Брандмауэр, он же файервол - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, зта граница проводится между локальной сетью предприятия и ИНТЕРНЕТ, хотя ее можно провести и внутри локальной сети предприятия или домашней сети. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить.

Обычно под брандмауэром подразумевают комплекс программных средств, устанавливаемых на компьютер, выполняющий функции шлюза в интернет. Существуют так же специализированные программно-аппаратные комплексы, обычно включающие в себя функции шлюза и маршрутизатора. Как правило, в операционную систему, под управлением которой работает брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации.

С целью обеспечения безопасности доступ к операционной системе должен быть только у администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Типы брандмауэров:

• пакетные фильтры (packet filter)
• сервера прикладного уровня (application gateways)
• сервера уровня соединения (circuit gateways)

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов - TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики

Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

• относительно невысокая стоимость
• гибкость в определении правил фильтрации
• небольшая задержка при прохождении пакетов

• локальная сеть видна (маршрутизируется) из ИНТЕРНЕТ
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес)
• отсутствует аутентификация на пользовательском уровне

• локальная сеть невидима из ИНТЕРНЕТ
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

• более высокая, чем для пакетных фильтров стоимость;
• невозможность использования протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в ИНТЕРНЕТ в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по ИНТЕРНЕТ шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям - например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое пользователем соединение.

Как правило, используется принцип, получивший название \\\\\"что он знает\\\\\" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - последние представляют из себя устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд брандмауэров поддерживают Kerberos - один из наиболее распространенных методов аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем.

На данный момент на рынке присутствует множество видов программных и аппаратных решений для защиты локальной сети либо отдельного компьютера от несанкционированного доступа. Не пренебрегайте собственной безопасностью.

Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников. Также можно изменить конфигурацию брандмауэра, чтобы настроить обмен данными через порт, известный только вам.

Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения. Брандмауэры рекомендуется использовать для распознавания вирусов (вирусов-червей и некоторых видов троянов), которые могут проникать в систему или из нее через открытый порт. Они не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.

Защита ArcGIS Server с помощью брандмауэра

Существует ряд стратегий, цель которых – обеспечить защиту сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).

Один брандмауэр

Самый простой и наименее безопасный вариант предполагает использование только одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 80. Веб-сервер, ArcGIS Web Adaptor, ГИС-сервер и ваши данные находятся в безопасной внутренней сети, защищенной брандмауэром.

Несколько брандмауэров с обратным прокси и веб-адаптером (Web Adaptor) в пограничной сети

Более безопасный, но и более сложный вариант, который предполагает настройку веб-сервера и веб-адаптера (Web Adaptor) в пределах пограничной сети (также известной как демилитаризованная зона или промежуточная подсеть). При этом сценарии веб-адаптер (Web Adaptor) получает входящие запросы через порт 80. Затем он отправляет запрос на ГИС-сервер через другой брандмауэр, используя при этом порт 6080. Благодаря Web Adaptor компьютер работает как обратный прокси (reverse proxy).

Рассмотрим этот вариант более подробно:

• Пограничная сеть содержит компьютеры, доступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
• Веб-адаптер (Web Adaptor) в пограничной сети принимает веб-запросы через общий порт (например, порт 80). Брандмауэр блокирует доступ через все остальные порты. После этого Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6080 ArcGIS Server.
• ГИС-сервер и сервер данных (если есть) размещаются в безопасной внутренней сети. Запрос, поступающий в безопасную сеть, должен поступать с веб-адаптера (Web Adaptor) и проходить через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Сначала отклик передается через брандмауэр назад в Web Adaptor. Затем Web Adaptor отправляет его в клиент через другой брандмауэр.

В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.

Интеграция существующего обратного прокси

Если ваша организация уже использует обратный прокси, можно его настроить таким образом, чтобы он направлял запросы на ArcGIS Server в безопасной внутренней сети. Основным вариантом является прямое подключение к ГИС-серверу через порт 6080 без установки Web Adaptor.

