Ази Windows Firewall


Microsoft послідовно виконує обіцянку закрити проломи в операційних системах сімейства Windows. Пакет оновлень Windows XP SP2 включає в себе брандмауер Windows Firewall, який допоможе посилити захищеність корпоративних мереж. Брандмауер Windows, що є розвитком продукту Internet Connection Firewall (ICF), являє собою персональний брандмауер, що підтримує централізовану налаштування через групові політики (GP) служби каталогу AD. Брандмауер ICF хоча і надав користувачам систем Windows 2000 кошти фільтрування IP пакетів в залежності від стану з'єднання, не отримав широкого поширення з кількох причин. По-перше, при встановленні системи ICF за замовчуванням відключений, і, по-друге, ICF не підтримує централізоване управління. Навпаки, брандмауер Windows надає кошти розширеного ведення журналів, централізованого управління, більш деталізовані правила фільтрування, одним словом хороший брандмауер мережевого рівня. І, що приємно, користувач отримує брандмауер Windows безкоштовно і автоматично у складі пакета оновлень Windows XP SP2.

Принципи захисту

Брандмауери мережевого рівня захищають мережу від атак, під час яких зловмисники відшукують проломи в захисті мережі або намагаються використовувати уразливості внутрішніх серверів мережі. Ці брандмауери не захищають мережу від черв'яків і вірусів, що передаються через легітимний трафік, як, наприклад, вкладення електронної пошти, або при завантаженні файлів з мережі. На жаль, користувачі не завжди підключають свої комп'ютери до Internet через захищені брандмауером з'єднання. В аеропорт, готелі, при відвідуванні клієнта або будинку - комп'ютер може бути підключений до небезпечної мережі, поза безпечного периметра. Адміністратори корпоративних мереж можуть мінімізувати ці ризики, застосовуючи на мережевих комп'ютерах користувачів персональні брандмауери, такі як брандмауер Windows. Персональний брандмауер працює на більш низькому рівні стека протоколів, ніж прикладні програми і перевіряє звістка вхідний і вихідний трафік на комп'ютері, на якому він встановлений.

Як і інші брандмауери мережевого рівня, брандмауер Windows перевіряє весь вхідний трафік і блокує весь трафік, який не запитано користувачем і не дозволений списками доступу ACL. Брандмауер Windows використовує технологію визначення стану підключення для визначення потрібної трафіку. При Веб-серфінгу брандмауер запам'ятовує з'єднання браузера і динамічно відкриває порт для отримання даних на локальному комп'ютері. Після закриття з'єднання брандмауер автоматично закриває порт.

Використання персональних брандмауерів типу брандмауера Windows на настільних комп'ютерах в доповнення до загальної захист периметра мережі дозволяє досягти більш високого ступеня безпеки корпоративної мережі. Нерідким є сценарій, коли хробак заражає ноутбук мобільного користувача через незахищене з'єднання, а потім ноутбук підключається до корпоративної мережі, і хробак поширюється по корпоративній мережі, захищеної тільки по зовнішньому периметру. Персональні брандмауери, встановлені на настільних системах, дозволяють запобігти поширенню шкідливих програм і мінімізувати можливий збиток.

Використання персональних брандмауерів в корпоративній мережі вимагає значних зусиль з боку ІТ-персоналу, оскільки вимагає установки і налаштування на кожному окремому комп'ютері в мережі. ICF вимагає індивідуального налаштування брандмауера для кожного мережевого адаптера, що робить розгортання захисту вельми трудомістким процесом. Брандмауер Windows дозволяє скоротити трудовитрати, захищаючи комп'ютер в цілому і використовуючи централізоване управління параметрами захисту. Крім того, брандмауер Windows є чутливим до стану підключення, тобто коли комп'ютер підключений до корпоративної мережі, можна використовувати більш м'які правила захисту, ніж коли комп'ютер підключений до Internet і необхідна максимальна захист. Захист брандмауера Windows слід включити навіть у випадку підключення до локальної корпоративної мережі, щоб виключити поширення черв'яків, що використовують для поширення підключення до випадковим портів або сканування портів. Необхідно налаштувати брандмауер Windows таким чином, щоб дозволити роботу легальних додатків, таких як віддалений моніторинг і управління, спільний доступ до файлів та інші служби, що використовуються в корпоративній мережі.

