимаете "Сеть ", выбираете компьютер на котором находится сетевая папка, нажав на необходимый компьютер, справа откроются все его расшаренные папки.

Еще один способ- нажать сочетание клавиш "Win"+ "R" , вписать //<имя или IP адрес компьютера> , например //pk2 . Нажав Enter откроется окно с расшаренными папками компьютера.

Для удобства, расшаренную папку можно подключить сетевым диском .

Надеюсь теперь вы не зависимо от операционной системы Windows XP/ Windows 7/ Windows 8, сможете без проблем расшарить папку.

Локальная сеть состоит из рабочих станций, периферийных изделий и модулей коммутации, соединённых отдельными проводами. Скоростной обмен и объём данных, передаваемый в сетях, определяются модулем коммутации, в роли которого могут применяться устройства маршрутизации или коммутаторы. Количество рабочих станций в сети определяется наличием портов, используемых для подключения на коммутационном устройстве. Локальные сети используются внутри одной организации и ограничены небольшим районом. Выделяют одноранговые сети, которые целесообразно использовать при наличии двух - трёх компьютеров в офисе, и сети с выделенным сервером, имеющим централизованное управление. Эффективно использовать компьютерную сеть позволяет создание сетевого окружения на базе Windows 7.

Как устроено сетевое окружение на Windows 7: построение и использование

В настоящее время невозможно представить офис, учреждение или крупную организацию, в которой все компьютеры и периферийные устройства соединены в единую компьютерную сеть . Как правило, эта сеть работает только внутри организации и служит для обмена информацией между сотрудниками. Такая сеть носит ограниченный характер использования и называется интрасетью.

Интрасеть или по-другому называемая интранет - это замкнутая внутренняя сеть какого-либо предприятия или учреждения, которая работает с использования интернет-протокола TCP/IP (протоколы для передачи информации).

Хорошо сконструированная интрасеть не требует наличия постоянного инженера-программиста, достаточно проведения периодических профилактических осмотров оборудования и программных средств. Все поломки и неисправности в интрасети сводятся к нескольким стандартным. В подавляющем большинстве случаев архитектура интрасети позволяет легко выяснить причину поломки и устранить её по заранее разработанному алгоритму.

Сетевым окружением в Windows 7 называется компонент системы, значок которого можно представить на рабочем столе при первоначальной настройке, после инсталляции операционной системы на ноутбук или компьютер. Используя графический интерфейс этого компонента можно просмотреть наличие рабочих станций в локальной интрасети и их конфигурацию. Для просмотра рабочих станций в интрасети, созданной на базе Windows 7, проверки их готовности к передаче и приёму информации, а также основных настроек была разработана оснастка «Сетевое окружение».

Эта опция даёт возможность осуществить просмотр имён конкретных рабочих станций в интрасети, сетевые адреса, разграничение прав доступа пользователей, провести тонкую настройку интрасети и исправить ошибки, возникающие в процессе сетевой эксплуатации.

Интрасеть может создаваться по двум различным схемам:

Поиск сетевого окружения на Windows 7

Поиск сетевого окружения является довольно простым процессом и проводится при первоначальном подключении рабочей станции к действующей интрасети офиса или предприятия.

Для поиска сетевого окружения в Windows 7 нужно выполнить ряд шагов по заданному алгоритму:

1. На «Рабочем столе» два раза щёлкнуть по ярлыку «Сеть».
   

   На «Рабочем столе» два раза нажимаем на значок «Сеть»

2. В раскрывшейся панели определить, из каких рабочих станций создана локальная интрасеть. Щёлкнуть закладку «Центр управления сетями и общим доступом».

   В панели сеть нажимаем вкладку «Центр управления сетями и общим доступом»

В «Центре управления сетями и общим доступом» войти в закладку «Изменение параметров адаптера».

В панели выбираем «Изменение параметров адаптера»

3. В оснастке «Сетевые подключения» выбрать действующее.

   Определяем созданную сеть

Проведя эти операции, определяем количество рабочих станций, название интрасети и конфигурацию рабочих станций.