Если вы хотите, чтобы порт между обратным прокси и вашей безопасной внутренней сетью оставался неизвестным, на другом веб-сервере в пределах этой безопасной внутренней сети может быть установлен Web Adaptor. Этот Web Adaptor можно настроить, чтобы он принимал трафик через тот порт, который вы выберете.

Вы можете добавить свой сайт ArcGIS Server непосредственно в указатели прокси (proxy directives). Например, если вы используете в качестве обратного прокси Apache, то вам потребуется добавить свой сайт ArcGIS Server в указатели ProxyPass файла конфигурации веб-сервера Apache.

ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis

Если вы используете обратный прокси, и окончание URL вашего сайта отличается от заданного по умолчанию /arcgis (все буквы строчные), то вам нужно также установить свойство ArcGIS Server WebContextURL (ArcGIS Server"s WebContextURL property). Это позволит ArcGIS Server построить корректные URL на все ресурсы, которые он направляет конечному пользователю. Чтобы изменить WebContextURL, сделайте следующее:

Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin как пользователь с правами доступа администратора.

Щелкните система (system) > свойства (properties) > обновить (update) .

В окне для текста Свойства (Properties) вставьте следующий JSON, заменив свой собственный URL ArcGIS Server, который видят пользователи за пределами брандмауэра вашей организации.

{ "WebContextURL": "http://gisserver.domain.com/mygis" }

1. Щелкните Обновить (Update) .

Перезапустите ArcGIS Server на каждом ГИС-сервере сайта. В Linux это выполняется посредством скриптов stopserver и startserver, которые можно найти в установочной директории каждого компьютера.

Брандмауэры между ГИС-серверами

В стандартной ситуации установка брандмауэров между ГИС-серверами не требуется. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server .

Copyright © 1995-2014 Esri. All rights reserved.

Работа брандмауэра Windows определяется параметрами: Включить; Включить, но не разрешать исключения и Выключить.

· Включить. По умолчанию брандмауэр включен, и если нет другого брандмауэра, то лучше оставить его в таком состоянии. В этом состоянии брандмауэр Windows будет блокировать все непредусмотренные запросы на подключение к вашему компьютеру за исключением тех, которые предназначены для программ или служб, выбранных на вкладке Исключения.

Рисунок 4 - Графический интерфейс брандмауэра Windows (экранная копия)

· Включить, но не разрешать исключения. При установке флажка Не разрешать исключения брандмауэр Windows блокирует все непредусмотренные запросы на подключение к компьютеру, в том числе и те, которые предназначены для программ и служб, выбранных на вкладке Исключения. Этот параметр служит для максимальной защиты компьютера, например при подключении к общедоступной сети в отеле или в аэропорту или в периоды распространения через Интернет особо опасных вирусов или червей. Нет необходимости все время использовать флажок Не разрешать исключения, поскольку при этом некоторые программы могут перестать работать правильно, а кроме того, будут блокироваться непредусмотренные запросы к следующим службам:

o Служба доступа к файлам и принтерам;

o Средства «Удаленный помощник» и «Дистанционное управление рабочим столом»;

o Обнаружение сетевых устройств;

o Заранее настроенные программы и службы в списке Исключения;

o Дополнительные объекты, добавление в список Исключения.

Если установлен флажок Не разрешать исключения, можно по-прежнему отправлять и получать электронную почту, использовать программу передачи мгновенных сообщений или просматривать большинство Web-страниц.

· Выключить. Данный параметр отключает брандмауэр Windows, в результате чего компьютер становится уязвим к атакам злоумышленников или вирусов. Этот параметр могут использовать только опытные пользователи временно в целях администрирования компьютера или при наличии защиты другим брандмауэром. Параметры настройки, заданные для случая, когда компьютер подсоединен к домену, сохраняются отдельно от параметров для работы компьютера не в составе домена. Эти отдельные группы параметров настройки называются профилями.

