Огляд брандмауера Windows (Windows Firewall)

На відміну від брандмауера, підключення до Інтернету (Internet Connection Firewall, ICF), що входить до складу ОС Windows XP Service Pack 1 або Windows XP без пакетів оновлень, брандмауер Windows призначений для використання з будь-якими мережевими підключеннями, включаючи загальнодоступні з Інтернету, підключення до локальних офісних і домашніх мереж, а також до приватних мереж організацій.

У багатьох корпоративних мережах, що використовують Windows XP Sp1 або Windows XP без пакетів оновлень, на внутрішніх підключеннях ICF не задіюється, оскільки комп'ютери в таких мережах не доступні з Інтернету безпосередньо. Брандмауер, проксі та інші системи безпеки корпоративних мереж забезпечують деякий рівень захисту від зовнішніх загроз для комп'ютерів, що входять до інтрамережі. Проте відсутність вузлових брандмауерів, подібних до брандмауера Windows, на підключеннях до інтрамережі робить комп'ютери уразливими для шкідливих програм, що заносяться до закритої мережі через мобільні комп'ютери.

При роботі клієнтських програм на комп'ютерах під управлінням ОС Windows XP Sp2 використання брандмауера Windows не заважає передачі даних. Доступ до мережі, електронна пошта, групова політика, агенти керування, що запрошують оновлення із сервера, що керує, – приклади клієнтських програм. При їх виконанні з'єднання завжди ініціюється клієнтським комп'ютером, і весь трафік, що відправляється із сервера у відповідь на запит, сприймаються брандмауером як запрошуваний вхідний трафік.

В ОС Windows XP Sp1 або Windows XP без пакетів оновлень брандмауер ICF за замовчанням відключений для будь-яких з'єднань, його активація на підключенні до Інтернету здійснюється за допомогою Майстра настройки мережі (Network Setup Wizard) або Майстра підключення до Інтернету (Internet Connection Wizard). Можливе включення ICF уручну, шляхом установки єдиного прапорця на вкладці Додатково у властивостях з'єднання, де ви також можете задати трафік, що виключається, визначивши порти TCP або UDP.

В ОС Windows XP Sp2 брандмауер Windows активований за замовчанням для всіх з'єднань; виключення для нього можуть бути задані за допомогою компонента панелі керування (Control Panel) Брандмауер Windows, доступного з нового центру забезпечення безпеки Windows (Security Center).

При активації брандмауера Windows для мережевого підключення, ву папці Мережеві підключення (Network Connections) на відповідному значку з'являється зображення замку. Якщо вибрати таке з'єднання, в його описі відобразиться статус Підключено, Захищено брандмауером (Enabled, Firewalled). На рисунку нижче наводиться приклад, у якому брандмауером Windows захищені всі підключення комп'ютера.

Рис. 17 – Приклад захисту брандмауером підключень комп'ютера

Опис роботи брандмауера Windows.Брандмауер Windows – це брандмауер для вхідного трафіка, який реєструє стан зв'язку. На відміну від мережевих екранів на основі маршрутизаторів, що встановлюються між закритими мережами та Інтернетом, брандмауер Windows працює як вузловий брандмауер, тобто обробляє тільки трафік, направлений на IP-адрес даного комп'ютера.

Робота брандмауера основана на виконанні наступної операції. Вхідний пакет перевіряється і зіставляється зі списком дозволеного трафіка. Якщо пакет відповідає одному із пунктів у списку, брандмауер Windows дозволяє проходження цього пакета для подальшої обробки за протоколом TCP/IP. У разі невідповідності пакета записам у переліку дозволів, брандмауер Windows без повідомлення користувача відкидає даний пакет, і, якщо ввімкнена реєстрація даного типу подій, створює запис у файлі журналу брандмауера Windows. Трафік у списку виключень визначається за допомогою зазначення IP-адрес, TCP і UDP портів. Не можна задати правила для трафіка на основі поля протоколу IP у заголовку IP.

Список дозволеного трафіка заповнюється двома шляхами:

1. При проходженні вихідного пакета через підключення, захищене брандмауером Windows, створюється запис, що вирішує відповідь на даний пакет. У відповідь трафік є запрошуваним вхідним трафіком.

Наприклад, якщо на DNS-сервер надсилається запит на зіставлення імені (Name Query Request), брандмауер Windows створює запис про те, що відповідне повідомлення-відповідь (Name Query Response), відправлене сервером DNS, може бути передане для подальшої обробки за протоколом TCP/IP. Таке функціонування дозволяє віднести брандмауер Windows до брандмауерів, які реєструють стан зв'язку: зберігається інформація про трафік, ініційований комп'ютером, так що відповідний у відповідь вхідний трафік дозволяється.

