Понятие брандмауэров (стр. 3 из 5)

Хотя компьютер может быть подключен одновременно к сетям разного типа, активным может быть только один профиль. Выбор активного профиля зависит от следующих причин:

Если для всех интерфейсов применяется аутентификация на контроллере домена, используется профиль домена.

Если хотя бы один из интерфейсов подключен к частной сети, а все остальные – к домену или к частным сетям, используется частный профиль.

Во всех остальных случаях используется общий профиль.

Для определения активного профиля нажмите узел Наблюдение в оснастке Брандмауэр Windows в режиме повышенной безопасности. Над текстом Состояние брандмауэра будет указано, какой профиль активен. Например, если активен профиль домена, наверху будет отображена надпись Профиль домена активен.

При помощи профилей брандмауэр Windows может автоматически разрешать входящий трафик для специальных средств управления компьютером, когда компьютер находится в домене, и блокировать тот же трафик, когда компьютер подключен к публичной или частной сети. Таким образом, определение типа сетевого окружения обеспечивает защиту вашей локальной сети без ущерба безопасности мобильных пользователей.

Входящие и исходящие сообщения

Брандмауэр Windows Vista блокирует входящий трафик по умолчанию, так что необходимо сразу же настроить список Exceptions, если планируется работать с сетевым приложением. Exceptions — это то, что Microsoft называет правилами (rules), а более точно, списки ACL.

Новая оснастка позволяет настроить все функции брандмауэра. В левой панели можно выбрать Inbound Exceptions, Outbound Exceptions, Computer Connection Security или Firewall Monitoring, дважды щелкнуть по выбранному элементу — узлу структуры — и увидеть дополнительные настройки в центральной панели. На правой панели располагается список всех доступных действий для выбранного узла. Такое построение консоли делает процесс настройки брандмауэра интуитивно понятной процедурой; например, если нужно включить или отключить правило, достаточно щелкнуть правой кнопкой мыши, вызвав контекстное меню, или же на правой панели выбрать требуемое действие. Большинство действий вступает в силу немедленно, что упрощает отладку при настройке брандмауэра. Чтобы просмотреть и задать свойства брандмауэра, необходимо открыть контекстное меню Windows Firewall with Advanced Security в левой панели и выбрать Properties.

В составе Windows Firewall есть несколько исходящих фильтров удаленных подключений, и, воспользовавшись ими, можно в удаленном режиме заблокировать подозрительные компьютеры, — возможно, они инфицированы вирусом или «червем».

Доступ к новым возможностям брандмауэра

Большинство новых функций рассматриваемого брандмауэра появилось в декабрьской версии December 2005 Vista CTP, хотя Microsoft в February CTP Microsoft внесла некоторые незначительные улучшения. В процессе знакомства с Windows Firewall with Advanced Security добавления их легко заметить. Следует щелкнуть на значке Start, набрать mmc в поле поиска и нажать Enter. В ответ на появившийся запрос нужно нажать Allow, чтобы позволить MMC работать в привилегированном режиме. Вменю File требуетсящелкнуть Add/Remove Snap-in, выбрать Windows Firewall with Advanced Security ищелкнуть Add. Выберите компьютер для управления, нажмите Finish и ОК.

Те, кто хорошо знаком с предыдущими версиями Windows Firewall, заметят, что в новой версии сохранена концепция доменного и стандартного профилей. Можно настроить индивидуальные правила для каждого профиля, и Windows автоматически определит, какой профиль надлежит использовать в каждом конкретном случае. Профиль домена применяется при подключении компьютера к сети, в которой используется домен, например к локальной сети компании. Стандартный профиль используется во всех остальных случаях, когда компьютер подключен к внешней сети. Свойства брандмауэра можно настроить по-разному для доменного и стандартного профиля — например, можно создать правило, которое разрешит входящий трафик для доступа к компьютеру при подключении к локальной сети, и запретить доступ к станции, если вы путешествуете. Кроме того, можно настроить действия по умолчанию (например, блокировку или разрешение на установку входящих и исходящих подключений) и настройки IPSec (такие, как обмен ключами, используемые алгоритмы шифрования и дешифрации, методы аутентификации).

Журналирование

Как и предыдущие версии Windows Firewall, брандмауэр Vista поддерживает ведение журнала брандмауэра (по умолчанию это файл c:\windows\pfirewall.log). Регистрацию заблокированных пакетов и успешных подключений также можно настроить.

