Информация к новости
  • Автор: remo
  • Дата: 24 ноябрь 2011 23:11
24 ноябрь 2011 23:11
Настраиваем Брандмауэр в Windows 7

Категория: Windows 7 Seven / Администрирование / Просмотров: 44722 / Комментариев: 1

Здравствуйте, уважаемые читатели. Я думаю ни для кого не секрет, что начиная с версии Windows Vista, компания Майкрософт интегрировала в свои ОС надежный и гибко настраиваемый брандмауэр. Однако, как и у большинства брандмауэров сторонних производителей, настройки по-умолчанию не обеспечивают максимально возможный уровень защиты. Сегодня мы с вами поговорим о том, как повысить эффективность защиты брандмауэра Windows 7  правильно настроив его.

Примечание: все действия описанные в этом блоге актуальны и для 2008 R2, а также для Windows Vista/Server 2008

 

Для ясности, определим некоторые элементарные понятия, чтобы по ходу изложения не возникало путаницы. Что такое IP-адреспортпротокол, я надеюсь, все знают. Поэтому на этом останавливаться не будем.

Направление соединения, бывает входящее и исходящее. Исходящим называется соединение, инициируемое локальным компьютером, входящим — инициируемое удаленным компьютером. Обратите внимание, что, если ваш браузер обращается к некоторому ресурсу в сети, и тот отвечает ему какими-либо данными, то этот ответ по-прежнему считается отправленным в рамках исходящего подключения.

Суть работы брандмауэра заключается в разрешении одних соединений (подключений) и блокировании других. В связи с этим, следуя правилам фильтрации появились понятия:

  • Черный список: разрешить все, кроме запрещенного.
  • Белый список: запретить все кроме разрешенного.

Я думаю всем понятно, что белый список намного эффективнее черного. Более того, во многих случаях фильтрация по черному списку может быть совершенно бесполезной, с точки зрения защиты. По-умолчанию, входящие подключения фильтруются согласно белому списку, а исходящие – черному. Причем изначально в черном списке исходящих подключений нет ни одного правила, т.е. файрволл исходящие подключения не блокирует.

Что такое сетевое расположение в Windows Vista/7 все знают? Если нет, то

  • Публичная сеть. По умолчанию любая сеть при первом подключении попадает в категорию публичных. Для такой сети подразумевается, что она открыта для прочих компьютеров и никак не защищает локальный компьютер от других.
  • Частная сеть. Подключение к сети, недоступной для окружающих, может быть отмечено администратором как частное. Это, например, может быть подключение к домашней или офисной сети, изолированной от общедоступных сетей с помощью аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых адресов (NAT). Беспроводные сети следует защитить протоколом шифрования, таким как WPA или WPAv2. Сеть никогда не попадает в категорию частных автоматически. Такая настройка выполняется только администратором. ОС Windows запоминает такую сеть, и при следующем подключении та останется в категории частных.
  • Домен. Этот тип сетевого расположения определяется, когда локальный компьютер входит в домен службы Active Directory и может пройти проверку подлинности его доменного контроллера с использованием одного из сетевых подключений. Если указанные условия выполняются, доменный тип сетевого расположения назначается автоматически. Администраторы не могут назначить его вручную.

Блокирование исходящих подключений

Итак, как мы будем настраивать наш файерволл? Я предлагаю перевести работу фильтра исходящих подключений в режим белой фильтрации, и настроить список разрешений. Для этого откроем оснастку Windows Firewall with Advanced Security.

Теперь запретим исходящие подключения для Публичных и Частных сетей. Доменный профиль мы не затрагиваем в случае, если компьютер не в домене (я думаю мало кто из пользователей поднимает у себя дома доменную структуру). Для этого откроем окно свойств брандмауэра и на вкладках Частного и Публичного профиля поставим опцию Исходящие подключения в состояние Блокировать.

 

 

 

Теперь осталось прописать правила для всех приложений и служб, которым необходимо получать доступ в интернет. Я расскажу и покажу на примере  как создавать правила приложений, служб Windows, гаджетов рабочего стола, а также как активировать стандартные зарезервированные правила.