Чтобы включить или выключить брандмауэр Windows, необходимо

1. Войти в систему под учетной записью Администратор;

2. В меню Пуск выбрать команды Настройка и Панель управления;

3. Дважды щелкнуть на значке Брандмауэр Windows;

4. На вкладке Общие выбрать один из следующих параметров:

Помогая обеспечить защиту компьютера, брандмауэр Windows блокирует непредусмотренные запросы на подключение к вашему компьютеру. Поскольку брандмауэр ограничивает обмен данными между компьютером и Интернетом, может потребоваться регулировка параметров для некоторых программ, которым требуется свободное подключение к Интернету. Для этих программ можно сделать исключение, чтобы они могли связываться через брандмауэр.

Однако следует помнить, что каждое исключение, дающее программе возможность связываться через брандмауэр Windows, делает компьютер уязвимым. Создание исключения равносильно пробиванию бреши в брандмауэре.

Если таких брешей окажется слишком много, брандмауэр уже не будет прочной преградой. Обычно взломщики используют специальные программы для поиска в Интернете компьютеров с незащищенными подключениями. Если создать много исключений и открыть много портов, компьютер может оказаться жертвой таких взломщиков.

Чтобы уменьшить потенциальный риск при создании исключений:

· создавайте исключение, только когда оно действительно необходимо;

· никогда не создавайте исключений для незнакомой программы;

· удаляйте исключения, когда необходимость в них отпадает.

Иногда требуется открыть кому-то возможность связи с вашим компьютером, несмотря на риск, - например, когда ожидается получение файла, посланного через программу передачи мгновенных сообщений, или когда хочется принять участие в сетевой игре через Интернет.

Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например, фотографию), брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешении передачи фотографии на ваш компьютер.

Чтобы разрешить непредусмотренные подключения к программе на своем компьютере, в брандмауэре Windows используется вкладка Исключения.

Если программа или служба, для которых требуется создать исключение, отсутствуют в списке на вкладке Исключения, можно добавить ее с помощью кнопки Добавить программу. Если программа отсутствует в списке программ, которые можно добавить, нажмите кнопку Обзор, чтобы найти ее, затем откройте интерфейс брандмауэра Windows и на вкладке Исключения в группе Программы и службы установите флажок для программы или службы, которые требуется разрешить, и нажмите кнопку ОК.

Если программа или служба, которые требуется разрешить, отсутствуют в списке, выполните следующие действия: нажмите кнопку Добавить программу. В диалоговом окне Добавление программы выберите необходимую программу и нажмите кнопку ОК. Эта программа появится (с установленным флажком) на вкладке Исключения в группе Программы и службы. Нажмите кнопку ОК.

Если программа или служба, которые требуется разрешить, не указаны в перечне диалогового окна Добавление программы, выполните следующие действия: в диалоговом окне Добавление программы нажмите кнопку Обзор, найдите программу, которую требуется добавить, и дважды щелкните ее. Программа появится в группе Программы в диалоговом окне Добавление программы. Нажмите кнопку ОК. Эта программа появится (с установленным флажком) на вкладке Исключения в группе Программы и службы. Нажмите кнопку ОК.

Для некоторых программ номера портов не определены заранее. Эти программы открывают порты автоматически при необходимости. Чтобы такие программы могли соединиться с вашим компьютером, брандмауэр Windows должен позволить программе открыть нужный порт. Для правильной работы таких программ их необходимо внести в список на вкладке Исключения брандмауэра.

Рисунок 5 - Подключение непредусмотренных программ и служб (экранная копия)

Чтобы обеспечить безопасность компьютера, необходимо держать брандмауэр Windows (или другой брандмауэр по выбору) включенным, чтобы он блокировал любые непредусмотренные запросы на подключение к компьютеру. Для возможности подключения такого типа необходимо разрешить исключение или открыть порт для конкретной программы или службы. Порт - это проход в ваш компьютер, через который может передаваться информация. Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл, брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешение передачи этого файла на ваш компьютер. При желании участвовать в сетевой игре через Интернет с друзьями вы можете добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на ваш компьютер.