Как создать

До начала настройки интрасети рассчитывается длина провода типа «витая пара» для подключения рабочих станций к проводному роутеру или сетевому коммутатору, проводятся мероприятия по подготовке линий связи, включающие обжимание разъёмов и протягивание сетевых проводов от рабочих мест к сетевому размножителю.

В локальную интрасеть, как правило, объединяют рабочие станции, находящиеся в квартире, офисе или на предприятии. Канал связи предоставляется через проводное соединение или с помощью беспроводной связи (Wi-Fi).

При создании компьютерной интрасети с использованием беспроводных каналов связи (Wi-Fi), рабочие станции настраиваются при помощи программного обеспечения, прилагаемого к роутеру.

Wi-Fi никак не расшифровывается, вопреки всеобщему заблуждению. Это название не является аббревиатурой и было придумано для привлечения внимания потребителей, обыгрывая словосочетание Hi-Fi (от английского High Fidelity - высокая точность).

При использовании проводных каналов связи проводится подключение к LAN-разъёмам компьютера и сетевого коммутатора. Если же интрасеть строится при помощи сетевых карт, то рабочие станции подключаются по кольцевой схеме, а на одном из них выделяется определённое пространство, предназначенное для создания общего сетевого диска.

Для полноценного функционирования интрасети, необходимо чтобы у каждой рабочей станции была возможность обмениваться пакетами информации со всеми другими станциями интрасети . Для этого каждому субъекту интрасети необходимо наличие имени и уникального сетевого адреса.

Как настроить

По окончании подключения рабочих станций и структурирования в объединённую интрасеть, на каждом сегменте проводится настройка индивидуальных параметров подключения, чтобы создать условия для корректной работы устройств.

Основным звеном при установке конфигурации станций является создание неповторимого сетевого адреса . Настраивать интрасеть можно начинать с произвольно выбранной рабочей станции. Настраивая конфигурацию, можно применять такой алгоритм пошаговых инструкций:

1. Зайти в сервис «Центр управления сетями и общим доступом».

   В панели слева выбираем «Изменение параметров адаптера»

2. Нажать на закладку «Изменение параметров адаптера».
3. В раскрывшейся панели отобразятся подключения, имеющиеся на рабочей станции.

   В сетевых подключениях выбираем необходимое

4. Выбрать подсоединение, выбранное для использования при обмене пакетами информации в интрасети.
5. Щёлкнуть правой кнопкой мыши по подсоединению и в выпадающем меню нажать строку «Свойства».

   В меню подключения жмём строку «Свойства»

6. В «Свойствах подключений» отметить элемент «Протокол интернета версии 4» и щёлкнуть клавишу «Свойства».

   В свойствах сети выделяем компонент «Протокол Интернета версии 4 (TCP/IPv4) и жмём клавишу «Свойства»

7. В «Свойствах протокола…» переключить значение на строку «Использовать следующий IP-адрес» и ввести в «IP-адрес» величину - 192.168.0.1.
8. В «Маску подсети» ввести величину - 255.255.255.0.

   В панели «Свойства протокола…» вводим значения IP-адреса и маски подсети

9. По завершении настройки жмём клавишу OK.

Такие же операции проводим со всеми рабочими станциями в интрасети. Различие между адресами будет заключаться в конечной цифре IP-адреса, что сделает его уникальным. Можно задать цифры 1, 2, 3, 4 и далее.

Рабочие станции будут иметь доступ к интернету, если ввести определённые величины в параметрах «Основной шлюз» и «DNS-сервер». Адресация, используемая для шлюза и DNS-сервера должна совпадать с адресом рабочей станции, имеющей права доступа к интернету. В параметрах интернет-станции указывается разрешение на право подключения к интернету для других рабочих станций.

В сети , создаваемой на основе радиоканалов связи, значения шлюза и DNS-сервера идентичны неповторимому адресу Wi-Fi-роутера, который инсталлирован для работы в интернете.

При подсоединении к интрасети Windows 7 предлагает выбрать варианты её местоположения:

• «Домашняя сеть» - для рабочих станций в доме или в квартире;
• «Сеть предприятия» - для учреждений или заводов;
• «Общественная сеть» - для вокзалов, гостиниц или метро.

