<< Главная страница

Взгляд на брандмауэр Windows Vista

Vista изменила многие базовые вещи из Windows XP. Среди них изменился полностью брандмауэр.

Windows Vista разрабатывалась очень долгое время и представила в новом свете почти все опции в операционной системе. Брандмауэр (Windows Firewall) в Vista является частью этой трансформации и включает несколько новых функций, которых не было в предыдущих версиях, которые и постараемся осветить в данной статье (далее Windows Vista Брандмауэр – просто Брандмауэр).

Улучшения Vista брандмауэра

В Windows XP Service Pack 2 Microsoft выпустила чрезвычайно улучшенное – на то время – клиентское решение брандмауэра. Брандмауэр в Windows XP SP2 включен по умолчанию, что означает, что компьютеры постоянно гарантированно защищены от возможных атак. Однако брандмауэр в Windows XP не имел некоторых ключевых функций, появившихся в Брандмауэре.

Хотя их больше, но два главных улучшения сделаны в Брандмауэре, которые являются наиболее жизнеспособными решениями для пользователей Vista:

Управление Брандмауэром

В Vista Microsoft предоставила два различных интерфейса для конфигурирования Брандмауэра:

Использование основного интерфейса панели управления

Первый метод, который мы рассмотрим – традиционный, или основной метод управления – знаком всем, кто хоть раз управлял брандмауэром с момента его первого появления в Windows XP. В Vista этот интерфейс управления может быть найден в Пуск | Панель управления | Безопасность | Брандмауэр Windows нажатием кнопки Изменить параметры, но не спешите это сразу делать. Если Вы используете классический вид Панели управления в Vista, пройдите в Панель управления | Брандмауэр Windows и выберите Изменить параметры. Рисунок 1 дает представление о начальном виде окна Брандмауэр Windows.

Windows Vista Firewall
Рисунок 1. Информационное окно Брандмауэр Windows.

Это окно предоставляет Вам некоторую информацию, относящуюся к Брандмауэру, такую как активирован ли Брандмауэр, блокируются ли входящие подключения, как работают уведомления, связанные с работой Брандмауэра, а также информацию о сетевом размещении. Брандмауэр Windows Vista использует параметр о сетевом размещении для определения соответствующих настроек брандмауэра для Вашего компьютера. О настройках сетевого размещения чуть позже. Для изменения настроек брандмауэра, выберите Изменить параметры. Эта ссылка открывает окно Параметры брандмауэра Windows. При открытии этого окна выбрана вкладка Общие, как показано на рисунке 2.

Windows Vista Firewall
Рисунок 2. Окно Параметры брандмауэра Windows с выбранной вкладкой Общие.

На этом окне три параметра. Главная опция – Включить и Выключить, просто включает или выключает Брандмауэр. Чекбокс посередине экрана, Блокировать все входящие подключения, полезна, если Вы берете свой ноутбук в место общественного Wi-Fi доступа и не хотите вообще разрешать входящие подключения. Если выбрать этот чекбокс, даже службы, которые исключены из списка блокируемых Брандмауэром тем не менее блокируются, обеспечивая высокий уровень защиты в окружении с низким уровнем защиты.

Вкладка Исключения, показанная на рисунке 3, обеспечивает возможность для исключения определенных служб или портов TCP/UDP от блокирования Брандмауэром.

Windows Vista Firewall
Рисунок 3. Окно Параметры брандмауэра Windows с выбранной вкладкой Исключения.

Главное окно на этой вкладке показывает список служб, которые Вы можете выбрать для исключения из блокировки Брандмауэром. Показанный на этом скриншоте механизм совершенно нов и показывает службы, которые исключены из списка блокируемых как часть операционной системы. Для предоставления возможности проходить определенной программе через Брандмауэр или быть доступным определенному порту, поставьте галочку в соответствующем чекбоксе и нажмите ОК.

Если в списке отсутствует программа, которую Вы хотите добавить в список исключенных, нажмите кнопку Добавить программу внизу окна. Появится экран Добавление программы, как показано на рисунке 4.

Windows Vista Firewall
Рисунок 4. Добавление пользовательской программы в список исключенных.