Каждый открытый порт, дающий программе возможность связываться через брандмауэр Windows, делают компьютер уязвимым. Открытие порта также равносильно пробиванию бреши в брандмауэре. Если открыть много портов, компьютер может оказаться жертвой взломщиков. Чтобы уменьшить потенциальный риск при открытии портов:

· открывайте порт, только когда он действительно необходим;

· никогда не открывайте порт для программы, которую плохо знаете;

· закрывайте порт, когда необходимость в нем отпадает.

Рисунок 6 - Разрешение работы программ через порт (экранная копия)

У каждого порта есть номер, который играет роль адреса. Многие программы и службы имеют «постоянные адреса», т. е. для них заранее определены номера портов. Номера портов, необходимые для программы или службы, можно найти в документации производителя или на Web-узле.

Если программу не удалось найти, можно открыть порт. Чтобы определить, какой порт нужно открыть, на вкладке Исключения нажмите кнопку Добавить порт.

При добавлении или изменении параметров настройки для службы или

программы, например для игры, следует выбрать условие открытия порта: для любого компьютера или только для компьютеров локальной сети.

Если выбран вариант Любой компьютер, тогда к компьютеру сможет подключиться любой компьютер из Интернета или из локальной сети. Если выбран вариант Только локальная сеть, к данному компьютеру смогут подключиться компьютеры только из локальной сети.

Защита электронной почты

Для защиты своей электронной почты учтите, что именно вы и никто другой представляет наибольшую опасность для своей переписки. Именно вы пересылаете по почте все, что угодно, в открытом виде; именно вы щелкаете на всяких вложениях и отвечаете на самые конфиденциальные вопросы, в том числе о своей учетной записи, в ответ на послания в ваших почтовых ящиках; именно вы раздаете направо и налево свои идентификационные данные; наконец, именно вы никак не хотите прислушаться к совету - перевести свою переписку на Web-сайты, предоставляющие почтовые услуги.

Запомните, что, если вы используете почтового клиента, никогда не конфигурируйте его на автоматическое открытие почтовых вложений. Любое послание от любого лица может содержать вложение самого опасного характера, поскольку его может послать кто угодно, в том числе вирус, заразивший компьютер отправителя. Следует инсталлировать программу антивируса и установить режим непрерывного сканирования поступающей почты, непрерывно обновляя свои антивирусные средства. Если же вам требуется просмотреть подозрительное вложение, то поместите присланный файл на отдельный диск (дискету) и проверьте его на вирус.

Для защиты электронных посланий от фальсификации в современном информационном сообществе применяется метод электронной подписи. В РФ принят закон об электронной цифровой подписи, как и во многих других странах. Легализация своей электронной подписи - дело не бесплатное, но если вы используете электронную почту для деловой переписки, то верхом неосторожности было бы рассылать письма без электронной подписи, да еще и в открытом виде.

Если у Вас нет настоящей, юридически легитимной цифровой подписи, используйте хотя бы программу PGP, и обменяйтесь со своими деловыми партнерами подписанными PGP-ключами.

Перехват паролей учетной записи почтового сервера - это серьезная проблема. Существуют почтовые протоколы, например АРОР (это протокол POP, дополненный аутентификацией клиента) и SASL (Simple Authentication and Security Layer - уровень простой аутентификации и защиты), защищающие связь клиента с почтовым сервером от перехвата паролей. Но для их использования требуется поддержка протоколов АРОР и SASL как клиентом, так и сервером почтовой службы. Попробуйте выяснить, так это или нет, у своего Интернет-провайдера.

Всех этих проблем лишена почтовая служба, предоставляемая через Web. Вместо настройки почтового клиента, что вовсе не так просто, как кажется на первый взгляд, вы сгружаете на Web-сайте регистрационную Web-страницу, где указываете свое входное имя и пароль, а также некоторую другую информацию. Помните, что в ответ на просьбу указать свой домашний адрес, телефон, имя и фамилию и т. д. не следует указывать реальные данные. Далее вы щелкаете на кнопке - и для вас создается почтовый ящик на заокеанском сервере, принадлежащий солидной фирме, которая не будет продавать ваши электронные адреса всяким спаммерам.