Выбор одного из вариантов влияет на сетевые настройки Windows 7. От выбранного варианта зависит как должны будут применяться разрешительные и ограничительные меры для подключающихся к интрасети рабочих станций.

Видео: настраиваем сеть в Windows 7

Сразу же после настройки проверяется правильность подключения всех сегментов интрасети.

Как проверить подключение

Правильно или нет проведено подключение проверяется с помощью встроенной в Windows 7 утилиты ping. Для этого необходимо:

1. Перейти к панели «Выполнить» в сервисе «Стандартные» меню клавиши «Пуск».
   

   До настоящего времени самым достоверным способом проверки подключения компьютера к сети является применение пингования между рабочими станциями. Небольшая утилита ping была разработана ещё для самых первых сетей, работающих в среде дисково-операционной системы, но до сих пор не потеряла актуальности.

2. В поле «Открыть» использовать команду ping.

   В панели «Выполнить» вводим команду «Ping»

3. Запустится консоль «Администратор: Командная строка», позволяющая работать с DOS-командами.
4. Ввести через пробел уникальный адрес рабочей станции, связь с которой будет проверяться и нажать клавиатурную клавишу Enter.

   В консоли вводим IP-адрес проверяемого компьютера

5. Связь считается корректно работающей, если на консоли выводятся сведения об отправке и получении без потерь IP-пакетов информации.
6. При каких-то сбоях в соединении портов в консоли выводятся предупреждения «Превышен интервал ожидания» или «Заданный узел недоступен».

   Связь между рабочими станциями не работает

Такая же проверка проводится со всеми рабочими станциями интрасети. Это позволяет определить ошибки в соединении и приступить к их устранению.

В большинстве случаев отсутствие связи между рабочими станциями на одном участке, например, в учреждении или в доме, происходит по вине пользователей и носят механический характер. Это может быть перегиб или обрыв провода, связывающего устройство коммутации и рабочую станцию, а также плохой контакт разъёма с сетевым портом компьютера или коммутатора. Если сеть действует между офисами учреждения в разных населённых пунктах, то недоступность узла, скорее всего, происходит по вине организации, обслуживающей междугородние линии связи.

Видео: как проверяется наличие доступа к интернету

Бывают такие ситуации, когда интрасеть полностью настроена и имеет доступ к интернету, а сетевое окружение не отражается в графическом интерфейсе. В этом случае необходимо найти и исправить ошибку в настройках.

Что предпринять если не отображается сетевое окружение Windows 7

Самый простой способ устранения ошибки:

1. В «Панели управления» жмём по пиктограмме «Администрирование».

   В «Панели управления» выбираем раздел «Администрирование»

2. В «Администрировании» жмём на закладку «Локальная политика безопасности».

   Выбираем пункт «Локальная политика безопасности»

3. В раскрывшейся панели жмём на каталог «Политика диспетчера списка сетей».

   Выбираем пункт «Политика диспетчера списка сетей»

4. В каталоге «Политика…» раскрываем имя сети «Идентификация сетей».

   В папке выбираем пункт «Идентификация сетей»

5. Переводим «Тип расположения» в положение «Общее».

   В панели ставим переключатель в положение «Общее»

6. Перезагружаем рабочую станцию.

После перезагрузки интрасеть становится видна.

Почему не открываются свойства сетевого окружения

Свойства могут не открываться по различным причинам. Один из способов устранения ошибки:

Можно также сделать новое сетевое подключение, а старое удалить. Но это не всегда приводит к желаемому результату.

Почему в сетевом окружении пропадают компьютеры и как это исправить

Встречаются проблемы локальной интрасети, когда все компьютеры пингуются и открываются по IP-адресу, но ни одного значка рабочих станций нет в сети.

Для устранения ошибки необходимо выполнить ряд простых действий:

Видео: что предпринять, когда в сети не отображаются рабочие станции

Рабочие станции могут быть не видны также из-за того, что на разных станциях установлены различные версии Windows. Структура интрасети может создаваться из рабочих станций на базе Windows 7 и части станций, работающих на базе Windows XP. Станции будут определять наличие в интрасети аналогов с другой системой если указано одинаковое название сети у всех сегментов. При создании общего доступа к каталогам Windows 7 нужно устанавливать 40-битное или 56-битное шифрование, а не 128-битное по умолчанию. Это гарантирует, что компьютеры с «семёркой» гарантированно увидят рабочие станции с установленной Windows XP.

