11.3. Использование стандартного брандмауэра Windows 7
11.3. Использование стандартного брандмауэра Windows 7
Бастион (он же брандмауэр, он же firewall) — это пакетный фильтр, позволяющий защитить ваш компьютер от действия вредоносных программ, сетевых червей, нежелательного трафика и всевозможных атак.
Разберемся, как работает бастион. Данные по сети передаются частями, которые называются пакетами. Каждый пакет состоит из двух основных частей — области заголовков и области данных. Первая область содержит служебную информацию — IP-адрес отправителя пакета, IP-адрес получателя пакета, порт отправителя и получателя и др. Вторая область содержит передаваемые данные — часть электронного письма, часть файла, часть голосового сообщения и т. д. Брандмауэр (привыкайте к разным названиям) перехватывает все сетевые пакеты и сопоставляет область заголовка (иногда и область данных) набору правил. Набор правил обычно задается администратором системы. Например, вы можете запретить обращение к определенному узлу. Это может понадобиться, чтобы другие пользователи (ваши дети) не смогли получить доступ к нежелательным узлам.
Брандмауэры обычно устанавливаются на так называемых граничных компьютерах — компьютерах, предоставляющих доступ к Интернету другим пользователям сети. Существуют также аппаратные брандмауэры — специальные устройства, которые выполняют маршрутизацию и фильтрацию пакетов. Скорее всего, такой брандмауэр установлен у вашего провайдера или же встроен в маршрутизатор, предоставляющий локальным компьютерам доступ к Интернету. Но, как показывает практика, рабочие станции требуют дополнительной защиты, поскольку администратор сети не может проконтролировать все компьютеры сети (особенно это сложно сделать с сетью провайдера — ведь для максимальной защиты нужно пройтись по всем клиентам и защитить каждый компьютер). Поэтому весьма желательно установить локальный брандмауэр.
Сейчас мы рассмотрим приемы работы со стандартным брандмауэром Windows 7. Не нужно сразу отключать его, напрасно вы думаете, что раз стандартное — значит плохое. Как раз к брандмауэру Windows 7 это не относится. За 2 месяца работы под «протекторатом» этого брандмауэра в моем компьютере не поселился ни один вирус, при этом даже не был установлен антивирус. На мой взгляд, это довольно неплохо. К тому же новый брандмауэр Windows 7 довольно гибок в настройке и по этой самой гибкости он не уступает бастионам посторонних разработчиков.
Откройте панель управления, выберите вид Мелкие значки и запустите апплет Брандмауэр Windows (рис. 11.10).
Вы увидите окно брандмауэра Windows (рис. 11.11).
Вы можете задать параметры брандмауэра для сети каждого типа (команда Включение и отключение брандмауэра). По умолчанию брандмауэр включен для сети каждого типа (рис. 11.12).
Теперь разберемся, как разрешить (или запретить) какой-то программе подключаться к Интернету. Выберите команду Разрешить запуск программы или компонента через брандмауэр Windows. Из рис. 11.13 понятно, что программе Skype разрешен доступ к Интернету через домашнюю и публичную сеть.
Программа Skype была добавлена в список брандмауэра автоматически при установке инсталлятором программы. Если инсталлятор программы не такой умный и он не добавил программу в список разрешенных программ, тогда нажмите кнопку Разрешить другую программу. В появившемся окне (рис. 11.14) вы можете или выбрать программу из списка или нажать кнопку Обзор и выбрать ее исполнимый файл. Я добавил Total Commander в список разрешенных программ.
Обратите внимание: по умолчанию программе разрешается работать только в домашней, но не в публичной сети. Когда вы, например, подключитесь через Wi-Fi-соединение в библиотеке или в отеле, то у вашей программы не будет доступа к Интернету. Чтобы исправить это, включите флажок Публичные напротив имени программы (рис. 11.15).