Создание правил для приложений

Как создавать правила для приложений, я вам расскажу на примере. Допустим, необходимо разрешить браузеру выполнять исходящие подключения. Для этого перейдем в группу правил Исходящих подключений, и выполним действие Новое правило. Откроется мастер создания правила для исходящего подключения.

Настраиваем Брандмауэр в Windows 7
На данном шаге мастера мы указываем тип создаваемого правила. В данном случае выбираем Для программы и жмем далее.

На следующем шаге прописываем путь к приложению, в данном случае прописываем путь к ИЕ и жмем далее

Настраиваем Брандмауэр в Windows 7

На данном шаге мы можем разрешить или запретить подключение. Поскольку нам надо разрешить его, то выбираем разрешить.

Настраиваем Брандмауэр в Windows 7

Выбираем Сетевые расположения, для этого правила:

Настраиваем Брандмауэр в Windows 7
Вводим имя правила и его описание

Настраиваем Брандмауэр в Windows 7
И нажимаем Готово. После создания правила мы можем, при необходимости, уточнить дополнительные параметры, такие как протоколы, локальный/удаленный порты, ip-адреса, подсети и многое другое.

 

 

 

Создание правил для служб Windows

Теперь покажем как дать доступ в сеть службе Windows Update. Для этого при создании правила на первом шаге выберем пункт Настраиваемое и нажимаем далее. Как мы знаем, службы, загружаемых из динамических библиотек, хостятся в процессе svchost.exe. Поэтому дадим разрешение этому процессу для службы Windows Update.

Настраиваем Брандмауэр в Windows 7
Настраиваем Брандмауэр в Windows 7

Жмем далее и выполняем стандартные процедуры.

Создание правил для гаджетов рабочего стола

Для того, чтобы разрешить гаджетам выходить в Интернет, необходимо создать разрешающее исходящее правило для %ProgramFiles%Windows Sidebarsidebar.exe.Правило создается аналогично, описывалось ранее.

Как активировать стандартные зарезервированное правило

Допустим, нам нужно разрешить утилите ping отправлять ICMP пакеты. Для этого, мы активируем зарезервированное правило. На 1-м шаге мастера выбираем Предопределенные – Общий доступ к файлам и папкам и далее следуем скриншотам.

Настраиваем Брандмауэр в Windows 7
Настраиваем Брандмауэр в Windows 7

Настраиваем Брандмауэр в Windows 7

Как разрешить VPN-подключение через брандмауэр

Допустим, необходимо создать правило для VPN подключения через туннель PPTP. Для этого создаем, как описано ранее, 2 правила:

  1. Разрешить 47 протокол (GRE) для удаленного хоста
  2. Разрешить передачу TCP пакетов на 1723 порт удаленного хоста.

Заключение

В данном обзоре я подробно рассказал Вам, как настроить Брандмауэр Windows для обеспечения более высокого уровня безопасности. Однако, всегда следует помнить, что теперь Вам придется все время за ним следить. При установке нового приложения (а иногда и после обновления старого) вам придется каждый раз создавать/изменять правила. Поэтому вам надо выбирать: либо повышенная безопасность, либо удобство работы.

источник


Нашли ошибку в тексте? Выделите фрагмент текста и отправьте нажатием Ctrl + Enter
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
Александр1

9 ноября 2013 17:43

0 комментариев

0 публикаций

Делал все как описано для разных браузеров, при этом нет соединения с интернетом из браузера. Может есть какие-то нюансы именно для правила для браузеров?

Добавление комментария

Имя:*
E-Mail:*
Комментарий:
b
i
u
s
|
left
center
right
|
emo
url
leech
color
|
hide
quote
translit
Вопрос:
Допишите недостающие буквы в слове: Укра_на (слово в ответе писать целиком)
Ответ:*
Введите код: *
2011-2014 WikiWin.info
Microsoft Windows © и логотип Windows © являются зарегистрированными товарными знаками компании Microsoft Corporation © в США а так же в других странах.
Администрация сайта не несет ответственность за содержание и достоверность информации.
В случае, если Вы обнаружили свою статью, и считаете что Ваши авторские права нарушены ее размещением - немедленно свяжитесь с нами,
администрация сайта обязуется удалить материалы при первом требовании!
Для связи з администрацией (melkor@ukrpost.net)