10 речей, які повинні знати користувачі брандмауера Vista, Windows, Операційні системи, статті

Для своєї нової операційної системи Vista компанія Microsoft внесла в брандмауер Windows Firewall ряд істотних змін, які розширюють можливості захисту і дозволяють досвідченим користувачам здійснювати більш гнучке, зручне і настроюється управління брандмауером, в той же час зберігаючи простоту адміністрування, таку необхідну новачкам. Ось головні аспекти привнесених змін.

Два інтерфейсу для вирішення різних завдань

Брандмауер Vista має два різних графічних інтерфейсу: основний інтерфейс, доступ до якого здійснюється за допомогою центру безпеки (Security Center) і панелі управління (Control Panel), а також вдосконалений інтерфейс у вигляді службової оснастки в користувальницької консолі MMC. Такий поділ сприяє запобіганню небажаних змін, що можуть спричинити проблеми зі з’єднанням, які по необережності можуть внести нові користувачі, і надання досвідченим користувачам можливості виробляти тонке налаштування параметрів брандмауера, а також контролювати вхідний і вихідний трафік. Для налаштування конфігурації брандмауера Vista і створення алгоритмів автоматичної настройки Windows Firewall для декількох машин за допомогою командного рядка використовується команда netsh з ключем advfirewall. Також параметри брандмауера Vista можна змінювати за допомогою оснащення Групова політика (Group Policy).

Опції основного інтерфейсу

За допомогою основного інтерфейсу можна включати і вимикати брандмауер, встановити його в режим блокування трафіку всіх програм без винятку, створювати виключення (для програм, служб і портів) і призначати для них правила (для трафіку з усіх комп’ютерів, трафіку тих, що підключені до мережі Інтернет, тільки для машин, підключених до локальної мережі / підмережі або машин з певним IP-адресою або окремої підмережі). Тут також можна визначити, які саме з’єднання слід захистити брандмауером, налаштувати правила авторизації користувачів і параметри ICMP.

Правила за умовчанням

Задані в Windows Firewall правила за замовчуванням дозволять здійснювати найбільш зручне управління брандмауером. За замовчуванням більшість вихідних даних дозволяється, а що входять блокується. Брандмауер Vista працює у зв’язці з новою службою Windows Service Hardening, таким чином, при виявленні брандмауером процесу, невідповідного мережевим правилам Windows Service Hardening, відбувається його блокування. Windows Firewall також підтримує мережеву середу IPv6.

Блокування повідомлень протоколу ICMP

За замовчуванням вирішуються входять ICMP-запити на відгук (луна-запити), в той час як всі інші види ICMP-повідомлень блокуються. Так відбувається тому, що утиліта Ping постійно відсилає луна-запити з метою виявлення несправностей. Проте хакери також можуть посилати такі запити для виявлення провідних вузлів мережі. Можна заблокувати луна-запити (або дозволити інші ICMP-повідомлення, якщо вони необхідні для проведення діагностики) на вкладці Advanced основного інтерфейсу.

Множинні мережеві профілі

Оснащення консолі управління комп’ютером Брандмауер з удосконаленою захистом (Vista Firewall With Advanced Security) дозволяє встановлювати кілька профілів з різними конфігураціями для різних ситуацій. Ця функція особливо корисна для власників портативних комп’ютерів. Наприклад, при підключенні до бездротової wi-fi мережі через відкриту точку доступу потрібен більш надійний рівень захисту, ніж при підключенні до домашньої мережі. Можна зберігати до трьох профілів: один для підключення до доменної мережі, другий для підключення до приватної мережі і третій – для підключення до мережі загального користування.

Налаштування параметрів IPSec

Вдосконалений інтерфейс для досвідчених користувачів дозволяє робити настроювання параметрів IPSec, щоб створювати спеціальні правила для захисту цілісності та шифрування трафіку, визначати час дії ключів в хвилинах і сесіях, а також вибрати потрібний алгоритм ключового обміну за методом Диффи-Хельмана. Опція шифрування даних для IPSec-з’єднань за замовчуванням відключена, включивши її, можна вибрати алгоритми, за якими здійснюватимуться процеси шифрування і захисту цілісності інформації. Нарешті можна активувати ідентифікацію користувача, машини або і того, і іншого через протокол Kerberos, перевіряючий комп’ютерні сертифікати з вибраних вами центрів, або налаштувати параметри авторизації самостійно.

Правила

Майстер допоможе створити правила захисту з’єднань, що визначають, як і коли мають бути створені захисні сполуки між окремими машинами і групами комп’ютерів. Можна обмежувати з’єднання за принципом членства в домені, рівнем зараженості і захисту системи, а також звільнити певні машини від необхідності ідентифікуватися. Є можливість встановити правила авторизації двох певних комп’ютерів (Сервер-сервер) або використовувати тунельний режим для аутентифікації межшлюзових сполук. Якщо жодне з предзаданной правил не задовольняє, адміністратор може створювати свої правила безпеки.

Користувальницькі правила аутентифікації

При створенні правила аутентифікації, ви визначаєте окремі машини або групи машин (по IP-адресою або діапазону таких відповідно) в якості кінцевих точок з’єднання. Можна запрошувати або вимагати аутентифікацію вхідних, вихідних або обох видів повідомлень одночасно. Наприклад, ви можете зажадати аутентифікацію для вхідних з’єднань і тільки запросити її для вихідних з’єднань. При запиті на авторизацію справжність з’єднання підтверджується, якщо це можливо. Якщо це неможливо, з’єднання все одно дозволяється.

Правила для вхідного і вихідного трафіку

Ви можете створювати або використовувати задані розробниками правила регулювання вхідного і вихідного трафіку і дозволяти з’єднання для конкретних програм і портів. Майстер New Rule Wizard допоможе вам створити нове правило для програм (всіх або окремих), портів або служб. Для кожної програми можна заборонити або дозволити будь-які сполуки, або дозволити тільки безпечні з’єднання з вимогою шифрування даних при передачі трафік. Також для вхідних і вихідних повідомлень можна настроювати IP-адреси джерел і отримання пакетів даних. Більше того, є опція визначення правил для вихідних і кінцевих TCP і UDP портів.

Правила для AD-з’єднань

Ви можете створити правила, які дозволяють або забороняють з’єднання користувачів, комп’ютерів або груп середовища Активних директорій (Active Directory), так як з’єднання захищаються IPSec з використанням п’ятої версії протоколу Kerberos (використовують інформацію облікового запису Active Directory). А за допомогою оснащення Windows Firewall With Advanced Security можна посилити політику надання мережевого доступу Network Access Protection (NAP).


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*