Старый друг в новом обличье и с новыми функциями — брандмауэр Windows 7

Простая настройка

Расширенная настройка

 

Брандмауэр (Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово firewall (источник: Wikipedia).

Первоначально операционная система Windows XP включала так называемый брандмауэр подключения к Интернету (Internet Connection Firewall), который по умолчанию был выключен из-за проблем совместимости с большинством приложений. При этом диалоговое окно настройки Internet Connection Firewall находилось глубоко в сетевых настройках системы, поэтому многие пользователи не находили данную надстройку. В результате в середине 2003 года компьютерный червь Blaster атаковал большое число компьютеров под управлением Windows XP, используя уязвимость в службе Удаленный вызов процедур. А еще через несколько месяцев червь Sasser провел аналогичную атаку. В следующем году активное распространение этих вирусов успешно продолжилось. В результате компания Microsoft подверглась серьезной критике со стороны как сетевых администраторов, так и конечных пользователей и поэтому решила кардинально улучшить интерфейс и функциональность Internet Connection Firewall, а также присвоить ему новое название — брандмауэр Windows.

В брандмауэр Windows был встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисных сетях или в Интернете. В нем существовала возможность записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к веб-сайту. Следует отметить, что данная возможность по умолчанию отключена (ее может включить системный администратор).

Официально новоиспеченный брандмауэр Windows был выпущен в составе крупного обновления Service Pack 2 для операционной системы Windows XP. Все типы сетевых подключений, такие как проводное, беспроводное, VPN и даже FireWire, по умолчанию фильтруются через брандмауэр (с некоторыми встроенными исключениями, разрешающими соединение для машин из локальной сети). Подобная реализация позволяет устранить проблему, когда правило фильтрации применяется лишь через несколько секунд после открытия соединения, создавая тем самым уязвимость. Стоит отметить, что брандмауэр для операционной системы Windows XP не работает с исходящими соединениями — он позволяет фильтровать только входящие подключения.

Нельзя не упомянуть тот факт, что сначала новый брандмауэр Windows, включенный в SP2, был встречен критически, поскольку некоторые веб-сайты сообщили о проблемах совместимости со многими приложениями (большинство из которых решалось добавлением исключений в брандмауэр), и крупные корпорации не спешили внедрять пакет обновлений SP2 на компьютеры своих сотрудников.

Затем, в марте 2005 года, Microsoft выпустила пакет обновлений SP1 для серверной операционной системы Windows Server 2003, который включал несколько улучшений в брандмауэр данной серверной операционной системы, но существенных изменений внесено не было.

С выходом операционной системы Windows Vista компания Microsoft добавила в свой брандмауэр новые возможности, улучшающие его развертывание в корпоративной среде, а также упростила его управление простыми пользователями. Теперь, с выходом новой операционной системы Windows 7 и улучшением ряда сетевых настроек, облик брандмауэра также претерпел некоторые изменения. Однако справедливости ради стоит отметить, что основная функциональная часть брандмауэра практически не изменилась, за исключением нескольких доработок.

Простая настройка

Брандмауэр в Windows препятствует несанкционированному доступу вредоносных программ из Интернета и локальной сети. Последняя версия брандмауэра в операционной системе Windows 7 выглядит несколько иначе, чем в Windows Vista.

При переходе на брандмауэр в Windows Vista пользователю выдавалось недостаточно информативное диалоговое окно, показанное на рис. 1.

 

Рисунок

Рис. 1. Диалоговое окно брандмауэра в Windows Vista

В новой операционной системе Windows 7 стандартное диалоговое окно брандмауэра было модернизировано и сейчас имеет облик, показанный на рис. 2.

 

Рисунок

Рис. 2. Диалоговое окно брандмауэра в Windows 7

Как видите, диалоговое окно брандмауэра претерпело значительные изменения. Сразу стоит обратить внимание читателей, что основным нововведением брандмауэра в операционной системе Windows 7 является одновременная работа нескольких сетевых профилей. Доступные сетевые профили:

  • доменный — доменная сеть в организации, автоматически определяемая системой;
  • общественный — публичные (общедоступные и беспроводные) сети, например в кафе или аэропорту;
  • домашний — домашние или рабочие сети.

