С момента появления первого брандмауэра, встроенного в операционную систему (файервол интернет соединения) в Windows XP компания Microsoft постепенно улучшает брандмауэр в каждой последующей версии ОС Windows. Хотя брандмауэр Windows Firewall включенный в версию самой последней клиентской ОС Windows 7 скорее эволюционный, чем революционный, он предлагает множество отличных настроек, которые более дружественны пользователю и, как минимум, одно большое изменение, которое имеет большое значение для мобильных пользователей. В этой статье мы рассмотрим брандмауэр в Windows 7, и я покажу вам, как настраивать несколько активных политик брандмауэра на нем.
Эволюция брандмауэра Windows Firewall
Программный брандмауэр в Windows XP был элементарным, рудиментарным и защищал исключительно входящий трафик, блокируя входящие соединения, которые не были инициированы вашим компьютером. По умолчанию он был выключен. Во втором пакете обновления брандмауэр уже был включен по умолчанию, и позволял администраторам включать его через групповую политику. Брандмауэр Vista был построен на новой платформе фильтрации (Windows Filtering Platform - WFP) и давал возможность фильтровать исходящий трафик с помощью оснастки Advanced Security MMC. В Windows 7 компания Microsoft еще сильнее изменила брандмауэр и сделала его более полезным, особенно для мобильных компьютеров, путем добавления поддержки нескольких активных политик брандмауэра.
Введение в брандмауэр Windows 7 Firewall
Как и в случае с Vista, основные параметры брандмауэра Windows 7 доступны через панель управления. В отличие от Vista, вы также можете получить доступ к дополнительным настройкам (включая конфигурацию фильтрации исходящих подключений) из панели управления, а не использовать пустую консоль и добавлять в нее оснастку. Просто нажмите на кнопку Дополнительные настройки (Advanced Settings) в левой панели, как показано на рисунке 1.
Рисунок 1: В Windows 7 вы можете получить доступ к дополнительным настройкам брандмауэра из панели управления
Дополнительные сетевые опции
Брандмауэр Vista позволяет вам выбирать работу с частной сетью или публичной. В Windows 7 у вас есть три варианта на выбор – публичная сеть, домашняя сеть или рабочая сеть. Две последние опции считаются частными сетями.
Если вы выберите опцию "домашняя сеть", вы сможете настраивать Домашнюю группу (Homegroup). В этом случае обнаружение сети будет автоматически включено, и вы сможете увидеть другие компьютеры и устройства в сети, они будут видеть ваш компьютер. Компьютеры, принадлежащие к домашней группе, могут совместно использовать рисунки, музыку, видео и библиотеки документов, а также такие аппаратные устройства, как принтеры. Если в вашей библиотеке есть папки, к которым вы не хотите предоставлять общий доступ, вы можете исключить их.
Если вы выберите рабочую сеть, обнаружение сети будет включено по умолчанию, но вы сможете создавать или присоединяться к домашней группе. Если вы присоединяете компьютер к домену Windows (Панель управления | Система | Дополнительные настройки системы | закладка Имя компьютера) и аутентифицируетесь на контроллере домена, брандмауэр автоматически распознает сеть в качестве доменной сети.
"Публичная сеть" является подходящим выбором для подключения к публичным wi-fi сетям в аэропорту, гостинице или кафе, либо при использовании мобильных устройств для подключения. Обнаружение будет выключено по умолчанию, чтобы другие компьютеры в сети вас не видели, и вы не сможете создать или принадлежать к домашней группе.
Во всех типах сетей брандмауэр Windows 7 по умолчанию блокирует подключения к программам, которые отсутствуют в списке исключений. Windows 7 позволяет настраивать параметры для каждого типа сети отдельно, как показано на рисунке 2.
