Перейти к содержимому


Фотография

Настройка Firewall в Windows 7


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 xeken

xeken

    Администратор

  • Администраторы
  • Cообщений: 156

Отправлено 24 Май 2010 - 02:53

Для того, чтобы читателям форума были понятны дальнейшие действия, опишем несколько простых понятий, встречающихся при описании работы брандмауэра. Описывать понятие IP-адреса, протоколов и т.д я не буду, так как надеюсь всем знакомы эти слова.

Направление соединения, соединения существуют двух видов - входящие и исходящие. Исходящим является соединение, которое инициируется на локальном компьютере, входящим — соединение, которое было установлено удаленным с локальным компьютером. Советую обратить внимание на то, что, если ваш интернет-браузер пытается обратиться к какому-либо объекту в сети, и последний дает ответ в виде каких-то данных, то такой ответ все равно будет считаться исходящим в данной ситуации.

Предназначение работы Firewall в Windows 7 - разрешать одни соединения (подключения) и запрет других соединений. Поэтому, для удобства фильтрации соединений появились следующие понятия:

- Черный список: разрешить все, кроме запрещенного.

- Белый список: запретить все кроме разрешенного.

Я надеюсь,что всем понятно - белый список дает большую эффективность, чем черный, тем более что во многих ситуациях фильтрация по правилам, указанным в черном списке может оказать совсем бесполезно если рассматривать со стороны обеспечения безопасности. По-дефолту все входящие подключения обрабатываются, беря правила из белого списка, а исходящие соединения – согласно черному. По умолчанию Firewall вообще не запрещает никаких исходящих соединений ( черный список пуст).

Коротко расскажу что такое сетевое расположение, которым пользуется Windows 7.
У Windows 7 есть несколько видов сетевых расположений, ниже я их перечислил:

1) Публичная сеть. При подключении любой новой сети она автоматически попадает в эту категорию сетей. Эта сеть предполагает, что она не закрыта от других компьютеров и никаким образом не защищает компьютер к которому она подключена от других.

2) Частная сеть. Под частной сетью понимается сеть,которая недоступна для других.
Как пример этой сетью может являться подключение компьютера к локальной сети офиса или домашней сети, которые закрыты от внешних сетей с помощью файерволла или спрятана за NAT.
Это, например, может быть подключение к домашней или офисной сети, изолированной от общедоступных сетей с помощью аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых адресов (NAT).
Назначить вашей сети статус частная может только администратор и только вручную, так как по умолчанию Windows 7 не назначает никаким подключениям статус частной сети.
Один раз указав статус частной сети Windows 7 запоминает это навсегда и при следующих загрузках эта сеть будет иметь статус частной.
3) Домен. Такое сетевое расположение присваивается вновь подключенной сети, если компьютер входит в ссостав домена и проходит проверку подлинности с помощью одного из сетевых подключений на контроллере домена.
Если компьютер подходит под такие условия, то сетевое расположение "домен" дается сети автоматом. Вручную администраторы компьютера не смогут выставить такой тип сетевого расположения.

Блокирование исходящих подключений



С чего мы начнем настройка нашего Firewall? Я думаю, что для начала мы переведем фильтр исходящих подключений в режим "белой" фильтрации и соответсвенно сделаем настройку списка разрешений.


Для этого откроем оснастку Брандмауэр Windows

Windows Firewall


Так, сейчас мы запретим все исходящие подключения для Частных и Публичных сетей. Доменную сеть мы трогать не будем, так как не рассматриваем здесь вариант использования компьютера с Windows 7 в домене. Для того, чтобы выполнить это, в свойствах Firewall-а на вкладках Общего и Частного профиля отметим опцию Блокировать в пункте "Исходящие подключения"
Прикрепленный файл  fire.png   56,83К   798 скачиваний

Теперь наша задача заключается в прописывании правил для всех сервисов и программ, которым мы хотим разрешить выход в интернет.
Я покажу на практике как происходит создание правил для программ, сервисов, служб или гаджетов Windows 7. Также расскажу как можно использовать уже зарезирвированные правила по умолчанию в брандмауэре.

Создание правил для приложений


Создадим правило для Исходящих подключений. Для этого перейдем в правила Исходящих подключений и создадим новое правило.
Прикрепленный файл  out.png   151,33К   385 скачиваний

Мы видим, что открылся мастер, который проведет нас через весь процесс создания правил для исходящих соединений.
На первом шаге мастера нам нужно указать брандмауэру тип правила, который мы хотим создать. В нашем случае нам нужно выбрать "Для программы" и нажать "Далее".

На втором шаге нам нужно указать путь, где находится наше приложение для которого мы создаем исходящее правило.Я взял для опыта Internet Explorer

Прикрепленный файл  path.png   47,7К   237 скачиваний

На следующем шаге у нас есть выбор - мы может либо запретить либо разрешить приложению осуществлять исходящие подключения. Мы выбираем "разрешить"
Прикрепленный файл  raz.png   45,23К   179 скачиваний

Выбираем Профили в которых будет выполняться данное правило, затем вводим имя нашего правила и жмем "Готово"

В уже созданном правиле мы можем если будет необходимо указывать порты, ip-адреса, сети и т.д. Для этого просто щелкаем на созданном правиле двойным щелчком мыши.
После создания правила мы можем, при необходимости, уточнить дополнительные параметры, такие как протоколы, локальный/удаленный порты, ip-адреса, подсети и многое другое.
Прикрепленный файл  tcp.png   39,48К   177 скачиваний

Создание правил для служб Windows


А теперь я опишу, как нам открыть доступ к интернету сервису Обновление Windows. Поэтому в мастере создания правил на самом первом шаге нам необходимо выделить пункт и нажать "Далее".
Теперь нам нужно указать саму службу для применения к ней правила. Для этого в свойствах правила нажмем кнопку "Параметры" в пункте "Службы"

Прикрепленный файл  ser1.png   42,04К   163 скачиваний

В открывшемся списке выбираем "Центр обновления Windows"

Прикрепленный файл  ser2.png   46,17К   138 скачиваний

Жмем "ОК".

Правило для гаджетов рабочего стола Windows 7


Чтобы гаджеты, которые установлены на рабочем столе могли выходить за данными в интернет нужно определить правило, разрещающее соединения для приложения %ProgramFiles%\Windows Sidebar\sidebar.exe. Правило создается также как вышеописанное правило для Internet Explorer.

Активация стандартного зарезервированного правила


Представим себе ситуацию, когда нам необходимо разрешить команде ping отправлять ICMP запросы.
На первом шаге мастера создания правил мы выбираем пункт "Предопределенные
Для этого, мы активируем зарезервированное правило. На 1-м шаге мастера выбираем Предопределенные – Общий доступ к файлам и папкам и затем настраиваем в соответствии со скриншотами
Прикрепленный файл  icmp1.png   65,85К   147 скачиваний

Прикрепленный файл  icmp2.png   66,99К   107 скачиваний

Прикрепленный файл  icmp3.png   52,49К   110 скачиваний



Заключение

В данной теме я на примерах показал как настраивается Firewall Windows. Но помните, что вам нужно постоянно отслеживать состояние правил. Ведь при установке новой программы, которой необходим доступ в интернет вам нужно будет вновь создавать правила. Так что выбирайте что вам нужнее: безопасность системы или простота и удобство работы.
 

Онлайн-игра Морской бой





 
яндекс.ћетрика