Как же можно отличить солидную фирму ото всех прочих? Если вы работаете с Web-сайтом, предлагающим почтовый сервис, то настоящие сайты все пересылки конфиденциальной информации выполняют в защищенном режиме, использующем сокеты SSL (Secure Sockets Layer - протокол защищенных сокетов). При работе с сервером, поддерживающим сокеты SSL, в интернет-адресе сайта вместо записи http:// появляется запись https:// (HyperText Transmission Protocol Secure - протокол защищенной передачи гипертекстов), а в строке состояния браузера IE отображается замочек. Щелчок на замочке открывает диалог с сертификатом Web-сайта, где вы сразу можете увидеть, кто владелец этого Web-сайта - известная фирма Microsoft или подозрительная компания. Без такой проверки связываться с почтовым сервером вряд ли стоит - вы просто не будете знать, куда шлете письма и что там с ними будут делать. Более того, ваши пароли и имена, вводимые при регистрации, будут в открытом виде долго путешествовать по проводам, где любитель чужих секретов без проблем извлечет их из общего потока информации и использует по своему усмотрению.

1. Зарегистрируйтесь на надежном, сертифицированном Web-сайте, предоставляющем почтовые услуги, например http://www.gmail.com, которые к тому же выполняют антивирусную проверку поступающей почты.

2. Зашифруйте свое сообщение с помощью открытого PGP-ключа получателя, который вы лично от него получили и подписали своей цифровой подписью, т.е. подтвердили достоверность ключа. То же самое сделайте с почтовыми вложениями, причем это даже выгодно с точки зрения затрат времени, поскольку PGP-шифрование сжимает данные. Теперь любому злоумышленнику придется туго, поскольку взломать PGP-ключ длиной 2 Кбайт (2048 бит) может быть по силам только достаточно мощной организации. Но следует заметить, что, если на вашем компьютере «работает» клавиатурный шпион, все ваши хлопоты по поводу безопасности электронной почты пойдут насмарку.

В этом случае все ваши пароли, явки и адреса злоумышленник, установивший в ваш компьютер «жучка», будет знать не хуже вас. Так что не забудьте перед настройкой безопасности почтовой службы вначале проверить свой компьютер на предмет наличия «Троянов» и клавиатурных шпионов. И учтите, что эти шпионы без труда могут быть установлены, пока вы где-то ходите, не запустив парольную заставку, или не выключили компьютер.

Похожая информация.

16.05.2015

Информационная безопасность крайне важна для пользователя сетей интернет, поскольку он насыщен вирусами. Одним из отличных методов защиты является брандмауэр Windows.

Для того чтобы защитить операционную систему от хакерских атак, разработчики создали систему фильтрации входящих и исходящих соединений, которая называется брандмауэр или фаерволл. В Windows есть встроенная система безопасности, однако из-за того, что в предыдущих версиях ОС её практически не использовали и отключали, ей до сих пор мало кто пользуется.

Как работает брандмауэр Windows

Несмотря на то, что брандмауэр, встроенный в операционную систему, не заслужил популярности среди пользователей, и многие предпочитали пользоваться тем, что предоставляют антивирусные программы, разработчики Microsoft доработали его функциональность и улучшили производительность с выходом седьмой версии.

Для того чтобы разобраться в необходимости использования или отключения фаерволла, нужно понять, как он работает. Вся функциональность этой программы сводится к фильтрации сетевых потоков входящих и исходящих данных. Каждое приложение использует свои порты для передачи информации. Их и сканирует брандмауэр, обнаруживая запрещенные потоки, вызванные неизвестными ресурсами и процессами.

Работа фаерволла строится на правилах, разрешающих и запрещающих определенный трафик. Многие путают его работу с антивирусом, но на самом деле он только блокирует соединения, помогая от хакерских атак и пакетов с вирусным кодом. Однако это не единственное его назначение.