Выберите нужную программу или, если ее нет в списке, нажмите кнопку Обзор и укажите Брандмауэру на необходимое исключение.

Кнопка Изменить область, расположенная внизу этого экрана обеспечивает ограничение: с каких компьютеров порты или программы могут быть использованы.

Этот экран на рисунке 5 имеет три параметра:

Windows Vista Firewall
Рисунок 5. Окно Изменение области.

Вернемся к рисунку 3. Рядом с кнопкой Добавить программу есть кнопка Добавить порт. Результатом нажатия будет окно, показанное на рисунке 6, которое позволяет добавить в список исключение, основанное на номере порта TCP или UDP. На странице Добавление порта выберите описательное имя для порта, реальный номер порта и установите,  для какого протокола используется исключение, для TCP или UDP. Плохо то, что здесь приходится устанавливать исключение для каждого порта в отдельности, что может стать утомительным, если необходимо открыть большое количество портов.

Windows Vista Firewall
Рисунок 6. Добавление TCP или UDP порта.

И снова Вы можете использовать кнопку Изменить область для ограничения точек происхождения трафика для задаваемого исключения. Здесь все точно также, как на рисунке 5.

Возвращаясь к окну параметров Брандмауэра обратите внимание на кнопки Свойства и Удалить. Если Вы добавляли пользовательские программы или порты в список служб, используйте кнопку Удалить для удаления записи из списка, если необходимо. Кнопка Свойства дает описание выбранной службы.

В заключение обратите внимание на чекбокс внизу закладки Исключения. Чекбокс Уведомлять, когда брандмауэр блокирует новую программу заставляет Windows сообщать Вам, когда новая программа или служба пытается пройти через Брандмауэр.

Последняя вкладка на экране Параметры брандмауэра Windows – Дополнительно – по идее должна предоставлять некие дополнительные настройки. На самом деле здесь ничего интересного нет. Все что доступно – на рисунке 7.

Windows Vista Firewall
Рисунок 7. Окно Параметры брандмауэра Windows с выбранной вкладкой Исключения.

Параметры на этой странице очевидны, так что не будем докучать себя деталями.

На этой стадии рассмотрения Брандмауэра может возникнуть пара вопросов:

И здесь на сцену выходит расширенный интерфейс настройки.

Брандмауэр Windows с расширенными настройками

Новым в Windows Vista является второй интерфейс, называемый Брандмауэр Windows в режиме повышенной безопасности. Этот интерфейс не для просто обывателя, но он более гибок и предоставляет пользователям потолковее возможность настроек Брандмауэра с большей подробностью.

Этот интерфейс доступен двумя способами:

Куча всяких настроек доступна в этом главном конфигурационном окне. Разберем основные моменты.

Окно Брандмауэр Windows в режиме повышенной безопасности.

Первое место, куда следует обратить свой взор, это окно свойств Брандмауэра,  доступное по ссылке Свойства на панели Действия. Заметьте, на рисунке 10 выбрана вкладка Профиль домена. Также заметьте, что вкладки Общий профиль и Частный профиль имеют те же настройки, что и вкладка Профиль домена.

Windows Vista Firewall
Рисунок 10. Окно свойств открывается с вкладкой Профиль домена.

В чем же разница между этими профилями? А вот в чем:

На любой из этих вкладок можно осуществить несколько действий:

Экран на рисунке 11 показывает, что Вы увидите при нажатии кнопки Настроить на панели Параметры окна Свойства. На этом экране можно определить, как должны обрабатываться сообщения Брандмауэра, и разрешен ли одноадресный ответ на многоадресный/широковещательный сетевой трафик.

Windows Vista Firewall
Рисунок 11. Настройка свойств выбранного профиля.

Если хотите настроить свойства ведения логов, нажав кнопку Настроить на панели Ведение журнала. Увидите окно, как на рисунке 12.

Windows Vista Firewall
Рисунок 12. Настройка ведения журнала для выбранного профиля.

В этом окне используйте кнопку Обзор для задания пути и имени файла для лога Брандмауэра. Также можно настроить максимальный размер этого файла и записывать или нет пропущенные пакеты и успешные подключения. Если Вы будете вести записи всего, лог-файл может стать большим.