Интеграция IPsec

Брандмауэр Vista содержит в своих правилах настройки IPSec. Microsoft в высшей степени заинтересована в продвижении IPSec, но, по моим наблюдениям, мало кто использует эту возможность. На пути распространения IPSec лежат реальные или считающиеся таковыми трудности — не так просто правильно настроить работу с использованием IPSec, есть риск закрыть доступ к компьютеру в случае неправильной настройки, нет возможности задействовать традиционный сетевой инструментарий для мониторинга или управления трафиком IPSec. Новый брандмауэр перечисленные риски не устраняет, хотя и упрощает процедуру настройки IPSec. Разработчики Microsoft переписали мастер настройки IPSec, чтобы упростить работу с эти протоколом.

7 Windows 7

Программный брандмауэр в WindowsXP был элементарным, рудиментарным и защищал исключительно входящий трафик, блокируя входящие соединения, которые не были инициированы вашим компьютером. По умолчанию он был выключен. Во втором пакете обновления брандмауэр уже был включен по умолчанию, и позволял администраторам включать его через групповую политику. Брандмауэр Vista был построен на новой платформе фильтрации (WindowsFilteringPlatform - WFP) и давал возможность фильтровать исходящий трафик с помощью оснастки AdvancedSecurityMMC. В Windows 7 компания Microsoft еще сильнее изменила брандмауэр и сделала его более полезным, особенно для мобильных компьютеров, путем добавления поддержки нескольких активных политик брандмауэра.

Как и в случае с Vista, основные параметры брандмауэра Windows 7 доступны через панель управления. В отличие от Vista, вы также можете получить доступ к дополнительным настройкам (включая конфигурацию фильтрации исходящих подключений) из панели управления, а не использовать пустую консоль и добавлять в нее оснастку. Просто нажмите на кнопку Дополнительные настройки (Advanced Settings) в левой панели, как показано на рисунке.

Дополнительные сетевые опции

Брандмауэр Vista позволяет вам выбирать работу с частной сетью или публичной. В Windows 7 у вас есть три варианта на выбор – публичная сеть, домашняя сеть или рабочая сеть. Две последние опции считаются частными сетями.

Если вы выберите опцию "домашняя сеть", вы сможете настраивать Домашнюю группу (Homegroup). В этом случае обнаружение сети будет автоматически включено, и вы сможете увидеть другие компьютеры и устройства в сети, они будут видеть ваш компьютер. Компьютеры, принадлежащие к домашней группе, могут совместно использовать рисунки, музыку, видео и библиотеки документов, а также такие аппаратные устройства, как принтеры. Если в вашей библиотеке есть папки, к которым вы не хотите предоставлять общий доступ, вы можете исключить их.

Если вы выберите рабочую сеть, обнаружение сети будет включено по умолчанию, но вы сможете создавать или присоединяться к домашней группе. Если вы присоединяете компьютер к домену Windows (Панель управления | Система | Дополнительные настройки системы | закладка Имя компьютера) и аутентифицируетесь на контроллере домена, брандмауэр автоматически распознает сеть в качестве доменной сети.

"Публичная сеть" является подходящим выбором для подключения к публичным wi-fi сетям в аэропорту, гостинице или кафе, либо при использовании мобильных устройств для подключения. Обнаружение будет выключено по умолчанию, чтобы другие компьютеры в сети вас не видели, и вы не сможете создать или принадлежать к домашней группе.

Во всех типах сетей брандмауэр Windows 7 по умолчанию блокирует подключения к программам, которые отсутствуют в списке исключений. Windows 7 позволяет настраивать параметры для каждого типа сети отдельно.

Несколько активных профилей

В Vista, даже несмотря на то, что у вас были профили для публичной и частной сети, активной могла быть только одна из них. Если ваш компьютер был подключен к двум различным сетям, удача на этом заканчивалась. Для всех подключений применялся тот профиль, который имел самые жесткие ограничения, а это означало, что вы могли делать только то, что разрешено в вашей частной сети, поскольку вам приходилось работать в рамках правил для частной сети, даже при работе в публичной сети. В Windows 7 (и Server 2008 R2) различные профили могут быть активны для каждого сетевого адаптера. Подключение частной сети работает в соответствие с правилами для частной сети, а трафик публичной сети использует эти правила. Во многих случаях увеличение уровня полезности как правило концентрируется вокруг небольших изменений, и компания Microsoft прислушивалась ко мнению своих пользователей и применила некоторые из этих «мелочей, имеющих большое значение» в брандмауэр Windows 7. Например, в Vista, когда вы создаете правило брандмауэра, вам необходимо указать номера портов и IP адреса отдельно. Теперь вы можете указывать диапазон адресов, что значительно сокращает время, затрачиваемое на выполнение этих административных задач.