Азы Windows Firewall

Расскажем подробно об установке и настройке Windows Firewall, работе и способах управления брандмауэром, а так же обо всех прочих его возможностях.

Страницы:12След.

Microsoft последовательно выполняет обещание закрыть бреши в операционных системах семейства Windows. Пакет обновлений Windows XP SP2 включает в себя брандмауэр Windows Firewall, который поможет усилить защищенность корпоративных сетей. Брандмауэр Windows, являющийся развитием продукта Internet Connection Firewall (ICF), представляет собой персональный брандмауэр, поддерживающий централизованную настройку через групповые политики (GP) службы каталога AD. Брандмауэр ICF хотя и предоставил пользователям систем Windows 2000 средства фильтрования IP пакетов в зависимости от состояния соединения, не получил широкого распространения по нескольким причинам. Во-первых, при установке системы ICF по умолчанию отключен, и, во-вторых, ICF не поддерживает централизованное управление. Напротив, брандмауэр Windows предоставляет средства расширенного ведения журналов, централизованного управления, более детализированные правила фильтрования, одним словом хороший брандмауэр сетевого уровня. И, что приятно, пользователь получает брандмауэр Windows бесплатно и автоматически в составе пакета обновлений Windows XP SP2.


Принципы защиты

Брандмауэры сетевого уровня защищают сеть от атак, при которых злоумышленники отыскивают бреши в защите сети или пытаются использовать уязвимости внутренних серверов сети. Эти брандмауэры не защищают сеть от червей и вирусов, передающихся через легитимный трафик, как, например, вложенные файлы электронной почты или при загрузке файлов из сети. К сожалению, пользователи не всегда подключают свои компьютеры к Internet через защищенные брандмауэром соединения. В аэропорте, гостинице, при посещении клиента или дома - компьютер может быть подключен к небезопасной сети, вне безопасного периметра. Администраторы корпоративных сетей могут минимизировать эти риски, применяя на сетевых компьютерах пользователей персональные брандмауэры, такие как брандмауэр Windows. Персональный брандмауэр работает на более низком уровне стека протоколов, чем прикладные программы и проверяет весть входящий и исходящий трафик на компьютере, на котором он установлен.

Как и другие брандмауэры сетевого уровня, брандмауэр Windows проверяет весь входящий трафик и блокирует весь трафик, который не запрошен пользователем и не разрешен списками доступа ACL. Брандмауэр Windows использует технологию определения состояния подключения для определения запрошенного трафика. При Web-серфинге брандмауэр запоминает соединения браузера и динамически открывает порт для получения данных на локальном компьютере. После закрытия соединения брандмауэр автоматически закрывает порт.

Использование персональных брандмауэров типа брандмауэра Windows на настольных компьютерах в дополнение к общей защите периметра сети позволяет достичь более высокой степени безопасности корпоративной сети. Нередким является сценарий, когда червь заражает ноутбук мобильного пользователя через незащищенное соединение, а затем ноутбук подключается к корпоративной сети, и червь распространяется по корпоративной сети, защищенной только по внешнему периметру. Персональные брандмауэры, установленные на настольных системах, позволяют предотвратить распространение вредоносных программ и минимизировать возможный ущерб.

Использование персональных брандмауэров в корпоративной сети требует значительных усилий со стороны ИТ-персонала, поскольку требует установки и настройки на каждом отдельном компьютере в сети. ICF требует индивидуальной настройки брандмауэра для каждого сетевого адаптера, что делает развертывание защиты весьма трудоемким процессом. Брандмауэр Windows позволяет сократить трудозатраты, защищая компьютер в целом и используя централизованное управление параметрами защиты. Кроме того, брандмауэр Windows является чувствительным к состоянию подключения, т.е. когда компьютер подключен к корпоративной сети, можно использовать более мягкие правила защиты, чем когда компьютер подключен к Internet и необходима максимальная защита. Защиту брандмауэра Windows следует включить даже в случае подключения к локальной корпоративной сети, чтобы исключить распространение червей, использующих для распространения подключение к случайным портам или сканирование портов. Необходимо настроить брандмауэр Windows таким образом, чтобы разрешить работу легальных приложений, таких как удаленный мониторинг и управление, совместный доступ к файлам и другие службы, используемые в корпоративной сети.