Безконтрольний вихідний трафік

Брандмауер Windows забезпечує більш тонке налаштування списків контролю доступу ACL, ніж ICF, але все ще не забезпечує такої повноти налаштувань, як багато продукти, запропоновані незалежними розробниками. Брандмауер тільки перевіряє вхідний трафік і дозволяє або забороняє його. Він дозволяє налаштувати правила, що дозволяють або забороняють вхідний трафік, дозволяючи при цьому весь вихідний трафік і допустимий запитаний вхідний трафік. Така конфігурація дозволяє блокувати значну частину зовнішніх атак, допускаючи при цьому роботу протоколів віддаленого управління. Більш складні персональні брандмауери аналізують також вихідний трафік, який може бути сформований програмою-шпигуном або хробаком. Microsoft рекомендує використовувати фільтрування IP Security (IPSec) та політики управління вихідним трафіком, але слід враховувати, що технологія IPSec не має коштів перемикання типу небезпечне/безпечне підключення, так що доведеться залишити досить значне число відкритих портів для отримання дозволу зворотних викликати від віддалених комп'ютерів. Наприклад, якщо для управління комп'ютерами використовується протокол RPC, можна налаштувати брандмауер Windows для прийому вхідного трафіку, а заодно потрібно фільтр IPSec вихідного трафіку для перевірки вихідного трафіку, якому зазвичай необхідно відкрити порт з номером більше 1024.

Більшість брандмауерів дозволяє задавати правила, що враховують такі характеристики мережевого трафіку, як адреса і протокол. Персональні брандмауери за визначенням володіють більшою інформацією про програми, які генерують трафік, оскільки встановлені на тих же системах. Брандмауер Windows використовує цю інформацію, підтримуючи не тільки ACL для параметрів мережевих з'єднань (наприклад, дозволити використання порти 25, SMTP), але і ACL, накладені на програми. Наприклад, якщо створити запис в ACL, що дозволяє MSN Messenger підключатися до вашого комп'ютера, брандмауер Windows пропустить будь незатребованный запит до MSN Messenger, коли він надійде на захищений комп'ютер. Таким чином, брандмауер Windows відкриває порти для цього трафіку, дозволяючи безперешкодно працювати програмі MSN Messenger.

Брандмауер Windows дозволяє легко налаштовувати трафік в залежності від його джерела. Наприклад, можна дозволити доступ до зазначеного комп'ютера для інших комп'ютерів мережі. Брандмауер Windows дозволяє вказати значення вихідного IP-адреси будь-який комп'ютер (Any computer), локальну мережу (підмережа) (My network (subnet)), або список комп'ютерів і мереж (Custom list). Локальна мережа (підмережа) визначає сегмент мережі, в якому встановлений даний комп'ютер. Щоб дозволити спільне використання файлів і принтерів, можна визначити правило, що дозволяє використовувати окремі порти (наприклад, TCP 135 -139 і 445) і визначити правила, що базуються на адресу джерела (наприклад, всі комп'ютери в корпоративній мережі). Параметр Custom list дозволяє вказати список або діапазон IP адрес і масок підмереж (наприклад, 192.168.0.0/255.255.255.0, 192.168.0.10). Можливість використання множинних підмереж і мереж з підмережами важливо для великих організацій, що використовують складну систему підмереж в корпоративній мережі.

Встановлення та налаштування брандмауера Windows

При установці XP SP2 відбувається автоматична установка брандмауера Windows і включення брандмауера для всіх мережевих адаптерів. Нижче буде показано, як відключити брандмауер Windows перед установкою SP2 - це може знадобитися при використанні інших брандмауерів, розроблених сторонніми виробниками.

Локальна налаштування брандмауера Windows для всіх мережевих адаптерів здійснюється через панель управління.


Windows Firewall
Панель управління Windows Firewall

Для виконання налаштування параметрів брандмауера Windows необхідно володіти правами адміністратора.

Брандмауер Windows, може працювати в одному з трьох режимів - увімкнено (типово), не дозволяти виключення, і вимкнений. В брандмауері Windows винятками називаються списки керування доступом (ACL. У стані "Увімкнено" брандмауер Windows захищає комп'ютер, допускаючи трафік, дозволений на вкладці винятків (Exceptions). При установці прапорця "Не дозволяти виключення (don't allow exceptions)" брандмауер Windows блокує всі без винятку входять небажані пакети, пропускаючи тільки витребувані дані і весь вихідний трафік.