Если вирус уже пробрался на ваш компьютер, он может попытаться скачать другой, более серьезный код, или, собрав ваши данные, попробует отослать их своему разработчику. Брандмауэр Windows может заметить такие потоки и запретить их. Тоже самое происходит, когда какая-либо программа пытается получить несанкционированный доступ к обновлению или другому действию в сети.

Как настроить брандмауэр Windows

Настройка встроенного фаерволла обычно производится при помощи разрешений и запретов для соединений определенного типа сети. Предусматривается настройка трех профилей:

1. Для частных сетей;
2. Для работы в домене;
3. Для гостевых и общедоступных.

Использование двух профилей просто необходимо при работе с несколькими локальными или виртуальными подключениями, а также дополнительными соединениями, например, туннельными. Они позволяют создать правила и распределения разрешений для:

• Портов;
• Программ;
• Исполняемых процессов операционной системы (операциям).

Можно также создать собственное правило с полным контролем над параметрами и исполняемыми опциями.

Для того чтобы настроить работу фаерволла, например, разрешить какой-либо программе использование трафика или соединения по порту, нужно выполнить следующие действия:

• Зайти в «Панель управления», найти и запустить «Брандмауэр Windows». Также окно настроек можно вызвать командой «firewall.cpl» в меню «Выполнить»;

• Далее в меню справа необходимо выбрать «Дополнительные параметры». Именно тут можно выбрать желаемый профиль для работы, а также отредактировать его настройки и разрешения;

• Также можно задать разрешение всего потока трафика и пропуска его через фаерволл. Для этого необходимо выбрать соответствующее меню;

• Из открывшегося списка выберите программу, службу или иной компонент и отредактируйте разрешения для него при помощи кнопки «Изменить параметры».

Выполнив необходимые настройки и отредактировав параметры, можно задать необходимые ограничения для программ. Фаерволл работает по принципу: что не разрешено, то запрещено. Поэтому если вы не дадите необходимых разрешений для отправки или получения пакетов несистемными приложениями, то они будут заблокированы.

Как отключить брандмауэр Windows

Если, несмотря на все возможности и настройки, встроенная защита вас не устраивает, или же ваш антивирус идет в составе с фаерволлом, возникает необходимость отключения брандмауэра Windows.

Большинство профессионалов в области ИТ и информационной безопасности рекомендуют использовать один из фаерволлов, точно так-же как и только один из антивирусов. Это обусловлено тем, что двойная фильтрация не имеет никакого смысла и не даст дополнительной защиты, в тоже время может замедлить работу веб-приложений и ресурсов, поскольку содержимое входящих/исходящих пакетов будет проверяться дважды. Кроме того, два фаерволла могут конфликтовать друг с другом, блокируя трафик к серверам обновления.

Использование двух фильтров необходимо только в случае большого количества разнообразных сетевых интерфейсов, если необходимо распределять множество разных правил для трафика разных соединений.

Встроенный фаерволл отключается в несколько этапов. Первым делом необходимо остановить программную часть. Для этого нужно выполнить следующие действия:

1. Зайти в панель управления и выбрать «Брандмауэр Windows»;
2. В меню вызова функций справа выбрать «Включение и отключение брандмауэра Windows»;
3. Отключить фаерволл для каждого используемого типа сетевого размещения, игнорируя то, что это не рекомендуется системой.

Теперь, когда программа отключена, лучше перезапустить операционную систему. Однако в работе остается служба, которая отвечает за сетевую фильтрацию. Это означает, что процесс останется запущенным в системе и будет занимать ресурсы оперативной памяти, а также может вызвать конфликты с другим защитным ПО.

Чтобы остановить службу, необходимо выполнить следующие действия:

• Зайти в панель управления и выбрать пункт «Администрирование»;

• Открыть управление службами;

• Найти «Брандмауэр Windows» и, дважды нажав на нее, открыть меню управления. Остановить службу и выбрать для нее статус «Отключена».