Бесконтрольный исходящий трафик

Брандмауэр Windows обеспечивает более тонкую настройку списков контроля доступа ACL, чем ICF, но все еще не обеспечивает такой полноты настроек, как многие продукты, предлагаемые независимыми разработчиками. Брандмауэр проверяет только входящий трафик и либо разрешает, либо запрещает его. Он позволяет настроить правила, разрешающие или запрещающие входящий трафик, разрешая при этом весь исходящий трафик и допустимый запрошенный входящий трафик. Такая конфигурация позволяет блокировать значительную часть внешних атак, допуская при этом работу протоколов удаленного управления. Более сложные персональные брандмауэры анализируют также исходящий трафик, который может быть сформирован программой-шпионом или червем. Microsoft рекомендует использовать фильтрование IP Security (IPSec) и политики управления исходящим трафиком, но следует учитывать, что технология IPSec не имеет средств переключения типа опасное/безопасное подключение, так что придется оставить довольно значительное число открытых портов для разрешения получения обратных вызывов от удаленных компьютеров. Например, если для управления компьютерами используется протокол RPC, можно настроить брандмауэр Windows для приема входящего трафика, а заодно потребуется фильтр IPSec исходящего трафика для проверки исходящего трафика, которому обычно необходимо открыть порт с номером более 1024.

Большинство брандмауэров позволяет задавать правила, учитывающие такие характеристики сетевого трафика, как адрес и протокол. Персональные брандмауэры по определению располагают большей информацией о программах, генерирующих сетевой трафик, поскольку установлены на тех же системах. Брандмауэр Windows использует эту информацию, поддерживая не только ACL для параметров сетевых соединений (например, разрешить использование порта 25, SMTP), но и ACL, наложенные на программы. Например, если создать запись в ACL, позволяющую MSN Messenger подключаться к вашему компьютеру, брандмауэр Windows пропустит любой незатребованный запрос к MSN Messenger, когда он поступит на защищенный компьютер. Таким образом, брандмауэр Windows открывает порты для этого трафика, позволяя беспрепятственно работать программе MSN Messenger.

Брандмауэр Windows позволяет легко настраивать трафик в зависимости от его источника. Например, можно разрешить доступ к указанному компьютеру для других компьютеров сети. Брандмауэр Windows позволяет указать в качестве значения исходящего IP-адреса любой компьютер (Any computer), локальную сеть (подсеть) (My network (subnet)), или список компьютеров и сетей (Custom list). Локальная сеть (подсеть) определяет сегмент сети, в котором установлен данный компьютер. Чтобы разрешить совместное использование файлов и принтеров, можно задать правило, разрешающее использовать отдельные порты (например, TCP 135 -139 и 445) и определить правила, базирующиеся на адресе источника (например, все компьютеры в корпоративной сети). Параметр Custom list позволяет указать список или диапазон адресов IP и масок подсетей (например, 192.168.0.0/255.255.255.0, 192.168.0.10). Возможность использования множественных подсетей и сетей с подсетями важно для больших организаций, использующих сложную систему подсетей в корпоративной сети.


Установка и настройка брандмауэра Windows

При установке XP SP2 происходит автоматическая установка брандмауэра Windows и включение брандмауэра для всех сетевых адаптеров. Ниже будет показано, как отключить брандмауэр Windows перед установкой SP2 - это может потребоваться при использовании других брандмауэров, разработанных сторонними производителями.

Локальная настройка брандмауэра Windows для всех сетевых адаптеров осуществляется через панель управления.


Windows Firewall


Панель управления Windows Firewall

Для выполнения настройки параметров брандмауэра Windows необходимо обладать правами локального администратора.

Брандмауэр Windows может работать в одном из трех режимов - включен (по умолчанию), не разрешать исключения, и выключен. В брандмауэре Windows исключениями называются списки управления доступом ACL. В состоянии "Включен" брандмауэр Windows защищает компьютер, допуская трафик, разрешенный на вкладке исключений (Exceptions). При установке флажка "Не разрешать исключения (Don`t allow exceptions)" брандмауэр Windows блокирует все без исключения входящие незатребованные пакеты, пропуская только затребованные данные и весь исходящий трафик.