Налаштування брандмауера Windows відбувається, в першу чергу, шляхом вказівки винятків. Для локального управління винятками необхідно запустити програму "Брандмауер Windows" в панелі керування і перейти на вкладку винятків (Exceptions).


Windows Firewall
Налаштування винятків Windows Firewall

Ця вкладка дозволяє вказати додатки і порти, запити для яких брандмауер буде пропускати.

Брандмауер Windows управляє всіма наявними на комп'ютері мережевими підключеннями, але можна відключити брандмауер для окремих мережних адаптерів на вкладці Додатково (Advanced). Інші налаштування на цій вкладці дозволяють налаштовувати ведення журналу і вказувати правила для управління протоколу ICMP (Internet Control Message Protocol).

Управління брандмауером Windows через групові політики

Одним з найбільш цінних якостей брандмауера Windows є можливість застосування групових політик для управління його налаштуваннями на комп'ютерах користувачів. Групові політики дозволяють централізовано настроювати будь-які винятки для всіх комп'ютерів в мережі. Також можна налаштувати різні параметри захисту для окремих груп користувачів. Наприклад, можна створити організаційну одиницю (OU) Sales_Laptops, що містить всі ноутбуки відділу продажів. Далі можна створити об'єкт групової політики Group Policy Object (GPO), який включає брандмауер Windows тільки для цієї групи комп'ютерів. Ці налаштування будуть активовані на ноутбуках відділу продажів, коли ці комп'ютери оновлять GPO. Цей метод дозволяє настроїти стандартні налаштування брандмауера Windows для будь-якого домену сайту або OU. Об'єкт групової політики для брандмауера Windows дозволяє керувати комп'ютерами з Windows XP SP2, що входять в дану організаційну одиницю.

Адміністратор може використовувати нові елементи об'єкта групової політики (GPO) брандмауера Windows, створивши об'єкт GPO на комп'ютері XP SP2. В редакторі групових політик елементи GPO для брандмауера Windows розташовані в розділі "Конфігурація комп'ютера", "Адміністративні шаблони Мережа, Мережеві підключення, Брандмауер Windows" (Computer Configuration, Administrative Templates Network, Network Connections, Windows Firewall). Використання групових політик для управління брандмауером Windows дозволяє заборонити користувачам змінювати ці налаштування локально, навіть якщо користувач володіє правами адміністратора. Об'єкт GPO "Дозволити винятки для локальних портів" (Allow Local Port Exceptions) дозволяє дозволити або заборонити зміну налаштувань брандмауера Windows, локального адміністратора. Нові об'єкти GPO для управління брандмауером Windows перераховані нижче:

  • Windows Firewall: Protect all network connections - брандмауер Windows: Захистити всі мережеві з'єднання
  • Windows Firewall: Do not allow exceptions - брандмауер Windows: Не дозволяти виключення
  • Windows Firewall: Define program exceptions - брандмауер Windows: Вказати винятки для програм
  • Windows Firewall: Define port exceptions - брандмауер Windows: Вказати винятки для портів
  • Windows Firewall: Allow local port exceptions - брандмауер Windows: Дозволити винятки для локальних портів
  • Windows Firewall: Allow local program exceptions - брандмауер Windows: Дозволити винятки для локальних програм
  • Windows Firewall: Allow remote administration exception - брандмауер Windows: Дозволити винятки для віддаленого адміністрування
  • Windows Firewall: Allow file and printer sharing exception - брандмауер Windows: Дозволити винятки для спільного використання файлів і принтерів
  • Windows Firewall: Allow ICMP exceptions - брандмауер Windows: Дозволити винятки ICMP
  • Windows Firewall: Allow Remote Desktop exception - брандмауер Windows: Дозволити винятки віддаленого доступу до робочого столу
  • Windows Firewall: Allow UPnP framework exception - брандмауер Windows: Дозволити винятки UPnP framework
  • Windows Firewall: Prohibit notifications - брандмауер Windows: Заборонити повідомлення
  • Windows Firewall: Allow logging - брандмауер Windows: Дозволити ведення журналів
  • Windows Firewall: Prohibit unicast response to multicast or broadcast requests - брандмауер Windows: Заборонити одноадресные відповіді на многоадресные або широкомовні запити


Сторінки: 1 2 Слід.