Многим пользователям может понадобиться перенастройка или остановка фаерволла для нормального предоставления доступа к своему компьютеру по сети. Чтобы каждый раз не отключать/включать брандмауэр, при этом сохранить безопасность сетевых соединений и разрешить некоторые из них, нужно воспользоваться настройками портов и распределением доступа программ.

Итог:

Начиная с седьмой версии Windows, встроенный фильтр для защиты от хакерских атак обладает широкими возможностями и гибкими настройками. Благодаря нему, можно штатными средствами обеспечить полную безопасность системы.

Однако далеко не все пользователи доверяют встроенному программному обеспечению, поскольку не знают, как его правильно настроить, что может создавать проблемы с доступами, дополнительными подключениями, туннелями и соединениями. В свою очередь это может вызвать проблемы в онлайн играх, p2p сетях или файлообменных программах.

Прежде чем звонить провайдеру при отсутствии доступа к тому или иному компьютеру своей сети, нужно проверить настройки брандмауэра. Теперь вы знаете, как это сделать.

Межсетевой экран или брандмауэр (по-нем.brandmauer , по-англ.firewall , по-рус.граница огня ) - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см. рис.1). Чаще всего эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании, речь пойдет чуть позже.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети.

Обычно в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счета пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые брандмауэры работают только в однопользовательском режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter);

сервера прикладного уровня (application gateways);

сервера уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Поле "действие" может принимать значения пропустить или отбросить. Тип пакета - TCP, UDP или ICMP. Флаги - флаги из заголовка IP-пакета. Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) - TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

терминалы (Telnet, Rlogin);

передача файлов (Ftp);

электронная почта (SMTP, POP3);

• X Window System (X11);

  сетевая печать (LP);

  удаленное выполнение задач (Rsh);

  новости Usenet (NNTP);

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

При описании правил доступа используются такие параметры, как

название сервиса,

имя пользователя,

допустимый временной диапазон использования сервиса,

компьютеры, с которых можно пользоваться сервисом,

схемы аутентификации.

Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики пакетных фильтров и серверов прикладного уровня

Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.

Достоинства пакетных фильтров:

относительно невысокая стоимость;

гибкость в определении правил фильтрации;

небольшая задержка при прохождении пакетов.

Недостатки пакетных фильтров:

локальная сеть видна (маршрутизируется) из INTERNET;

правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;

при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;

аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);

отсутствует аутентификация на пользовательском уровне.

Достоинства серверов прикладного уровня:

локальная сеть невидима из INTERNET;

при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;

защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки серверов прикладного уровня:

более высокая, чем для пакетных фильтров стоимость;

невозможность использовании протоколов RPC и UDP;

производительность ниже, чем для пакетных фильтров.

Виртуальные сети

Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по INTERNET шифруются не только данные пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.

Схемы подключения

Для подключения брандмауэров используются различные схемы. Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис.1). Иногда используется схема, изображенная на рис.2, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

рис.2

Чаще всего подключение осуществляется через внешний маршрутизатор, поддерживающий два Ethernet интерфейса(так называемый dual-homed брандмауэр) (две сетевые карточки в одном компьютре) (см. рис.3).

рис.3

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

Другая схема представлена на рис.4.

рис.4

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Большинство брандмауэров позволяет разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (см. рис.5), которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

рис.5

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все что относится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Классы защищенности брандмауэров

Применительно к обработке конфиденциальной информации автоматизированные системы (АС) делятся на три группы:

Многопользовательские АС, обрабатывающие информацию различных уровней конфиденциальности.

Многопользовательские АС, в которых все пользователи имеют равный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

Однопользовательские АС, в которых пользователль имеет подный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

В первой группе выделяют 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах - по 2 класса защищенности: 2А, 2Б и 3А, 3Б сооответственно. Класс А соответствует максимальной, класс Д - минимальной защищенности АС.

Брандмауэры позволяют поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области, т.е. осуществляют экранирование . В результате уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть брандмауэр, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система в отличие от универсальной устроена более простым, а следовательно, более безопасным образом. На ней присутствуют только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, брандмауэры осуществляют регистрацию информационных потоков.