В операционной системе Windows Vista только один профиль мог быть активен в любой момент времени. Если было включено несколько профилей брандмауэра, наиболее безопасный из них становился активным. Например, при одновременном подключении к публичной и домашней сетям активным становился общественный профиль, обеспечивающий более высокую сетевую безопасность системы. В операционной системе Windows 7 все три профиля могут быть активны одновременно, обеспечивая соответствующий уровень безопасности для каждой сети, при этом неважно, сколько сетей на данный момент активно. Также следует отметить, что пользовательский интерфейс брандмаэура в панели управления стал более информативным. Для каждого активного профиля отображаются дополнительные сведения о текущих настройках профиля. В левой части панели управления брандмауэром добавились две ссылки: изменение параметров уведомления и включение/отключение брандмауэра Windows. При этом обе ссылки ведут на одно окно настройки параметров брандмауэра (рис. 3).

 

Рисунок

Рис. 3. Диалоговое окно настройки брандмауэра в Windows 7

В этом диалоговом окне настраиваются параметры включения/отключения брандмауэра для того или иного профиля, а также уведомление о блокировке программ. Стоит отметить, что Microsoft пошла навстречу пользователям, поскольку в Windows Vista уведомление о блокировке программ по умолчанию было отключено и пользователи часто жаловались на такую систему блокировки. Также для каждого из профилей доступна уже известная функция блокировки всех входящих подключений, которая работает для всех соединений, невзирая на установленные правила исключений.

В Windows Vista в диалоговом окне настройки брандмауэра, помимо перечисленных функций, которые имеются в ОС Windows 7, есть еще две закладки, касающиеся списка исключений для программ, добавления новых программ, а также списка сетей, к которым применяются правила брандмауэра (рис. 4).

 

Рисунок

Рис. 4. Диалоговое окно настройки брандмауэра в Windows Vista

Таким образом, в новой операционной системе Windows 7 добавить программу в исключения брандмауэра достаточно просто, поскольку такая функция сразу выведена в левой части диалогового окна. Если пользователю требуется настроить разрешения для конкретной программы, компонента операционной системы или порта, то ему необходимо открыть диалоговое окно, скрывающееся под ссылкой с очень длинным названием: Разрешить запуск программы или компонента через брандмауэр Windows в левой панели, и затем в открывшемся окне нажать кнопку Изменить параметры (рис. 5).

 

Рисунок

Рис. 5. Диалоговое окно настройки исключений в брандмауэре в Windows 7

Затем пользователю нужно выбрать необходимый компонент и установить разрешения для каждого из профилей. Для добавления в список конкретной программы необходимо нажать на кнопку Разрешить другую программу. Также стоит отметить, что при блокировке программы, которая не добавлена в список исключений, появится диалоговое окно, показанное на рис. 6.

 

Рисунок

Рис. 6. Диалоговое окно блокировки программы в Windows 7

Такое системное сообщение позволяет сразу выбрать доступ программы через все три профайла сети. Это более удобное решение, поскольку дает пользователю возможность более гибко контролировать доступ к программам в зависимости от типа используемого подключения. Но вернемся к более точной настройке брандмауэра.

Конечно, брандмауэр можно запускать и другими способами. Для того чтобы запустить брандмауэр из командной строки или из окна, необходимо выполнить в командной строке control.exe /name Microsoft.WindowsFirewall. Напомним, что командная строка в Windows 7 вызывается командой cmd, набранной в строке поиска, и последующим нажатием кнопки Enter. Также более простым образом можно вызвать строку запуска (в новой операционной системе она совмещена с поиском) — нажатием комбинации клавиш Win + R.

