Для своей новой операционной системы Vista компания Microsoft внесла в брандмауэр Windows Firewall ряд существенных изменений, которые расширяют возможности защиты и позволяют опытным пользователям осуществлять более гибкое, удобное и настраиваемое управление брандмауэром, в то же время сохраняя простоту администрирования, столь необходимую новичкам. Вот главные аспекты привнесённых изменений.
Два интерфейса для решения различных задач
Брандмауэр Vista имеет два разных графических интерфейса: основной интерфейс, доступ к которому осуществляется посредством центра безопасности (Security Center) и панели управления (Control Panel), а также усовершенствованный интерфейс в виде служебной оснастки в пользовательской консоли MMC. Такое разделение способствует предотвращению нежелательных изменений, могущих повлечь проблемы с соединением, которые по неосторожности могут внести новые пользователи, и предоставлению опытным пользователям возможности производить тонкую настройку параметров брандмауэра, а также контролировать входящий и исходящий трафик. Для настройки конфигурации брандмауэра Vista и создания алгоритмов автоматической настройки Windows Firewall для нескольких машин при помощи командной строки используется команда netsh с ключом advfirewall. Также параметры брандмауэра Vista можно изменять посредством оснастки Групповая политика (Group Policy).
Опции основного интерфейса
При помощи основного интерфейса можно включать и выключать брандмауэр, установить его в режим блокировки трафика всех программ без исключения, создавать исключения (для программ, служб и портов) и назначать для них правила (для трафика со всех компьютеров, трафика тех, что подключены к сети Интернет, только для машин, подключённых к локальной сети/подсети или машин с определённым IP-адресом или отдельной подсети). Здесь также можно определить, какие именно соединения следует защитить брандмауэром, настроить правила авторизации пользователей и параметры ICMP.
Правила по умолчанию
Заданные в Windows Firewall правила по умолчанию позволят осуществлять наиболее удобное управление брандмауэром. По умолчанию большинство исходящих данных разрешается, а входящих блокируется. Брандмауэр Vista работает в связке с новой службой Windows Service Hardening, таким образом, при обнаружении брандмауэром процесса, несоответствующего сетевым правилам Windows Service Hardening, происходит его блокировка. Windows Firewall также поддерживает сетевую среду IPv6.
Блокировка сообщений протокола ICMP
По умолчанию разрешаются входящие ICMP-запросы на отклик (эхо-запросы), в то время как все другие виды ICMP-сообщений блокируются. Так происходит потому, что утилита Ping постоянно отсылает эхо-запросы с целью выявления неисправностей. Однако хакеры также могут посылать такие запросы для выявления ведущих узлов сети. Можно заблокировать эхо-запросы (или разрешить другие ICMP-сообщения, если они необходимы для проведения диагностики) на вкладке Advanced основного интерфейса.
Множественные сетевые профили
Оснастка консоли управления компьютером Брандмауэр с усовершенствованной защитой (Vista Firewall With Advanced Security) позволяет устанавливать несколько профилей с различными конфигурациями для разных ситуаций. Эта функция особенно полезна для владельцев портативных компьютеров. Например, при подключении к беспроводной wi-fi сети через открытую точку доступа нужен более надёжный уровень защиты, чем при подключении к домашней сети. Можно хранить до трёх профилей: один для подключения к доменной сети, второй для подключения к частной сети и третий - для подключения к сети общего пользования.
Настройка параметров IPSec
Усовершенствованный интерфейс для опытных пользователей позволяет производить настройку параметров IPSec, чтобы создавать специальные правила для защиты целостности и шифрования трафика, определять время действия ключей в минутах и сессиях, а также выбрать нужный алгоритм ключевого обмена по методу Диффи-Хельмана. Опция шифрования данных для IPSec-соединений по умолчанию отключена, включив её, можно выбрать алгоритмы, по которым будут осуществляться процессы шифрования и защиты целостности информации. Наконец можно активировать идентификацию пользователя, машины или и того, и другого через протокол Kerberos, проверяющий компьютерные сертификаты из выбранных вами центров, либо настроить параметры авторизации самостоятельно.
Правила
Мастер поможет создать правила защиты соединений, определяющие, как и когда должны быть созданы защитные соединения между отдельными машинами и группами компьютеров. Можно ограничивать соединения по принципу членства в домене, уровню заражённости и защиты системы, а также освободить определённые машины от необходимости идентифицироваться. Есть возможность установить правила авторизации двух определённых компьютеров (сервер-сервер) или использовать туннельный режим для аутентификации межшлюзовых соединений. Если ни одно из предзаданных правил не удовлетворяет, администратор может создавать свои правила безопасности.
Пользовательские правила аутентификации
При создании правила аутентификации, вы определяете отдельные машины или группы машин (по IP-адресу или диапазону таковых соответственно) в качестве конечных точек соединения. Можно запрашивать или требовать аутентификацию входящих, исходящих или обоих видов сообщений одновременно. К примеру, вы можете затребовать аутентификацию для входящих соединений и только запросить её для исходящих соединений. При запросе на авторизацию подлинность соединения подтверждается, если это возможно. Если это невозможно, соединение всё равно разрешается.
Правила для входящего и исходящего трафика
Вы можете создавать или использовать заданные разработчиками правила регулировки входящего и исходящего трафика и разрешать соединения для конкретных приложений и портов. Мастер New Rule Wizard поможет вам создать новое правило для программ (всех или отдельных), портов или служб. Для каждой программы можно запретить или разрешить любые соединения, либо разрешить только безопасные соединения с требованием шифрования данных при передаче трафик. Также для входящих и исходящих сообщений можно настраивать IP-адреса источников и получения пакетов данных. Более того, имеется опция определения правил для исходных и конечных TCP и UDP портов.
Правила для AD-соединений
Вы можете создать правила, разрешающие или запрещающие соединения пользователей, компьютеров или групп среды Активных директорий (Active Directory), так как соединения защищаются IPSec с использованием пятой версии протокола Kerberos (использующим информацию учётной записи Active Directory). А при помощи оснастки Windows Firewall With Advanced Security можно усилить политику предоставления сетевого доступа Network Access Protection (NAP).
Автор: Debra Littlejohn
