Направление соединения, соединения существуют двух видов - входящие и исходящие. Исходящим является соединение, которое инициируется на локальном компьютере, входящим — соединение, которое было установлено удаленным с локальным компьютером. Советую обратить внимание на то, что, если ваш интернет-браузер пытается обратиться к какому-либо объекту в сети, и последний дает ответ в виде каких-то данных, то такой ответ все равно будет считаться исходящим в данной ситуации.
Предназначение работы Firewall в Windows 7 - разрешать одни соединения (подключения) и запрет других соединений. Поэтому, для удобства фильтрации соединений появились следующие понятия:
- Черный список: разрешить все, кроме запрещенного.
- Белый список: запретить все кроме разрешенного.
Я надеюсь,что всем понятно - белый список дает большую эффективность, чем черный, тем более что во многих ситуациях фильтрация по правилам, указанным в черном списке может оказать совсем бесполезно если рассматривать со стороны обеспечения безопасности. По-дефолту все входящие подключения обрабатываются, беря правила из белого списка, а исходящие соединения – согласно черному. По умолчанию Firewall вообще не запрещает никаких исходящих соединений ( черный список пуст).
Коротко расскажу что такое сетевое расположение, которым пользуется Windows 7.
У Windows 7 есть несколько видов сетевых расположений, ниже я их перечислил:
1) Публичная сеть. При подключении любой новой сети она автоматически попадает в эту категорию сетей. Эта сеть предполагает, что она не закрыта от других компьютеров и никаким образом не защищает компьютер к которому она подключена от других.
2) Частная сеть. Под частной сетью понимается сеть,которая недоступна для других.
Как пример этой сетью может являться подключение компьютера к локальной сети офиса или домашней сети, которые закрыты от внешних сетей с помощью файерволла или спрятана за NAT.
Это, например, может быть подключение к домашней или офисной сети, изолированной от общедоступных сетей с помощью аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых адресов (NAT).
Назначить вашей сети статус частная может только администратор и только вручную, так как по умолчанию Windows 7 не назначает никаким подключениям статус частной сети.
Один раз указав статус частной сети Windows 7 запоминает это навсегда и при следующих загрузках эта сеть будет иметь статус частной.
3) Домен. Такое сетевое расположение присваивается вновь подключенной сети, если компьютер входит в ссостав домена и проходит проверку подлинности с помощью одного из сетевых подключений на контроллере домена.
Если компьютер подходит под такие условия, то сетевое расположение "домен" дается сети автоматом. Вручную администраторы компьютера не смогут выставить такой тип сетевого расположения.
Блокирование исходящих подключений
С чего мы начнем настройка нашего Firewall? Я думаю, что для начала мы переведем фильтр исходящих подключений в режим "белой" фильтрации и соответсвенно сделаем настройку списка разрешений.
Для этого откроем оснастку Брандмауэр Windows
Windows Firewall
Так, сейчас мы запретим все исходящие подключения для Частных и Публичных сетей. Доменную сеть мы трогать не будем, так как не рассматриваем здесь вариант использования компьютера с Windows 7 в домене. Для того, чтобы выполнить это, в свойствах Firewall-а на вкладках Общего и Частного профиля отметим опцию Блокировать в пункте "Исходящие подключения"
fire.png 56,83К 798 скачиваний
Теперь наша задача заключается в прописывании правил для всех сервисов и программ, которым мы хотим разрешить выход в интернет.
Я покажу на практике как происходит создание правил для программ, сервисов, служб или гаджетов Windows 7. Также расскажу как можно использовать уже зарезирвированные правила по умолчанию в брандмауэре.
Создание правил для приложений
Создадим правило для Исходящих подключений. Для этого перейдем в правила Исходящих подключений и создадим новое правило.
out.png 151,33К 385 скачиваний
Мы видим, что открылся мастер, который проведет нас через весь процесс создания правил для исходящих соединений.
На первом шаге мастера нам нужно указать брандмауэру тип правила, который мы хотим создать. В нашем случае нам нужно выбрать "Для программы" и нажать "Далее".
На втором шаге нам нужно указать путь, где находится наше приложение для которого мы создаем исходящее правило.Я взял для опыта Internet Explorer
path.png 47,7К 237 скачиваний
На следующем шаге у нас есть выбор - мы может либо запретить либо разрешить приложению осуществлять исходящие подключения. Мы выбираем "разрешить"
raz.png 45,23К 179 скачиваний
Выбираем Профили в которых будет выполняться данное правило, затем вводим имя нашего правила и жмем "Готово"
В уже созданном правиле мы можем если будет необходимо указывать порты, ip-адреса, сети и т.д. Для этого просто щелкаем на созданном правиле двойным щелчком мыши.
После создания правила мы можем, при необходимости, уточнить дополнительные параметры, такие как протоколы, локальный/удаленный порты, ip-адреса, подсети и многое другое.
tcp.png 39,48К 177 скачиваний
Создание правил для служб Windows
А теперь я опишу, как нам открыть доступ к интернету сервису Обновление Windows. Поэтому в мастере создания правил на самом первом шаге нам необходимо выделить пункт и нажать "Далее".
Теперь нам нужно указать саму службу для применения к ней правила. Для этого в свойствах правила нажмем кнопку "Параметры" в пункте "Службы"
ser1.png 42,04К 163 скачиваний
В открывшемся списке выбираем "Центр обновления Windows"
ser2.png 46,17К 138 скачиваний
Жмем "ОК".
Правило для гаджетов рабочего стола Windows 7
Чтобы гаджеты, которые установлены на рабочем столе могли выходить за данными в интернет нужно определить правило, разрещающее соединения для приложения %ProgramFiles%\Windows Sidebar\sidebar.exe. Правило создается также как вышеописанное правило для Internet Explorer.
Активация стандартного зарезервированного правила
Представим себе ситуацию, когда нам необходимо разрешить команде ping отправлять ICMP запросы.
На первом шаге мастера создания правил мы выбираем пункт "Предопределенные
Для этого, мы активируем зарезервированное правило. На 1-м шаге мастера выбираем Предопределенные – Общий доступ к файлам и папкам и затем настраиваем в соответствии со скриншотами
icmp1.png 65,85К 147 скачиваний
icmp2.png 66,99К 107 скачиваний
icmp3.png 52,49К 110 скачиваний
Заключение
Онлайн-игра Морской бой |