По уровню защищенности брандмауэры делятся на 5 классов. Самый низкий класс защищенности - пятый. Он применяется для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - для 1В, второй - для 1Б, самый высокий - первый - для 1А.

Для АС класса 2Б, 3Б применяются брандмауэры не ниже пятого класса.

Для АС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются брандмауэры следующих классов:

при обработки информации с грифом "секретно" - не ниже третьего класса;

при обработки информации с грифом "совершенно секретно" - не ниже второго класса;

при обработки информации с грифом "особой важности" - только первого класса.

Показатели защищенности сведены в табл.1.

Обозначения:

Руководство для приобретающих брандмауэр

Исследовательским подразделением компании TruSecure - лабораторией ICSA - разработан документ "Firewall Buyers Guide" (Гид покупателей межсетевого экрана). В одном из разделов этого документа дана следующая форма оценки покупателя:

Контактная информация - адрес и ответственные лица.

Бизнес-среда работы:

количество и расположение отдельных учреждений (зданий) предприятия;

указание подразделений и информации ограниченного характера и информации, для которой важна доступность данных для взаимодействия подразделений, их размещение;

Указание внешних партнеров, с которыми необходимо организовать взаимодействие;

описание сервисов, открытых публично;

трребования к организации удаленного доступа во внутреннее информационное пространство предприятия;

сервисы электронных служб, использующие публичные каналы связи (например, электронная коммерция).

Планируемые изменения в бизнес-среде по перечисленным параметрам.

Информационная среда:

• количество пользовательских рабочих станций с указанием аппаратного обеспечения, системного и прикладного программного обеспечения;

  структура сети с указанием топологии, среды передачи данных, используемых устройств и протоколов;

  структура удаленного доступа с указанием используемых устройств, а также методов аутентификации;

  количество серверов с указанием аппаратного обеспечения,системного и прикладного программного обеспечения;

  существующая система поддержки информационных систем со стороны поставщиков с их указанием и границами сферы деятельности;

  антивирусные системы и другие системы контроля программного обеспечения;

  технология упрравления сетью и информационными системами;

  аутентификационные технологии - список и описание.

Планируемые изменения в информационной среде по перечисленням параметрам.

Связь с Интернетом:

• тип интернет-соединения;

  существующие межсетевые экраны (если они есть);

  Средства связи с внешней средой, используемые внутренними системами;

  внутренние системы и сервисы, доступные извне;

  серверы электронной коммерции и других транзакционных систем;

  указание на наличие утвержденной политики безопасности доступа и использования Интернета.

Планируемые мероприятия (для которых приобретается межсетевой экран):

• изменение в способах доступа к Интернету и в политике безопасности предприятия;

  появление новых протокоолов, которые необходимо поддерживать отдельно для внутренних пользователей, пользователей с удаленным доступом или специальных пользователей, доступных публично.

Требуемая функциональность межсетевого экрана:

• по контролю доступа;

  выдаваемым сообщениям;

  аутентификации;

  управлению конфигурацией;

  контролю содержимого проходящего трафика;

  регистрационным журналам;

  распознаванию атак;

  сетевым опциям (количество интерфейсов, способ доступа);

  удаленному администрированию;

  системным требованиям (под ключ, интеграция с другими продуктами и т.д.).

Прочие условия:

• предполагаемая стоимость межсетевого экрана (сколько предприятие может потратить);

  предполагаемая дата начала работы продукта;

  требования к наличию у продукта сертификатов;

  требования к предполагаемому администратору продукта и к службе поддержки;

  специальные условия контракта (если есть);

  другие замечания, которые не включены в данную форму.

Предполагается, что предприятие, заполнив данную форму и отправив ее производителю, позволит последнему сформировать наиболее качественное предложение для покупателя. Заполнение данной формы, впрочем, и без отправки ее кому-либо, позволит организации лучше понять, какое решение ей необходимо.