Что такое брандмауэр — какую функцию выполняют брандмауэры и сетевые экраны?

Что нового в Windows Vista?

Рис. 1Брандмауэр Windows в режиме повышенной безопасности (Щелкните изображение, чтобы уменьшить его)

Рис. 1 Брандмауэр Windows в режиме повышенной безопасности (Щелкните изображение, чтобы увеличить его)

Управление в оснастке MMC “Повышенная безопасность” осуществляется с помощью мастера. При создании правила вы можете выбрать один из четырех типов: для программы, для порта, предопределенное или пользовательское. Пояснения см. на рис2.


При написании правил можно использовать множество элементов — все они доступны для локальных правил и правил, применяемых с помощью групповой политики. В их число входят: учетные записи и группы пользователей и компьютеров службы Active Directory, исходные и конечные IP-адреса, исходные и конечные порты TCP и UDP, номера протоколов IP, программы и службы, типы интерфейсов (проводной, беспроводной или удаленный доступ) и типы и коды ICMP.

Будучи настроенным, брандмауэр обрабатывает правила в следующем порядке.

Ограничения служб Некоторые службы в Windows Vista ограничивают себя для снижения вероятности новой атаки типа Blaster. Одно из ограничений — это список портов, которые необходимы данной службе. Брандмауэр следит за этим и запрещает использование (или указание использовать) данной службой другого порта.

Правила безопасности подключения Оснастка MMC “Повышенная безопасность” наряду с поддержкой брандмауэра отвечает и за работу протокола IPsec. Любые правила, которые включают политики IPsec, выполняются во вторую очередь.

Обход проверки подлинности  Это позволяет определенным компьютерам, прошедшим проверку подлинности, обойти другие правила.

Блокирующие правила Эти правила явно блокируют определенный входящий и исходящий трафик.

Разрешающие правила Эти правила явно разрешают определенный входящий и исходящий трафик.

Правила брандмауэра хранятся в реестре, но где именно, я не скажу. Ну… ладно, вы найдете их здесь:

  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRule
  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System

Но только не редактируйте эти правила прямо в реестре. Иначе мы найдем вас, выкрадем вашего домашнего любимца и продадим на eBay! Ну, может, до этого и не дойдет, но единственный поддерживаемый способ редактировать правила — это использовать MMC режима повышенной безопасности.

типы


Ниже перечислены различные типы брандмауэров и их функции:

Брандмауэр на базе прокси-сервера

Он действует как шлюз между конечными пользователями, которые запрашивают данные, и источником данных. Все устройства хоста, подключаемые к прокси-серверу, будут иметь отдельное подключение к источнику данных. Этот брандмауэр может фильтровать их для внедрения политик и маскировки местоположения устройства получателя, а также для защиты устройства и сети получателя.

Брандмауэр с контролем состояния

Этот брандмауэр отслеживает область информации о соединениях и делает ненужным для брандмауэра осматривать каждый пакет. Благодаря этому уменьшается задержка, создаваемая брандмауэром. Брандмауэр с контролем состояния соединений просто проверяет сетевой трафик, чтобы определить, связан ли один пакет с другим пакетом.

Брандмауэры веб-приложений

Он защищает серверы, поддерживающие веб-приложения и Интернет, от специфических HTML-атак, таких как межсайтовый скриптинг, SQL-инъекции и другие. Это определяет, должен ли каждый клиент, пытающийся дозвониться до сервера, иметь доступ.

Брандмауэры нового поколения

Этот тип брандмауэра включает правила для того, что отдельным приложениям и пользователям разрешено делать только. Он сливается с данными, полученными с помощью других технологий, чтобы принимать более обоснованные решения о том, какой трафик разрешать и какой трафик снижать. Брандмауэр следующего поколения также работает путем фильтрации сетевого и интернет-трафика на основе приложений или типов трафика с использованием определенных портов.

Эти типы брандмауэров развивались годами, становясь прогрессивными, и они требуют больше параметров при рассмотрении вопроса о том, следует ли пропускать или нет трафик.