Как предоставить доступ к рабочим станциям

При предоставлении ресурсов в интрасеть, необходимо принять меры, чтобы доступ к ним был санкционирован только для тех пользователей, кому это действительно разрешено.

Один из самых простых способов - установка логина и пароля. Если пароль неизвестен, то к ресурсу не подключиться. Этот способ не совсем удобен для сетевой идентификации.

Windows 7 предоставляет другой способ защиты информации от неразрешённого доступа. Для этого устанавливается совместное использование сетевых ресурсов, где указывается, что они будут предоставляться зарегистрированным группам. Регистрация и проверка прав члена группы возлагается на программу, управляющую интрасетью.

Для установки беспарольного доступа к рабочим станциям проводится активация учётной записи «Гость» и предоставляются определённые права, обеспечивающие работу сетевыми дисками.

1. Для активации учётной записи щёлкнуть по пиктограмме «Учётные записи пользователей» в «Панели управления». Нажать на закладку «Управление другой учётной записью».

Корпорация Microsoft, начиная с Windows Vista, сильно изменили политику безопасности своих систем относительно локальной сети. Операционная система казалось новой, какой-то слишком сложной, и поэтому многие так и не смогли разобраться как открыть доступ к файлам на компьютере. Сегодня мы разберем, как это делается на примере Windows 8.1, но в Vista и 7 аналогичная система, и разница не принципиальна. Локальную сеть можно также использовать для последующего создания , которая будет объединять все мультимедийные устройства дома или квартиры, или для обмена файлами с телефоном или планшетом.

На мой взгляд это очень удобно, когда без дополнительных движений можно воспроизвести фильм с компьютера, ноутбука или даже телефона на большом экране телевизора или прослушать любимую музыку с телефона, на акустической системе без подключения дополнительных проводов, хотя тут уже необходим . Но перейдем к настройке локальной сети.

Видеоинструкция доступна по ссылке .

Пошаговая инструкция

1. Для нормального функционирования локальной сети все компьютеры этой сети должны находиться в одной рабочей группе, для домашней сети возьмем MSHOME. Чтобы её установить, нам необходимо пройти по следующему пути: открываем «Панель управления» - «Система и безопасность» - «Система» (также можно на рабочем столе нажать правой клавишей по ярлыку «Компьютер» и выбрать «Свойства» или комбинация клавиш « «). В открывшемся окне в левой колонке выбираем «Дополнительные параметры системы».

   

2. В открывшемся окне переходим на вкладку «Имя компьютера» и жмём кнопку «Изменить». Открывается диалоговое окно, в котором нам и нужно записать новую рабочую группу. Прописываем MSHOME (всё заглавными) и жмём ОК. Закрываем параметры системы так же нажатием кнопки ОК и перезагружаем компьютер.

   

3. Далее желательно настроить постоянный IP для обоих компьютеров. Для этого идём в «Панель управления» — «Сеть и интернет» — «Центр управления сетями и общим доступом» — в левой части окна «Изменение параметров адаптера» — выбираем сетевую карту, нажимаем правой клавишей и жмём «Свойства».

   

4. Перед выполнением этого пункта читаем примечания под скриншотом. Выбираем «Протокол Интернета версии 4» и жмём «Свойства», заполняем как показано на картинке.

   

   P.S. В случае, если локальная сеть у вас организована через роутер с включенным DHCP сервером — IP-адрес, Основной шлюз и DNS-Сервера можно оставить в автоматическом режиме. Данное действие необходимо делать, если у вас два компьютера подключены на прямую или отключен DHCP на роутере.

   P.P.S. Значение IP-адреса должно быть разным на компьютерах в пределах одной локальной сети. То есть, у данного компьютера указываем IP 192.168.0.7, а у следующего уже 192.168.0.8.