Возвращаясь к окну Свойства, рассмотрим последнюю вкладку, отличающуюся от других, IPsec Параметры IPsec, чье изображение показано на рисунке 13.

Windows Vista Firewall
Рисунок 13. Вкладка IPsec.

Не так уж много на этом экране. Отсюда Вы можете вызвать окно с более подробными настройками IPsec, показанное на рисунке 14. Также можно исключить пакеты ICMP из IPsec, что может упростить попытки устранения проблем с сетью, так как исключается из рассмотрения уровень IPsec.

Windows Vista Firewall
Рисунок 14. Настройка параметров IPsec.

Параметры, показанные на рисунке 15, позволяют настроить режим обмена ключами, режим защиты данных и метод проверки подлинности. Обратите внимание, что каждая из опций имеет выбор  “По умолчанию”. Каждая из опций также имеет выбор “Дополнительно”. Если выбрать один из них, кнопка Настроить становится доступной. Настройки, доступные при нажатии такой кнопки, - чрезвычайно углубленные IPsec опции. Каждое из дополнительных окон – на рисунках 15, 16 и 17.

Windows Vista Firewall
Рисунок 15. Настройка дополнительных параметров обмена ключами.

Windows Vista Firewall
Рисунок 16. Настройка параметров защиты данных.

Windows Vista Firewall
Рисунок 17. Настройка дополнительных методов проверки подлинности.

Другие конфигурационные настройки Брандмауэра Windows

Теперь, после того, как Вы увидели все окна свойств Брандмауэра Windows, взглянем на другие элементы интерфейса. Опять возвращаемся к рисунку 9. Обратим внимание на левую часть главного окна конфигурации:

Правила для входящих соединений

Брандмауэр Windows всегда имел возможность блокирования входящего трафика. Но с расширенным интерфейсом  Брандмауэр становится более гибким в настройках для тех, кто знает, как ими воспользоваться. Рисунок 18 дает представление о части интерфейса, посвященного правилам для входящего трафика.

Windows Vista Firewall
Рисунок 18. Список входящих правил.

Все правила, находящиеся в центральном окне, имеют различный цвет значков рядом с названием – зеленый и серый. Зеленый значок показывает, что правило включено, в то время как серый означает, что правило определено, но не включено. Для включения или выключения правила нажмите правой кнопкой мыши на названии правила и выберите Включить правило или Выключить правило.

Здесь достаточно много правил, которые Вы можете использовать в работе Брандмауэра. Заметьте, что каждое индивидуальное правило на рисунке 11 обрабатывает только единственный аспект из доступного множества в службе. К примеру, несколько правил начинаются словами Основы сетей). Каждое из правил посвящено очень специфичной задаче обработки программы или протокола; например, одно правило может разрешать входящие SMTP подключения по TCP порт 25. Все правила Основы сетей включены, так как без некоторых из них Ваш компьютер не работал бы столь эффективно. Если Вы хотите ужесточить доступ к Вашей рабочей станции на Vista, Вы можете выключить некоторые из правил. Многие правила предназначены для определенных версий транспортных протоколов. То есть некоторые правила предназначены для IPv4 или IPv6, но не для обоих одновременно. Если Вы не используете протокол IPv6 в Вашей сети,  вы можете выключить соответствующие правила.
Правила для исходящих соединений.

Здесь все выглядит в точности так, как и в окне для входящих соединений, показанном на рисунке 18. Рассмотрим лучше создание нового правила.

Создание нового правила

Брандмауэр Windows предоставляет Вам возможность создания входящих или исходящих правил, основанных на определенных критериях, которые включают в себя управление доступом некоторой программой или управление доступом, основанном на порте TCP или UDP. Чтобы добавить правило, выберите  Правила для входящих соединений или Правила для исходящего соединения (в зависимости от того, что Вам необходимо), а затем выберите Новое правило в ММС. Это запустит мастер, который поможет в процессе создания нового правила.