Аппаратное и программное обеспечение

Программный брандмауэр

Это сделано для того, чтобы защитить компьютерные устройства, заблокировав некоторые программы от отправки и получения информации из локальной сети или из Интернета. Он устанавливается в компьютерные устройства, как и любое другое программное обеспечение, которое может быть настроено.

Аппаратный брандмауэр

Этот брандмауэр установлен на всех сетевых маршрутизаторах, которые можно настроить на экране настройки маршрутизатора. Аппаратный брандмауэр обычно используется в широкополосных маршрутизаторах.

Методы брандмауэра


Ниже перечислены несколько типов техник брандмауэра:

Пакетный фильтр

Задача этого метода — просмотреть каждый пакет, который входит и выходит из сети, а затем принимает или отклоняет его на основании правил. Это считается эффективным и более прозрачным для пользователей, чем другие, но сложным в настройке.

Шлюз приложений

Он использует и применяет механизмы безопасности к конкретным приложениям. Это также очень эффективно, но приводит к снижению производительности.

Шлюз уровня контура

Он также применяет механизм безопасности, если TCP или UDP соединение уже установлено. Если соединение уже установлено, пакеты могут протекать между хостами без дополнительной проверки.

Прокси-сервер

Этот метод перехватывает все сообщения, которые поступают в сеть и покидают ее. Он скрывает истинные сетевые адреса.

В реальной жизни существует множество брандмауэров, использующих две или более из этих технологий.

Брандмауэр внес большой вклад в жизнь людей, особенно с точки зрения конфиденциальности. Это делает жизнь не только компьютерных устройств, но и людей безопасной и защищенной. Благодаря этому он помогает блокировать вредоносные программы, предотвращая заражение системы потенциальными вредоносными программами, вирусами и троянскими конями. Более того, через брандмауэр будет меньше хакеров, которые могут привести к потере данных и повреждению компьютерных устройств.

Защитите свой компьютер

Демилитаризованной зоны больше нет. Теперь каждый компьютер должен следить за собственной безопасностью. Как программы защиты от вредоносного программного обеспечения были перенесены с клиентского компьютера на границу, так и брандмауэры должны быть перемещены с границы на клиентов. Вы можете сделать это мгновенно, включив брандмауэр, который у вас уже установлен.

Если вы работаете в операционной системе Windows XP или уже перешли на Windows Vista, брандмауэр Windows доступен всем вашим клиентам и обеспечит защиту, которая необходима для улучшения безопасности в пределах организации — даже если ваши мобильные сотрудники находятся за тысячи километров от офиса.

Стив Райли (Steve Riley), старший специалист по разработке стратегий безопасности в группе корпорации Майкрософт по вопросам надежного использования компьютерной техники и пишущий редактор журнала TechNet Magazine. Он постоянно летает по всему миру, выступая на конференциях и помогая заказчикам в обеспечении безопасности. Его последняя книга — Protect Your Windows Network (Защита сети Windows. Издательство Addison-Wesley, 2005 г.). С ним можно связаться по адресу steve.riley@microsoft.com.

Давайте разберемся. Здесь возникают два сценария.

  •  Если вы работаете с правами локального администратора, и ваш компьютер заражен вредоносной программой, то она просто отключит брандмауэр. Вы проиграли.
  •  Если вы не работаете как локальный администратор, и ваш компьютер заразился вредоносной программой, то эта программа заставит брандмауэр стороннего производителя открыть диалоговое окно, которое содержит иностранный текст (там что-то про порты и IP-адреса) и задает очень серьезный вопрос: “Вы разрешаете это сделать?”. Единственным ответом, конечно, будет “Да, да, да, тупой компьютер, и прекрати меня доставать!” И как только этот диалог исчезнет с экрана, исчезнет и ваша безопасность. Или, что еще чаще случается, вредоносная программа просто внедрится в существующий сеанс программы, действия которой уже одобрены, и вы даже не увидите диалогового окна. Вы опять проиграли.