2. Виключення для трафіка, що задаються брандмауером Windows, заносяться до списку. Наявність цієї можливості дозволяє комп'ютеру, що працює як сервер, приймач або рівноправний вузол мережі, та що використовує брандмауер Windows, приймати незапрошуваний трафік.

Наприклад, якщо комп'ютер виступає в ролі веб-сервера-сервера, слід набудувати брандмауер Windows на виключення з фільтрації веб-сервера-трафіка, щоб комп'ютер міг відповідати на запити веб-клієнтов. Виключення можуть бути задані як для програм (у цьому випадку порти, що відкриваються вказаною програмою, автоматично додаватимуться до списку виключень), так і для TCP і UDP портів (які будуть відкриті незалежно від того, працюють застосування і служби, що використовують їх, чи не працюють).

Для комп'ютерів, що належать домену, конфіґурація брандмауера Windows складається із локальних настройок, що зберігаються в реєстрі, та установок групової політики. При розв’язанні проблем часто буває корисно знати, чи діють відносно брандмауера тільки локальні настройки або також і установки групової політики, і, в останньому випадку, який із профілів брандмауера Windows задіяний (Профіль домена або Стандартний профіль).

Як уже зазначалося раніше, натиснувши кнопку у центрі забезпечення безпеки Windows", ви відкриєте вікно настройок "Брандмауера Windows" (рис. 18).

Рис. 18 – Настройка Брандмауера Windows

Клікнувши по напису "Докладніше про брандмауер Windows", можна прочитати коротку інформацію про можливості брандмауера (міжмережевого екрана), що входить до складу Windows XP Sp2.

На відміну від продуктів інших виробників, убудований брандмауер Windows призначений тільки для контролю вхідного трафіка, тобто він захищає комп'ютер тільки від зовнішніх вторгнень. Він не контролює вихідний трафік вашого комп'ютера. Таким чином, якщо на ваш комп'ютер уже потрапив троянський кінь або вірус, які самі встановлюють з'єднання з іншими комп'ютерами, брандмауер Windows не блокуватиме їх мережеву активність.

Крім того, за замовчанням брандмауер захищає всі мережеві з'єднання, і запит вхідного еха за протоколом ICMP заборонений. Це означає, що якщо на комп'ютері ввімкнений брандмауер Windows, то перевіряти наявність такого комп'ютера в мережі за допомогою команди PING – безглузде заняття. Дуже часто в організаціях, де використовується програмне забезпечення, що вимагає дозволу вхідних з'єднань на призначені для користувача комп'ютери, виникає необхідність відкрити деякі порти на комп'ютерах зі встановленою Windows XP Sp2. Для розв’язання цього завдання необхідно задати виключення в настройках брандмауера Windows. Існує два способи розв’язати цю задачу:

1. Можна задати виключення, указавши програму, що вимагає вхідні з'єднання. У цьому випадку брандмауер сам визначить, які порти необхідно відкрити, і відкриє їх тільки на час виконання вказаної програми (точніше, на якийсь час, коли програма прослуховуватиме цей порт).

2. Можна задати виключення, указавши конкретний порт, за яким програма чекає вхідні з'єднання. У цьому випадку порт буде відкритий завжди, навіть, коли ця програма не буде запущена. З погляду безпеки цей варіант менш переважний.

Існує декілька способів задати виключення в настройках брандмауера Windows. Можна скористатися графічним інтерфейсом (рис. 19) або використовувати доменну групову політику.

Рис. 19 – Закладка Виключення

Параметри Брандмауера Windows у груповій політиці розміщуються у вузлі "Конфіґурація комп'ютера, Адміністративні шаблони, Мережа, Мережеві підключення, Брандмауер Windows". При налаштуванні через групову політику необхідно набудувати два профілі:

1. Профіль домена. Настройки цього профілю використовуються, коли комп'ютер підключений до мережі, що містить контролер домена організації.

2. Стандартний профіль. Настройки цього профілю застосовуються, коли комп'ютер не підключений до мережі, що містить контролер домена організації.

Наприклад, якщо ноутбук організації використовується у відрядженні та приєднаний до Інтернету через Інтернет-провайдера. У цьому випадку настройки брандмауера повинні бути жорсткішими порівняно з настройками доменного профілю, оскільки комп'ютер підключається до публічної мережі, минувши міжмережеві екрани своєї організації.

Переглядів: 1464