Далее нам нужно настроить видимость компьютера в пределах локальной сети. Для этого проходим в «Панель управления» — «Сеть и интернет» — «Центр управления сетями и общим доступом» — в левой части окна выбираем «Изменить дополнительные параметры общего доступа» и перед нами откроются профили параметров общего доступа. Тут ваша задача заключается в том, что во всех профилях вы должны включить «сетевое обнаружение», и «общий доступ к файлам и принтерам», и «общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках», а так же «Отключить общий доступ с парольной защитой». Жмём сохранить изменения.







5. В этом пункте начинаем работать именно с папками, которым будем давать общий доступ в сети. Я расскажу на примере одной папки, но открыть доступ можно ко всему локальному диску по аналогичному сценарию.
   Для начала нам необходимо открыть общий доступ к папке. При этом нужно учитывать, что если сеть не ограничивается двумя компьютерами (к примеру некоторые провайдеры (Билайн) проводят интернет в квартиры на основе одной большой локальной сети), есть смысл не давать право на изменение содержимого папки; если вы уверены в компьютерах входящих в локальную сеть, смело давайте «Полный доступ». Итак, открываем свойства нужной нам папки, для этого жмём правой клавишей по папке и выбираем»Свойства», открываем вкладку «Доступ» и жмём кнопку «Расширенная настройка…».

   

6. В открывшемся окне ставим галочку «Открыть общий доступ к этой папке», жмём кнопку «Разрешения» и даём нужные права папке; так как это пример, я даю полный доступ к папке, но вы ставьте по вашему усмотрению. Вот что у меня получилось:

   

7. Жмём ОК для принятия изменений, так же жмём ОК в окне «Расширенная настройка общего доступа», далее в свойствах папки переходим в раздел «Безопасность» и нажимаем кнопку «Изменить».

   

Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:

1. Корпоративный почтовый сервер (Web-mail).
2. Корпоративный терминальный сервер (RDP).
3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть

В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее - IFW ).

Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .

Плюсы варианта :

1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.

Минусы варианта :

1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.

Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)


hrmaximum.ru

Вариант 2. DMZ

Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW ) и от внутренней сети (DFW ).


При этом правила фильтрации межсетевых экранов выглядят следующим образом:

1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
2. Из DMZ можно инициировать соединения в WAN.
3. Из WAN можно инициировать соединения в DMZ.
4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.

Плюсы варианта:

1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).

Минусы варианта:

1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.

Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент - это как раз и есть аналог клиентской зоны.


autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End

Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End . При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.

В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:

1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read , направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом) затруднит удаленное управление им из Интернет.
3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).

Минусы варианта:

1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
2. Не все сервисы могут быть разделены на Front-End и Back-End.
3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.

Примечания

1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.

Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников - секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.


mln.kz

Вариант 4. Защищенный DMZ

DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

Защита от атак, связанных с DHCP

Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server , DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood

Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood

Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood

Для защиты от данной атаки возможны варианты:

1. Защита на узле сети с помощью технологии TCP SYN Cookie .
2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.

Защита от атак на сетевые службы и Web-приложения

Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации

Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:

1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
2. IP адреса назначаются вручную администраторами. DHCP не используется.
3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.

Плюсы варианта:

1. Высокая степень безопасности.

Минусы варианта:

1. Повышенные требования к функциональным возможностям оборудования.
2. Трудозатраты во внедрении и поддержке.

Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.


valmax.com.ua

Вариант 5. Back connect

Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство (коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:

• атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
• атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).

Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:

1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.

Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:

• Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
• Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
• Возможность использования сертифицированной криптографии .

На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного - защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:

1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
4. Возможность избирательного повышения уровня безопасности сервисов.
5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.

Минусы варианта:

1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
3. Дополнительная вычислительная нагрузка на сервера.

Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных. Добавить метки

В операционной системе Windows можно подключить общий доступ к папке, в локальной домашней сети для обмена данными между компьютерами при помощи общих папок. Это очень удобный и быстрый способ для передачи файлов по схеме компьютер-компьютер, без использования внешних носителей (флешек, внешних жестких дисков, карт памяти и т. п.).

В этой статье я расскажу про создание локальной сети на примере операционной системы Windows 10. Создание и настройка локальной сети в Windows 8 и в Windows 7 происходит подобным образом, данная инструкция универсальная.