Вернитесь в основное окно настройки брандмауэра и нажмите кнопку Дополнительные параметры (в левой части окна). Откроется окно, позволяющее более гибко настроить брандмауэр (рис. 11.16).
Первым делом нажмите кнопку Свойства (в правой части окна). Откроется окно свойств брандмауэра (рис. 11.17). В этом окне можно просмотреть состояние брандмауэра (включен или выключен), включить или выключить брандмауэр при необходимости. Также это окно позволяет выяснить, что брандмауэр делает с входящими и исходящими соединениями. По умолчанию входящие соединения блокируются (так и нужно — ведь у вас же клиентская машина, а не сервер), а исходящие — разрешаются.
Обратите внимание, что окно свойств содержит три вкладки с одинаковыми параметрами:
? Общий профиль — задает режим работы брандмауэра, если компьютер подключен к общественной (публичной) сети;
? Частный профиль — то же самое, но для домашней сети;
? Профиль домена — если компьютер подключен к корпоративной сети.
Вкладка Параметры IPSec позволяет задать параметры IPSec. IPSec — это набор протоколов для обеспечения безопасности передаваемых по сети данных. Обычно не нужно изменять параметры на этой вкладке.
Вернемся в окно дополнительных параметров (см. рис. 11.16). В этом окне можно создать и изменить правила для входящих и исходящих соединений (рис. 11.18). Правило определяет, что брандмауэр должен делать в той или иной ситуации. Например, правило для Total Commander определяет действия брандмауэра (разрешить или запретить соединение), когда к сети обращается эта программа.
Зеленым флажком отмечены активные правила, серым — отключенные правила. Для включения/выключения правила используется команда Включить правило или Отключить правило (она находится в правой части окна).
Выделите правило и нажмите кнопку Свойства. Появится окно редактирования правила. Самая важная вкладка — Протоколы и порты (рис. 11.19).
Здесь вы определяете порты, которые можно использовать программе. Каждому протоколу сопоставлен свой порт, например, номер порта 21 — это протокол FTP (File Transfer Protocol), 80 — HTTP (Hyper Text Transfer Protocol), 110 — POP (Post Office Protocol). По умолчанию программе разрешено использовать любые порты, но вы можете указать список портов, которые должна использовать именно эта программа. Список портов можно указывать как через запятую, так и с использованием диапазона, например, 21, 110–120.
Теперь попробуем создать новое правило. Предположим, что вы не хотите, чтобы пользователи этого компьютера (например, ваши дети) использовали ICQ. Это наша задача, и сейчас мы ее реализуем с помощью настроек брандмауэра. Нажмите кнопку Создать правило (она находится в правой части окна дополнительных параметров, в области Действия). В появившемся окне нужно будет выбрать тип правила. В нашем случае нас интересуют правила или Для программы или Для порта. Правило для программы может разрешить или запретить (в нашем случае) доступ программы к Интернету. Вы можете выбрать программу, например, icq.exe и запретить ей доступ. Но это правило не заблокирует другие ICQ-клиенты. То есть ваши дети могут установить QIP или Миранду и они смогут общаться в ICQ. Следовательно, нужно выяснить, какие порты использует тот или иной сетевой сервис (в этом вам поможет Google). ICQ использует порты 5190 и 443. Запретим эти порты. Выберите тип правила Для порта (рис. 11.20).
Далее нужно выбрать протокол (TCP) и указать порты 5190 и 443 (через запятую), рис. 11.21.
Следующий шаг — выбор действия (рис. 11.22). В нашем случае нам нужно блокировать подключение.
А после этого брандмауэр предоставит нам возможность выбора профиля, для которого будет применяться правило (рис. 11.23). Выберите сразу три профиля — Доменный, Частный, Публичный.
Последний шаг — это задание имени для нашего правила (рис. 11.24). Описание вводить необязательно. На этом все, правило создано. Вы можете выключить его, когда вам самим понадобится ICQ. Удалять правило необязательно.
Данный текст является ознакомительным фрагментом.