Обзор

Первоначально Windows XP включала Internet Connection Firewall, который (по умолчанию) был выключен из-за проблем совместимости. Настройки Internet Connection Firewall находились в конфигурации сети, поэтому многие пользователи не находили их. В результате в середине 2003 года компьютерный червь Blaster атаковал большое число компьютеров под управлением Windows, используя уязвимость в службе Удалённый вызов процедур. Через несколько месяцев червь Sasser провёл аналогичную атаку. В 2004 году продолжалось распространение этих червей, в результате чего непропатченные машины заражались в течение нескольких минут. Microsoft подверглась критике, и поэтому решила значительно улучшить интерфейс и функциональность Internet Connection Firewall и переименовать его в «Брандмауэр Windows».

В брандмауэр Windows встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисной сетях или в Интернете. Можно записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к web-сайту. Данная возможность по умолчанию отключена (её может включить системный администратор).

Сетевые профили


В Windows Vista определено три сетевых профиля: доменный, частный и общий. Если компьютер принадлежит домену, и вход в домен успешно выполнен, автоматически применяется профиль домена — самостоятельно сделать этот выбор вы не можете. Когда компьютер подключен к внутренней сети, в которой нет домена (например к домашней сети или сети в небольшом офисе), вы (или администратор) должны применить частный профиль. Наконец, когда компьютер подключен непосредственно к Интернету, следует применить общий профиль.

Как Windows Vista определяет, куда поместить ваш компьютер? Если происходит изменение сети (получен новый IP-адрес, обнаружен новый шлюз, применяемый по умолчанию, или получен новый интерфейс), служба сетевого расположения (NLA) выявляет это изменение. Она создает сетевой профиль, который включает информацию о существующих интерфейсах, о том, прошел ли компьютер проверку подлинности при подключении к контроллеру домена, MAC-адрес шлюза и т.д., и присваивает этому профилю GUID. Затем NLA уведомляет брандмауэр, и тот применяет соответствующую политику (для каждого из трех существующих профилей определена своя политика).

Если интерфейс новый и компьютер ранее с ним не сталкивался, а служба NLA не выбрала профиль домена, вы увидите диалоговое окно, в котором вас попросят указать тип сети, к которой вы подключаетесь. Как ни странно, вариантов три: домашняя, рабочая и публичная. Вы можете подумать, что “рабочая” означает профиль домена, но на самом деле это не одно и то же. Помните, что профиль домена вы не увидите, так как при подключении компьютера к домену служба NLA выбирает его автоматически. На самом деле оба варианта — “домашняя” и “рабочая” — относятся к частному профилю. Функционально они одинаковы — отличаются только значки. (Примечание. Чтобы выбрать частный профиль, вы должны быть локальным администратором или иметь возможность повысить права до локального администратора.) Как и следовало ожидать, “публичная” относится к общему профилю.

В Windows Vista сетевой профиль применяется ко всем интерфейсам компьютера. Вот краткое описание алгоритма дерева решений службы NLA.

  1. Исследовать все подключенные сети.
  2. Имеется ли интерфейс, подключенный к сети, определенной как публичная? Если да, настроить профиль компьютера как общий и выйти.
  3. Имеется ли интерфейс, подключенный к сети, определенной как частная? Если да, настроить профиль компьютера как частный и выйти.
  4. Все ли интерфейсы видят контроллер домена и выполнил ли компьютер успешный вход в него? Если да, настроить профиль компьютера как доменный и выйти.
  5. Иначе настроить профиль компьютера как общий.

Целью является выбор как можно более ограничивающего профиля. Однако здесь есть два очевидных побочных эффекта. Во-первых, если порт Ethernet вашего компьютера подключен к вашей корпоративной сети, а его адаптер беспроводной связи подключен к сети кафе Starbucks этажом ниже, компьютер выберет общий профиль, а не профиль домена. Во-вторых, если ваш компьютер подключен прямо к Интернету (в общем профиле) или подключен к вашей домашней ЛВС (в частном профиле), и вы устанавливаете VPN-подключение к корпоративной сети, ваш компьютер остается в общем или частном профиле.