Настройка брандмауэра Windows происходит, в первую очередь, путем указания исключений. Для локального управления исключениями необходимо запустить приложение "Брандмауэр Windows" в панели управления и перейти на вкладку исключений (Exceptions).


Windows Firewall


Настройка исключений Windows Firewall

Эта вкладка позволяет указать приложения и порты, запросы для которых брандмауэр будет пропускать.

Брандмауэр Windows управляет всеми имеющимися на компьютере сетевыми подключениями, но брандмауэр можно отключить для отдельных сетевых адаптеров на вкладке "Дополнительно" (Advanced). Другие настройки на этой вкладке позволяют настраивать ведение журнала и указывать правила для протокола управления ICMP (Internet Control Message Protocol).


Управление брандмауэром Windows через групповые политики

Одним из наиболее ценных качеств брандмауэра Windows является возможность применения групповых политик для управления его настройками на компьютерах пользователей. Групповые политики позволяют централизованно настраивать любые исключения для всех компьютеров в сети. Можно также настраивать различные параметры защиты для отдельных групп пользователей. Например, можно создать организационную единицу (OU) Sales_Laptops, содержащую все ноутбуки отдела продаж. Далее можно создать объект групповой политики Group Policy Object (GPO), который включает брандмауэр Windows только для этой группы компьютеров. Эти настройки будут активированы на ноутбуках отдела продаж, когда эти компьютеры обновят GPO. Этот метод позволяет задать стандартные настройки брандмауэра Windows для любого домена, сайта или OU. Объект групповой политики для брандмауэра Windows позволяет управлять только компьютерами с Windows XP SP2, входящими в данную организационную единицу.

Администратор может использовать новые элементы объекта групповой политики (GPO) брандмауэра Windows, создав объект GPO на компьютере XP SP2. В редакторе групповых политик элементы GPO для брандмауэра Windows расположены в разделе "Конфигурация компьютера, Административные шаблоны Сеть, Сетевые подключения, Брандмауэр Windows" (Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall). Использование групповых политик для управления брандмауэром Windows позволяет запретить пользователю менять эти настройки локально, даже если пользователь обладает правами локального администратора. Объект GPO "Разрешить исключения для локальных портов" (Allow Local Port Exceptions) позволяет разрешить или запретить изменение настроек брандмауэра Windows локальному администратору. Новые объекты GPO для управления брандмауэром Windows перечислены ниже:

  • Windows Firewall: Protect all network connections - брандмауэр Windows: Защитить все сетевые соединения
  • Windows Firewall: Do not allow exceptions - брандмауэр Windows: Не разрешать исключения
  • Windows Firewall: Define program exceptions - брандмауэр Windows: Задать исключения для программ
  • Windows Firewall: Define port exceptions - брандмауэр Windows: Задать исключения для портов
  • Windows Firewall: Allow local port exceptions - брандмауэр Windows: Разрешить исключения для локальных портов
  • Windows Firewall: Allow local program exceptions - брандмауэр Windows: Разрешить исключения для локальных программ
  • Windows Firewall: Allow remote administration exception - брандмауэр Windows: Разрешить исключения для удаленного администрирования
  • Windows Firewall: Allow file and printer sharing exception - брандмауэр Windows: Разрешить исключения для совместного использования файлов и принтеров
  • Windows Firewall: Allow ICMP exceptions - брандмауэр Windows: Разрешить исключения ICMP
  • Windows Firewall: Allow Remote Desktop exception - брандмауэр Windows: Разрешить исключения удаленного доступа к рабочему столу
  • Windows Firewall: Allow UPnP framework exception - брандмауэр Windows: Разрешить исключения UPnP framework
  • Windows Firewall: Prohibit notifications - брандмауэр Windows: Запретить уведомления
  • Windows Firewall: Allow logging - брандмауэр Windows: Разрешить ведение журналов
  • Windows Firewall: Prohibit unicast response to multicast or broadcast requests - брандмауэр Windows: Запретить одноадресные ответы на многоадресные или широковещательные запросы

Просмотров: 2346