В статье рассмотрен следующий вариант использования общих папок в локальной сети: к роутеру подключено несколько компьютеров, подключенных по кабелю и беспроводной сети Wi-Fi, объединенных в домашнюю сеть. На каждом компьютере создается общая папка, доступ к общим папкам имеют все компьютеры, входящие в данную локальную сеть.

На компьютерах, подключенных к домашней локальной сети, могут быть установлены операционные системы Windows 10, Windows 8, Windows 7 (разные ОС, или одинаковая операционная системы), подключенные к роутеру по Wi-Fi или по кабелю.

Создание и настройка локальной сети проходит в четыре этапа:

• первый этап - проверка имени рабочей группы и настроек сетевой карты
• второй этап - создание и настройка параметров локальной сети
• третий этап - подключение общего доступа к папке в локальной сети
• четвертый этап - обмен данными по локальной сети

Сначала необходимо проверить параметры рабочей группы и настройки сетевой карты, а потом уже создать локальную сеть Windows.

Проверка настроек сетевой карты и рабочей группы

На Рабочем столе кликните правой кнопкой мыши по значку «Этот компьютер» («Мой компьютер», «Компьютер»), в контекстном меню выберите пункт «Свойства». В окне «Система» нажмите на пункт «Дополнительные параметры системы».

В открывшемся окне «Свойства системы» откройте вкладку «Имя компьютера». Здесь вы увидите имя рабочей группы. По умолчанию, в Windows 10 рабочей группе дано имя «WORKGROUP».

На всех компьютерах, подключенных к данной локальной сети, имя рабочей группы должно быть одинаковым. Если на подключаемых к сети компьютерах у рабочих групп разные имена, измените имена, выбрав одно название для рабочей группы.

Для этого, нажмите на кнопку «Изменить…», в окне «Изменение имени компьютера или домена» дайте другое имя для рабочей группы (напишите новое имя большими буквами, лучше на английском языке).

Теперь проверьте настройки сетевой карты. Для этого, в области уведомлений кликните правой копкой мыши по значку сети (доступ в интернет). Нажмите на пункт «Центр управления сетями и общим доступом». В окне «Центр управления сетями и общим доступом» нажмите на ссылку «Изменение параметров адаптера».

В окне «Сетевые подключения» выберите сетевую карту, Ethernet или Wi-Fi, в зависимости от способа подключения компьютера к интернету. Далее кликните правой кнопкой мыши по сетевой карте, в контекстном меню нажмите на «Свойства».

В окне свойства сетевой карты, во вкладке «Сеть» выделите компонент «IP версии 4 (TCP/IPv4)», а затем нажмите на кнопку «Свойства».

В открывшемся окне свойства протокола интернета, во вкладке «Общие» проверьте параметры IP-адреса и DNS-сервиса. В большинстве случаев эти параметры назначаются автоматически. Если данные параметры вставляются вручную, уточните соответствующие адреса у вашего интернет провайдера (IP-адрес на компьютерах, подключенных к сети должен быть разным).

После завершения проверки параметров можно перейти непосредственно к созданию локальной сети в Windows.

Создание локальной сети

Первым делом настройте параметры локальной сети в Windows. Войдите в «Центр управления сетями и общим доступом», нажмите на пункт «Изменить дополнительные параметры общего доступа».

В окне «Дополнительные параметры общего доступа» настраивается изменение параметров общего доступа для различных сетевых профилей. Операционная система Windows для каждой используемой сети создает отдельный сетевой профиль со своими особыми параметрами.

Всего доступно три профиля сети:

• Частная
• Гостевая или общедоступная
• Все сети

В профиле частной сети в параметре «Сетевое обнаружение» выберите пункт «Включить сетевое обнаружение».

В параметре «Общий доступ к файлам и принтерам» активируйте пункт «Включить общий доступ к файлам и принтерам».

В параметре «Подключение домашней группы» выберите пункт «Разрешить Windows управлять подключениями домашней группы (рекомендуется)».

После этого откройте сетевой профиль «Все сети». В параметре «Общий доступ к общедоступным папкам» выберите пункт «Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках».

