Брандмауэр Интернета (Windows Firewall) был в Windows XP с самого начала, но в SP2 он подвергся серьезным переработкам. Брандмауэр выступает в качестве сетевого экрана между вашим компьютером и сетью, он позволяет обеспечить безопасное соединение вашего компьютера с внешней сетью через TCP/IP версии 4 (IPv4) и TCP/IP версии 6 (IPv6). В Windows Firewall вы можете настроить следующие пункты:
- Включить фильтрацию по портам
- Включить фильтрацию по приложениям
- Сконфигурировать основные ICMP настройки
- Записывать в log-файл происходящие события
Теперь после установки SP2 Windows Firewall будет сразу включен (до SP2 он был по умолчанию выключен и его необходимо было включать), он будет обеспечивать защиту всех имеющихся сетевых подключен и брать под защиту каждое новое созданное. После установки SP2 и работе Windows Firewall вы можете столкнуться с проблемой, что некоторые программы перестанут корректно работать в сети, чтобы решить эту проблему вам нужно будет указать все эти программы в фильтрах Windows Firewall.
Загрузочная безопасность
В предыдущих версиях Windows XP было небольшое окошко между загрузкой сетевых драйверов и запуском службы брандмауэра, что позволяла провести атаку в этот промежуток времени. Теперь же Windows сразу загружает необходимые драйвера перед загрузкой сетевых подключений, что позволяет обеспечить надежную защиту вашего компьютера.Создана так называемая загрузочная безопасность, которая загружается вместе с сетевыми подключениями и работает до момента загрузки брандмауэра. Загрузочная безопасность не настраивается, она отклоняет все внешные соединения до момента загрузки брандмауэра. Если же загрузка Windows Firewall не удалась (была прервана из-за какой-либо ошибки и т.п.), то будут блокированы все внешние подключения, что позволит обеспечить защиту компьютера от атак из сети. Это создает и некие трудности, если Windows Firewall не загрузился, то системные администраторы не смогут настроить удаленно компьютер, т.к. Загрузочная безопасность не позволит вам подключиться к этому компьютеру. Чтобы решить эту проблему, вы можете изменить значение запуска службы Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) на Отключена и остановить эту службу, но имейте ввиду, что тем самым вы отключаете все средства по защите вашего компьютера (данный метод рекомендуется, если вы используете сторонние брандмауэры, например Outpost Firewall и т.п.).
Общие настройки для сетевых подключений
Раньше вы могли вырать отдельно настройки безопасности для каждого сетевого подключения, теперь же единые настройки применяются ко ВСЕМ сетевым подключениям. Это позволяет упростить настройку безопасности ваших сетевых подключений.
Безопасность по портам
Если раньше при открытии какого-либо порта ваш компьютер был доступен по этому порту и из локальной сети, и из интернета, то теперь вы можете фильтровать траффик и открывать порты отдельно для локальной сети, IP адреса и т.д. Эти нововведения позволят увеличить безопасность вашего комьютера путем фильтрации ненужного траффика. Если ваш компьютер является членом рабочей группы и у вас включен Общий доступ к файлам и принтерам, то система включит фильтрацию. Следующие порты будут открыты только для траффика внутри сети:
- UDP порт 137
- UDP порт 138
- TCP порт 139
- TCP порт 445
Если какая-нибудь программа общается по этим портам с интернетом, то вам необходимо будет открыть эти порты и для работы с сетями, отличными от вашей локальной сети.
Поддержка командной строки
Теперь вы можете выполнять настройки брандмауэра и с помощью командной строки, делается это посредством команды netsh, с помощью этой команды вы можете выполнять следующие действия:
- Настроить состояние брандмауэра (Включен, Выключен, Включен без ограничений)
- Настроить открытые порты
- Настроить параметры записи log-файла
- Настроить параметры ICMP
- Добавлять и удалять программы из списка исключений
Увеличить
Синтаксис команды следующий:
Увеличить
Восстановление настроек Брандмауэра Windows
Если раньше при ошибке в конфигурировании файерволла вам необходимо было искать эту ошибку, то теперь вы можете восстановить исходные значения брандмауэра. После восстановления исходных значений вы можете снова настраивать брандмауэр. Эта функция очень полезна для неопытных пользователей, которые хотят "поиграться" с безопасностью системы.
Настройка Брандмауэра с помощью автоматической установки
В предыдущих версиях Windows XP вы не могли настроить файерволл с помощью автоматической установки Windows XP (подробнее об Автоматической установке можно прочитать на сайте http://unattended.oszone.net). Теперь же с помощью Автоматической установки вы можете настроить у брандмауэра следующие параметры:
- Режим работы
- Программы, которые будут добавлены в лист исключений брандмауэра
- Порты в листе исключений
- Настройки ICMP
- Настройки записи log`ов.
Это позволит вам настроить режим работы файерволла еще до установки Windows XP SP2, что позволит сократить процесс "доводки до ума" операционной системы после инсталляции.
Соединение IPv6 Брандмауэра и Брандмауэра Windows
В предыдущих версиях Windows XP Брандмауэр Windows фильтровал только IPv4 траффик, для фильтрации IPv6 траффика нужно было ставить специальный Дополнительный Сетевой пакет. В SP2 были соединены эти два файерволла, в результате чего обеспечивается фильтрация как IPv4 траффика, так и IPv6 траффика.