Что это может означать? Политика брандмауэра для профиля домена включает правила для удаленной поддержки, удаленного администрирования, общего доступа к файлам и принтеру и т.д. Если вы используете эти правила, чтобы удаленно подключиться к клиенту, у вас ничего не получится, если клиент выбрал какой-либо другой профиль. Но не расстраивайтесь — можно написать правила брандмауэра, которые разрешают необходимые вам входящие подключения, а затем применить их только к VPN-подключениям.Теперь можно выполнять администрирование ваших клиентов с помощью VPN, даже если они не используют профиль домена.

Версии

Windows XP

Брандмауэр Windows под Windows XP Service Pack 2

Брандмауэр Windows был выпущен в составе Windows XP Service Pack 2. Все типы сетевых подключений, такие, как проводное, беспроводное, VPN и даже FireWire, по умолчанию фильтруются через брандмауэр (с некоторыми встроенными исключениями, разрешающими соединения для машин из локальной сети). Это устраняет проблему, когда правило фильтрации применяется лишь через несколько секунд после открытия соединения, создавая тем самым уязвимость. Системные администраторы могут настраивать файрвол, используя групповую политику. Брандмауэр Windows XP не работает с исходящими соединениями (фильтрует только входящие подключения).

Включение Брандмауэра Windows в SP2 — одна из причин (другой причиной стал DCOM activation security), по которой многие корпорации своевременно не приступили к развёртыванию Service Pack 2. Во время выхода SP2 некоторые web-сайты сообщили о проблемах совместимости со многими приложениями (большинство из которых решаются добавлением исключений в брандмауэр).

Windows Server 2003

В марте 2005 года Microsoft выпустила Windows Server 2003 Service Pack 1, включающий несколько улучшений в брандмауэр данной серверной операционной системы.

Windows Vista

Брандмауэр Windows под Windows Vista

Windows Vista добавляет в брандмауэр новые возможности, улучшающие его развёртывание в корпоративной среде:

  • Новая оснастка консоли Брандмауэр Windows в режиме повышенной безопасности, позволяющая получить доступ к дополнительным возможностям, а также поддерживающая удалённое администрирование. Получить к ней доступ можно через Пуск → Панель управления → Администрирование → Брандмауэр Windows в режиме повышенной безопасности или набрав команду wf.msc.
  • Фильтр соединений IPv6.
  • Фильтрация исходящего трафика, позволяющая бороться с вирусами и шпионским ПО. Настроить фильтрацию можно, используя консоль управления MMC.
  • Используя расширенный фильтр пакетов, правила можно применять к определённым диапазонам IP-адресов и портов.
  • Правила для служб можно задавать, используя имена служб из списка, без необходимости указывать полное имя службы.
  • Полностью интегрирован IPsec, позволяя фильтрировать соединения, основанные на сертификатах безопасности, аутентификации Kerberos и т. п. Шифрование можно требовать для любого типа соединения.
  • Улучшено управление сетевыми профилями (возможность создавать разные правила для домашних, рабочих и публичных сетей). Поддержка создания правил, обеспечивающих соблюдение политики изоляции домена и сервера.

Как добавить приложение в исключения брандмауэра?

Те программы, которые разрешены пользователем для запуска, будут называться исключения брандмауэра. Они входят в список настроек сетевого экрана и могут быть изменены вручную. Для брандмауэра Windows это действие выполняется следующим образом:

  1. Через кнопку Пуск в панели управления компьютера требуется найти окно брандмауэра.
  2. В его окне следует выбрать пункт «Разрешить запуск программы или компонента…».
  3. Далее раскрыть кнопку «Выбрать другую программу», и из выпадающего списка выбрать нужную программу. Если таковая отсутствует в списке, ее находят через кнопку Обзор.
  4. В окне «Разрешенные программы…» высветится требуемая программа. Добавив соответствующие галки в квадраты списка, пользователь добавляет исключение для брандмауэра.


С этим читают