Первый экран этого мастера, показанный на рисунке 19, запрашивает о виде правила, которое Вы хотите создать. В нашем примере мы создадим настраиваемое правило для демонстрации всех возможностей.

Windows Vista Firewall
Рисунок 19. Выберите тип правила, которое Вы хотите создать.

На втором экране мастера выберите программы и службы, на которые должно распространяться новое правило. Вы можете выбрать применение правила для всех запускаемых программ и служб (означает, что правило предназначено для общих подключений, а не для определенной программы или службы) или только для определенной программы или службы.

Рисунок 20 показывает, как создавать правило ограничения для всех программ. Если Вы хотите создать правило ограничения для определенной службы, нажмите кнопку Настроить.

Windows Vista Firewall
Рисунок 20. На какие программы и службы должно действовать правило?

Экран на рисунке 21 показывает, что Вы можете применить правило для всех программ и служб, только к службам, только к определенной службе, выбираемой из списка или к службе, чье короткое имя Вы можете ввести в поле внизу окна.

Windows Vista Firewall
Рисунок 21. Для каких процессов предназначено правило?

В нашем примере мы применяем правило для всех программ и служб.

Страница три мастера, показанная на рисунке 22, спрашивает о протоколе и портах, для которых должно действовать правило.

Windows Vista Firewall
Рисунок 22. Для каких протоколов и портов должно действовать правило?

Этот экран запрашивает об информации в следующих секциях.

Тип протокола

Допустимые типы протоколов:

HOPOPT (IPv6 Hop-by-Hop Option)
ICMPv4
ICMPv6
IGMP
TCP
UDP
IPv6
IPv6-Route
IPv6-Frag
IPv6-NoNxt
IPv6-Opts
GRE
VRRP
PGM
L2TP

Локальный порт

Опция локального порта доступна, в случае если Вы выберите тип протокола TCP или UDP. Локальным является порт на компьютере, на котором запущен Брандмауэр.

Доступные опции для локального порта:

Все порты
Специальные порты
Динамический RPC
Сопоставитель конечных точек RPC
Обход узлов

Удаленный порт

Опция удаленного порта доступна, в случае если Вы выберите тип протокола TCP или UDP. Удаленным является порт на компьютере, который пытается связаться с Вашим компьютером. Для удаленного порта можно использовать Все порты или Специальные порты.

Настройки Internet Control Message Protocol (ICMP)

Если Вы выбрали один из протоколов ICMP (Internet Control Message Protocol, протокол контрольных сообщений) в типе протоколов, становится доступной кнопка Настроить внизу окна. Нажатие на нее открывает окно настройки ICMP, показанное на рисунке 23. Здесь Вы можете применить правило для всех типов ICMP или только для специфических типов ICMP.

Windows Vista Firewall
Рисунок 23. Настройка ICMP.

Следующее окно мастера, показанное на рисунке 24, спрашивает о локальных или удаленных IP-адресах (областях) для нового правила. Область может быть применена как для входящих, так и для исходящих правил соединений, таким образом применяя правило к любому трафику, подходящему под определение области, а также других критериев правила.

Windows Vista Firewall
Рисунок 24. Для каких IP-адресов подходит правило?

После определения параметров, с которыми будет действовать правило, Вам необходимо решить, что же должно происходить в случае совпадения требований правила. Как показано на рисунке 25, есть три возможности:

Windows Vista Firewall
Рисунок 25. Настройка действий.

Предпоследнее окно запрашивает информацию о профилях – общем, частном или доменном, – для которых предназначено правило, а на последнем экране задается имя для нового правила и, если хотите, описание для него.

После завершения создания нового правила, оно появится в списке в главном окне конфигурирования.

Ложка дегтя

Вне всякого сомнения, Брандмауэр Windows исходя из своих возможностей должен быть запущен на машинах пользователей. Но два соображения не дают стать ему идеальным:

Брандмауэр, включенный в Windows Vista, далеко ушел от ранних попыток Microsoft создать надежный брандмауэр. Но со своей двунаправленной возможностью защиты, супер тонкой настройкой и широчайшими конфигурационными параметрами, этот инструмент не для простых пользователей.


На главную
Комментарии
Войти
Регистрация