Увеличить
Рисунок 2: Windows 7 позволяет настраивать параметры для каждого типа сети отдельно
Несколько активных профилей
В Vista, даже несмотря на то, что у вас были профили для публичной и частной сети, активной могла быть только одна из них. Если ваш компьютер был подключен к двум различным сетям, удача на этом заканчивалась. Для всех подключений применялся тот профиль, который имел самые жесткие ограничения, а это означало, что вы могли делать только то, что разрешено в вашей частной сети, поскольку вам приходилось работать в рамках правил для частной сети, даже при работе в публичной сети. В Windows 7 (и Server 2008 R2) различные профили могут быть активны для каждого сетевого адаптера. Подключение частной сети работает в соответствие с правилами для частной сети, а трафик публичной сети использует эти правила.
Мелочи, которые имеют большое значение
Во многих случаях увеличение уровня полезности как правило концентрируется вокруг небольших изменений, и компания Microsoft прислушивалась ко мнению своих пользователей и применила некоторые из этих «мелочей, имеющих большое значение» в брандмауэр Windows 7. Например, в Vista, когда вы создаете правило брандмауэра, вам необходимо указать номера портов и IP адреса отдельно. Теперь вы можете указывать диапазон адресов, что значительно сокращает время, затрачиваемое на выполнение этих административных задач.
Можно также создавать правило безопасности подключения, которое указывает то, как порты или протоколы должны соответствовать требованиям IPsec, прямо в консоли брандмауэра, а не использовать команду netsh. Для тех, кто предпочитает графический пользовательский интерфейс, это будет очень полезным усовершенствованием.
Правила безопасности подключений также поддерживают динамическое шифрование. Это означает, что, если сервер получает незашифрованное (но аутентифицированное) сообщение от клиентского компьютера, ассоциация безопасности может быть тут же пересмотрена, чтобы требовать шифрования, а это обеспечивает более безопасное подключение.
Настройка профилей в дополнительных параметрах
Используя консоль Дополнительные параметры (Advanced Settings), вы можете настроить опции для профиля каждого типа сети, как показано на рисунке 3.
Рисунок 3: Можно настраивать опции для каждого сетевого профиля с помощью консоли Дополнительные параметры
Для каждого профиля можно настроить следующие параметры
Статус вкл/выкл для брандмауэра Windows
Входящие соединения (блокировать, блокировать все подключения или разрешить)
Исходящие подключения (разрешить или блокировать)
Оповещения на дисплее (оповещать или нет блокированные программы)
Разрешать ответы unicast на трафик multicast или broadcast
Применение правил локального брандмауэра, созданных локальным администратором, помимо правил групповой политики брандмауэра
Разрешать локальные правила безопасности, созданные локальным администратором, наряду с правила безопасности подключения из групповой политики
Ведение логов
Брандмауэр Vista можно было настраивать на регистрацию событий в файл (по умолчанию Windows\System32\LogFiles\Firewall\pfirewall.log). В Windows 7 события также записываются в разделе Приложения и службы в программе просмотра событий (Applications and Services), где ее легче найти. Чтобы посмотреть этот лог, откройте программу просмотра событий (Event Viewer) в левой панели, выберите Лог приложений и служб (Applications and Services Log) | Microsoft | Windows | Брандмауэр с расширенной безопасностью (Windows Firewall with Advanced Security), как показано на рисунке 4.
Рисунок 4: Windows 7 записывает события брандмауэра в формате Event Viewer, а также в файл
В логе Event Viewer вы можете настраивать вид, фильтрацию, поиск или подробность записи.
Команда Netsh
Windows 7 содержит netsh firewall контекст для обратной совместимости, но если вы выполняете его, вы получите сообщение, которое гласит: "ВАЖНО "netsh firewall" не является командой; используйте команду "netsh advfirewall firewall". Информацию о новой команде можно найти здесь.
Заключение
Windows 7 Firewall улучшает значительно улучшенную версию брандмауэра, которая была включена в Windows Vista, и раскрывает свои скрытые возможности. Многие пользователи, включая некоторых ИТ-профессионалов, не знали о возможности фильтрации исходящего трафика, мониторинге и прочих задачах конфигурации брандмауэра Vista, так как ни одна из этих задач не была явно открытой в приложении брандмауэра в панели управления. В Windows 7 компания Microsoft создала встроенный узел брандмауэра, который более функционален, чем его предшественник, и теперь может представлять реальную конкуренцию аналогичным продуктам сторонних производителей.