В параметре «Подключение общего доступа к файлам» выберите настройку «Использовать 128-битное шифрование для защиты подключений общего доступа (рекомендуется)».

В параметре «Общий доступ с парольной защитой» активируйте пункт «Отключить общий доступ с парольной защитой».

После завершения настроек, нажмите на кнопку «Сохранить изменения».

Повторите все эти действия на всех компьютерах, которые вы планируете подключить к домашней локальной сети:

• проверьте имя рабочей группы (имя должно быть одинаковым)
• проверьте настройки сетевой карты
• в параметрах общего доступа включите сетевое обнаружение, включите общий доступ к файлам и принтерам, отключите общий доступ с парольной защитой

Как включить общий доступ к папке

В данном случае я создал папку и именем «Общая». Кликните правой кнопкой мыши по этой папке, в окне свойства папки откройте вкладку «Доступ».

Затем нажмите на кнопку «Расширенная настройка».

В окне «Расширенная настройка общего доступа» активируйте пункт «Открыть общий доступ к этой папке», а потом нажмите на кнопку «Разрешения».

Выберите разрешения для использования данных общей папки с другого компьютера. Есть выбор из трех вариантов:

• Полный доступ
• Изменение
• Чтение

Для сохранения настроек нажмите на кнопку «ОК».

Вновь войдите в свойства папки, откройте вкладку «Безопасность», а затем нажмите на кнопку «Изменить…».

В открывшемся окне введите имя «Все» (без кавычек) в поле «Введите имена выбираемых объектов», а затем нажмите на кнопку «ОК».

В окне свойства папки, во вкладке «Безопасность» настройте разрешения, которые вы ранее выбрали для общей папки.

Для изменения разрешения для группы «Все», нажмите на кнопку «Дополнительно». В окне «Дополнительные параметры безопасности для общей папки» выделите группу «Все», а потом нажмите на кнопку «Изменить» для изменения разрешений.

Настройка локальной сети в Windows завершена. В некоторых случаях может понадобиться перезагрузка компьютера для того, чтобы все изменения вступили в силу.

Вход в локальную домашнюю сеть

Откройте Проводник, в разделе «Сеть» вы увидите все доступные компьютеры, подключенные к локальной домашней сети. Для входа на другой компьютер, кликните по имени компьютера, а затем кликните по имени общей папки для того, чтобы получить доступ к файлам и папкам, находящимся в общей папке.

Локальная сеть в Windows 10 создана и настроена.

Устранение некоторых неполадок с сетью

Иногда, после настройки сети, возникают проблемы с доступом папкам в локальной сети. Одной из возможных проблем, может быть неправильно выбранный профиль сети. Я сам с этим столкнулся на своем компьютере. После переустановки системы, я создал и настроил локальную сеть, но мой компьютер не видел два ноутбука, подключенных к этой сети. С ноутбука можно было без проблем зайти в общую папку моего компьютера, а компьютер их вообще не видел.

Я несколько раз проверил все настройки локальной сети, и только потом заметил, что на моем компьютере работает общественная сеть, а не частная (домашняя) сеть, как на ноутбуках. Как можно решить такую проблему?

Войдите в «Центр управления сетями и общим доступом», нажмите на «Устранение неполадок». Выберите раздел «Общие папки», запустите диагностику и устранение неполадок. В самом конце приложение предложит настроить сеть как частную. Примените это исправление, а затем перезагрузите компьютер. После выполнения этой операции, мой компьютер получил доступ к общим папкам на ноутбуках в локальной сети.

Часто проблемы возникают из-за неправильной настройки сети. В Windows 10 есть возможность сбросить настройки сети на настройки по умолчанию. Войдите в «Параметры», «Сеть и Интернет», в разделе «Изменение сетевых параметров» нажмите на «Сброс сети» для применения сетевых настроек по умолчанию.

Могут возникнуть и другие проблемы, их решение ищите в интернете.

Выводы статьи

В ОС Windows можно создать локальную частную (домашнюю) сеть между компьютерами, для организации обмена данными с помощью общих папок, получить доступ к принтеру. На компьютерах в одной сети могут быть установлены разные, или одинаковые операционные системы (Windows 10, Windows 8, Windows 7).