Март
28
2009

Настройка Стандартного Брандмауера Windows Vista/Windows 7(Seven)

Настройка Стандартного Брандмауера Windows Vista/Windows 7(Seven)

С выходом новой ОС от Microsoft остро возник вопрос о защите. Старые фаерволы требуют доработки, либо вообще не работают. Особенно если у Вас установлена 64 битная версия. К счастью в Windows Vista и Windows 7 есть свой собственный firewall.

В новой операционной системе Microsoft учла ошибки прошлых лет и доработала свой встроенный фаерволл, но добратся к нему не так легко. Стандартно открывается убожество, которое мы видели еще в ХР.

Чтобы попасть в продвинутые настройки, необходимо залезть в закладку администрирование:

Тут необходимо выбрать «Windows Firewall with Advanced Security». Это так-же работает в Windows 7.

a22

Попадаем мы в такое замечательное окошко:

a31

Тут все довольно просто:

  • Inbound rules (правила для входящих соединений)
  • Outbound rules (правила для исходящих соединений)
  • Connection Security Rules (настройки для защищенных соединений IPsec)
  • Monitoring (текущие активные правила, логирование, соединения и тд)

Нажав пункт мониторинг, получаем замечательную картину происходящего. Стандартно Windows имеет 3 профиля работы с сетью. Установив новое соединение, мы отвечаем на вопрос, какой является наша новая сеть, но не зная что стоит за этими названиями, мы выбираем кота в мешке.

К сожалению Microsoft не дало нам возможности самим создавать профили, так что придется выкручиваться тем что есть.

Лично я вижу 2 развития событий:
Если у Вас стационарный компьютер, то можно обойтись 2-мя профилями:

  • Public — для соединения в интернет.
  • Private — для соединения в локальной сети.

Если у Вас ноутбук или много разных соединений.

  • Domain — это Ваша домашняя сетка. Минимум ограничений, поддержка всяких сетевых дисков и других примочек винды
  • Private — это Ваше соединение с интернетом через дешевое или бесплатное соединение. Тут можно разрешить проверки обновлений, скачивание из интернета больших объемов данных и тд.
  • Public — это Ваше дорогое соединение (например через мобильный телефон) запретить все, оставив только самое необходимое для работы: браузер, почта, IM.

Рассмотрим настройку фаервола, на основе публичного профиля.

a4

Первое что бросается в глаза:

a5

Тут мы видим что профиль активен. Фаервол включен, неизвестные входящие соединения запрещены, а исходящие разрешены всем. Но это не есть гуд, ведь вы хотите знать что у вас и куда ломится.

Для этого заходим в настройки фаервола:

a6

Перед нами появляется окошко, в котором мы выбираем нужный профиль и запрещаем неизвестные подключения:

a7

Теперь соединение к интернету доступно только разрешенным приложениям, но как узнать кому не дали интернет? Для этого нужно настроить логирование соединений:

a8

Здесь мы можек указать путь к логу. Ограничить размер и самое главное включить логирование отмененных соединений:

a9

Теперь мы должны разрешить соединение с остальным миром программам, которым мы доверяем:

a10

Создадим новое правило на примере IM Miranda:

a11

a12

Тип правила выберем для приложения(Programm). Тем самым мы даем выбраной программе полную свободу действий. Это полезно, когда у Вас нет времени «тонко» настроить правило и Вы доверяете приложению.

Правило для портов(Port) позволяет открыть один, или несколько входящих портов вашего копмьютера.

Далее будет описано создание более сложных правил.

a13

Указываем путь к .ехе файлу, который мы хотим пустить в сеть.

a14

Тут выбираем действие: разрешить/запретить.

a16

Здесь мы выбираем профиль, для которого действительно это правило.

Например мы можем запретить всякие программы качалки и обновления, если соединение происходит через «дорогой профиль».

a15

Ну и последним штрих: описание профиля.

Этой последовательностью действий мы разрешили одной програме получать доступ в сеть интернет. Проделав эти действия для других программ мы можем быть уверены, что выход в интернет имеют только доверенные приложения.

Создание более сложных правил

Бывают случаи, когда требуется создавать сложные правила . Для этого мы используем созданное вручную правило (Custom Rule).

Для примера давайте создадим правило, которое позволит любому приложению на нашем компьютере соединение с 80-м портом удаленного сервера(обычно этот порт используется для WEB-серверов). Это позволит просматривать обычные сайты любой программой(этот порт могут использовать так-же и некоторые вирусы, я вообще не советую создавать глобальные правила)

a17

Следующим шагом мы выбираем к какому приложению применять данное правило, либо сделать это правило глобальны для всех приложений:

a18

Мы выбираем «All Programs»

Следующий шаг это выбор протокола и портов:

a19

Выбираем тип протокола

Protocol Type: TCP

Local Port:All Ports (мы ведь заранее не знаем какой порт откроет программа для соединения с сервером)

Remote Port: Specific Ports [80] (А вот стандартный порт для Web сервера мы знаем, можно также указать 443 порт для SSL соединений. Порты можно перечислять через запятую, но нельзя указать промежуток портов от и до)

a20

Этот пунк дает широкие возможности по настройке. Здесь Вы можете указать свой IP адресс(например если Вы хотите сделать разные правила для внутренего адреса и для внешнего)

Customise the interface types which this rules applies to(Выбрать типы интерфейсов к которым применяется это правило)

Здесь мы можем выбрать все интерфейсы, либо один из трех типов:Local Area Network(Ваше соединение непосредственно через сетевую карту), Remote Acess(Это соединение через VPN, либо через Dial-up), Wireless(это соединение через беспроводной интерфейс)

Удаленные IP адреса. Мы можем создать правило, которое будет управлять соединением к одному или нескольким удаленным компьютерам. Это будет полезно, если вы хотите ограничить доступ известному злоумышленику.

a14

В этом пункте мы выбираем что делает правило: пропускает или блокирует трафик.

a16

Выбираем к какому профилю принадлежит правило.

В последнем пункте указываем имя правила и описание(опционально)

Неправильная раскладка: yfcnhjqrf cnfylfhnyjuj ,hfylvfethf цштвщцы мшыеф/цштвщцы 7(ыумут)

Понравилась статья? Посоветуйте друзьям!

Firewall HowTO Microsoft Se7en Tips&Tricks Tutorial


Понравилась статья? Подпишись на рассылку по E-Mail или в RSS.
  • Wolan
    Неужели автор пользуется англоязычной версией Windows? Было бы логичней написать эту статью на английском языке с такими скриншотами, для англоязычной аудитории.
  • Нет. У автора украиноязычная винда. (видно на одном из скриншотов) К сожалению украинизация винды сделана не полностью - только сверху посыпана. Пользователь обычно глубже не влазит, а админу откровенно говоря пох на английском там или на русском.... я 2 года назад настраивал некоторые парамаетры итальянцам. только на 15 минуте я расчехлился после вопроса ты что итальянский знаешь что винда даже не англ..... Ну так вот, а если глубже лезть в винду то там оч много не украинизировано.