10 речей

Для своєї нової операційної системи Vista компанія Microsoft внесла в брандмауер Windows Firewall ряд істотних змін, які розширюють можливості захисту і дозволяють досвідченим користувачам здійснювати більш гнучке, зручне і настроюється управління брандмауером, в той же час зберігаючи простоту адміністрування, таку необхідну новачкам. Ось головні аспекти привнесених змін.

Два інтерфейсу для вирішення різних завдань

Брандмауер Vista має два різних графічних інтерфейсу: основний інтерфейс, доступ до якого здійснюється за допомогою центру безпеки (Security Center) і панелі управління (Control Panel), а також вдосконалений інтерфейс у вигляді службової оснащення в користувацької консолі MMC. Такий поділ сприяє запобіганню небажаних змін, що можуть спричинити проблеми зі з'єднанням, які по необережності можуть внести нові користувачі, і наданню досвідченим користувачам можливості проводити тонке налаштування параметрів брандмауера, а також контролювати вхідний і вихідний трафік. Для налаштування конфігурації брандмауера Vista і створення алгоритмів автоматичної настройки Windows Firewall для декількох машин за допомогою командного рядка використовується команда netsh з ключем advfirewall. Також параметри брандмауера Vista можна змінювати за допомогою оснащення Групова політика (Group Policy).

Опції основного інтерфейсу

За допомогою основного інтерфейсу можна вмикати і вимикати брандмауер, встановити його в режим блокування трафіку всіх програм без винятку, створювати виключення (для програм, служб і портів) і призначати для них правила (для трафіку з усіх комп'ютерів, трафіку тих, що підключені до мережі Інтернет, тільки для машин, підключених до локальної мережі / підмережі або машин з тією чи іншою IP-адресою або окремої підмережі). Тут також можна визначити, які саме з'єднання слід захистити брандмауером, настроїти правила авторизації користувачів і параметри ICMP.

Правила за умовчанням

Задані в Windows Firewall правила за замовчуванням дозволять здійснювати найбільш зручне управління брандмауером. За замовчуванням більшість вихідних даних дозволяється, а що входять блокується. Брандмауер Vista працює у зв'язці з новою службою Windows Service Hardening, таким чином, при виявленні брандмауером процесу, невідповідного мережевим правилами Windows Service Hardening, відбувається його блокування. Windows Firewall також підтримує мережеву середу IPv6.

Блокування повідомлень протоколу ICMP

За замовчуванням вирішуються входять ICMP-запити на відгук (луна-запити), в той час як всі інші види ICMP-повідомлень блокуються. Так відбувається тому, що утиліта Ping постійно відсилає луна-запити з метою виявлення несправностей. Проте хакери також можуть посилати такі запити для виявлення провідних вузлів мережі. Можна заблокувати луна-запити (або дозволити інші ICMP-повідомлення, якщо вони необхідні для проведення діагностики) на вкладці Advanced основного інтерфейсу.

Множинні мережеві профілі

Оснащення консолі управління комп'ютером Брандмауер з удосконаленою захистом (Vista Firewall With Advanced Security) дозволяє встановлювати кілька профілів з різними конфігураціями для різних ситуацій. Ця функція особливо корисна для власників портативних комп'ютерів. Наприклад, при підключенні до бездротової wi-fi мережі через відкриту точку доступу потрібен більш надійний рівень захисту, ніж при підключенні до домашньої мережі. Можна зберігати до трьох профілів: один для підключення до доменної мережі, другий для підключення до приватної мережі і третій – для підключення до мережі загального користування.

Налаштування параметрів IPSec

Удосконалений інтерфейс для досвідчених користувачів дозволяє робити настроювання параметрів IPSec, щоб створювати спеціальні правила для захисту цілісності та шифрування трафіку, визначати час дії ключів у хвилинах і сесіях, а також вибрати потрібний алгоритм ключового обміну за методом Діффі-Хельмана. Опція шифрування даних для IPSec-з'єднань за замовчанням відключена, включивши її, можна вибрати алгоритми, за якими здійснюватимуться процеси шифрування і захисту цілісності інформації. Нарешті можна активувати ідентифікацію користувача, машини або і того, і іншого через протокол Kerberos, перевіряючий комп'ютерні сертифікати з обраних вами центрів, або налаштувати параметри авторизації самостійно.

Правила

Майстер допоможе створити правила захисту з'єднань, що визначають, як і коли мають бути створені захисні з'єднання між окремими машинами і групами комп'ютерів. Можна обмежувати з'єднання за принципом членства в домені, рівнем зараженості і захисту системи, а також звільнити певні машини від необхідності ідентифікуватися. Є можливість встановити правила авторизації двох певних комп'ютерів (Сервер-сервер) або використовувати тунельний режим для аутентифікації межшлюзових сполук. Якщо жодне з предзаданную правил не задовольняє, адміністратор може створювати свої правила безпеки.

Користувальницькі правила аутентифікації

При створенні правила аутентифікації, ви визначаєте окремі машини або групи машин (по IP-адресою або діапазону таких відповідно) в якості кінцевих точок з'єднання. Можна запитувати або вимагати аутентифікацію вхідних, вихідних або обох видів повідомлень одночасно. Наприклад, ви можете зажадати аутентифікацію для вхідних з'єднань і тільки запросити її для вихідних з'єднань. При запиті на авторизацію справжність з'єднання підтверджується, якщо це можливо. Якщо це неможливо, з'єднання все одно дозволяється.

Правила для вхідного та вихідного трафіку

Ви можете створювати або використовувати задані розробниками правила регулювання вхідного і вихідного трафіку і дозволяти з'єднання для певних програм і портів. Майстер New Rule Wizard допоможе вам створити нове правило для програм (всіх або окремих), портів або служб. Для кожної програми можна заборонити або дозволити будь-які з'єднання, або дозволити тільки захищених з'єднань з вимогою шифрування даних при передачі трафік. Також для вхідних і вихідних повідомлень можна налаштовувати IP-адреси джерел і отримання пакетів даних. Більше того, є опція визначення правил для вихідних і кінцевих TCP і UDP портів.

Правила для AD-з'єднань

Ви можете створити правила, що дозволяють або забороняють з'єднання користувачів, комп'ютерів або груп середовища Активних директорій (Active Directory), тому що з'єднання захищаються IPSec з використанням п'ятої версії протоколу Kerberos (використовують профільну інформацію Active Directory). А за допомогою оснащення Windows Firewall With Advanced Security можна посилити політику надання мережевого доступу Network Access Protection (NAP).


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*