Эта версия брандмауэра, как и предыдущие, предполагает возможность сброса настроек. Чтобы восстановить стандартные значения брандмауэра, необходимо щелкнуть на ссылке Восстановить умолчания в левой панели. Ранее, в операционной системе Windows Vista, эта опция называлась Обновить параметры. В открывшемся окне необходимо подтвердить желание вернуть всё на круги своя.

Стоит отметить, что отключение встроенного брандмауэра не рекомендуется ни при каких обстоятельствах, кроме использования дополнительного брандмауэра стороннего разработчика. Обычно при установке брандмауэра стороннего производителя встроенный брандмауэр Windows автоматически отключается. Применение любого брандмауэра предотвратит большинство атак различных сетевых червей, и в большинстве случаев домашним пользователям подойдут именно стандартные параметры брандмауэра.

Расширенная настройка

Если необходима более точная настройка параметров брандмауэра, пользователь может выбрать специальный расширенный режим, который реализован с помощью оснастки консоли управления Microsoft (MMC). В операционной системе Windows Vista, чтобы войти в этот режим, необходимо выполнить переход: Панель управления —> Администрирование —> Брандмауэр Windows в режиме повышенной безопасности. Соответственно об этой возможности брандмауэра мало кто знал. Теперь эта оснастка легко вызывается в левой панели простого варианта управления брандмауэром. В левой части панели находится специальная ссылка Дополнительные параметры, которая и ссылается на расширенную настройку брандмауэра (режим повышенной безопасности). Стоит отметить, что войти в режим повышенной безопасности можно, выполнив команду вызова оснастки от имени администратора wf.msc (рис. 7).

 

Рисунок

Рис. 7. Оснастка режима повышенной безопасности брандмауэра

Данный элемент управления ориентирован уже не на домашних пользователей, а в большей степени на системных администраторов. В режиме повышенной безопасности брандмауэр позволяет конфигурировать и управлять настройками безопасности не только локального компьютера, но и удаленных компьютеров и объектов групповой политики. Для всех профилей по умолчанию уже существуют предустановленные наборы правил, включающие пропуск трафика для важнейших компонентов системы (загрузка обновлений, работа программ стека TCP-IP и др.). Конечно, пользователь может изменять их по собственному желанию, добавлять и удалять собственные правила для входящих и исходящих подключений. Создание новых правил реализовано с помощью специального мастера (рис. 8).

 

Рисунок

Рис. 8. Мастер создания нового правила брандмауэра

Как видно из рис. 8, существует возможность создания правила для конкретной программы (тогда указывается программа, а операционная система сама определяет порты использования), для конкретного порта TCP или UDP и применения предустановленного правила. Также имеется возможность полностью настроить правило вручную. В брандмауэре операционной системы Windows 7 сделано много изменений по сравнению с системой Windows Vista. Так, для каждого профиля фильтрация трафика теперь возможна на основе большего числа дополнительных параметров, среди них:

  • пользователи и группы службы каталогов Active Directory;
  • исходные и целевые IP-адреса;
  • порты;
  • параметры IPsec;
  • типы сетевых интерфейсов;
  • различные службы.

Каждое правило может быть применено ко всем профилям сетей или к каким-то определенным. Таким образом, новая версия брандмауэра позволяет более гибко настраивать правила в зависимости от нахождения компьютера в той или компьютерной сети, поскольку теперь могут быть активными несколько профилей сети. Однако большинство неспецифических параметров в настройке брандмауэра не претерпели существенных изменений. Так, при работе мастера правил для входящих/исходящих подключений было изменено диалоговое окно, имеющее отношение к безопасности подключения (рис. 9 и 10).

 

Рисунок

Рис. 9. Мастер создания правил брандмауэра Windows Vista

Рисунок

Рис. 10. Мастер создания правил брандмауэра Windows 7

Однако более подробный рассказ обо всех возможностях тонкой настройки брандмауэра Windows 7 выходит за рамки нашей статьи о нововведениях. Более детальную информацию о настройке интегрированного брандмауэра Windows 7 можно получить на сайте Miscrosoft.

 

В начало В начало

КомпьютерПресс 11'2009