Брандмауэр Windows является составным элементом центра безопасности Windows. Чтобы открыть окно настройки брандмауэра, выберите команду Пуск>Панель управления и щелкните на значке .
В Windows XP начиная с пакета обновлений Service Pack 2 брандмауэр Windows включен по умолчанию. Однако если вы установили отдельный брандмауэр, такой как Agnitum Outpost, встроенный брандмауэр Windows желательно отключить. Сделать это можно, выбрав переключатель Выключить на вкладке Общие брандмауэра.
Рассмотрим принцип его действия. Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, эти попытки называют непредусмотренными запросами. Если на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует данный сетевой запрос. В случае использования на компьютере таких программ, как ICQ или сетевых игр, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр выводит запрос: следует блокировать или разрешить подключение? Если пользователь разрешает подключение, брандмауэр Windows создает специальное исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.
Если идет обмен мгновенными сообщениями (например, по ICQ) с собеседником, который собирается прислать файл (например, фотографию), брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешении передачи фотографии на компьютер. В свою очередь, чтобы насладиться сетевой игрой через Интернет с друзьями, пользователь может добавить эту игру как исключение.
Для настройки исключений перейдите на вкладку . В ней в окне Программы и службы представлен список приложений и служб. Для того чтобы брандмауэр пропускал данные из Интернета, установите флажок напротив нужной программы, а для того, чтобы запретить передачу данных программе из Интернета, снимите флажок.
Для открытия доступа к компьютеру из Интернета через определенный порт щелкните на кнопке Добавить порт .
На вкладке Дополнительно можно указать, для каких именно подключений будет активирован брандмауэр Windows.
Вообще, мой вам совет – установите нормальный брандмауэр, если вас действительно интересует защита Windows. Встроенный брандмауэр Windows XP обеспечивает лишь самую базовую защиту. Лучше, конечно, такая, чем вообще никакой, но в наше время выходить в Интернет без приличной защиты – нонсенс и не кошерно воопче.
Начиная с Windows XP, компания Microsoft начала встраивать в свои операционные системы брандмауэр (файрвол). Он призван защищать компьютер, подключенный к сети, от заражения различными видами вредоносного ПО, а также от несанкционированного доступа. Разумеется, эта защита не всегда соответствует требованиям пользователя, поэтому для ее корректной работы необходимо разобраться, как правильно настроить брандмауэр в Windows XP. В частности, можно давать доступ в сеть определенным программ, минуя запреты файрвола. По умолчанию, в Windows XP брандмауэр защищает все сетевые соединения, однако, для определенных соединений его можно отключить.
Настройки файрвола
Если вы попали на эту страницу, введя в поисковике “не могу настроить брандмауэр”, то рекомендуем вам ознакомиться с инструкцией, приведенной ниже. Чтобы получить доступ к настройкам брандмауэра, необходимо нажать Пуск и выбрать брандмауэр Windows в окне Панель управления.
В появившемся окне вы можете выключить или включить брандмауэр Windows XP для всех соединений. Пункт “Не разрешать исключения” позволяет активизировать режим работы, при котором на экран не будут выводиться оповещения о блокировке. Также произойдет отключение всего списка исключений.
На вкладке “Исключения” пользователь может включить для приложений входящие подключения. Для этого их необходимо отметить флажком. Также можно открыть входящие подключения для какого-то конкретного локального порта.
Во вкладке “Дополнительные настройки” представлены опции, позволяющие для какого-либо подключения. Настроить параметры фильтрации для подключений можно с помощью кнопки Параметры. Также в этом окне можно настроить журнал работы и задать параметры фильтрации протокола ICMP.
Автоматическое создание исключений
Когда на компьютере запускается какое-либо приложение, работающее через определенный порт и ожидающее сетевого подключения, Windows XP покажет окно с запросом, в котором пользователю предоставлен выбор:
Блокировать приложение, которое пытается получить доступ к порту. После нажатия на “Блокировать” оно не сможет подключиться к сети. В список исключений брандмауэра будет добавлено соответствующее правило.
Если пользователь нажмет на кнопку “Разблокировать”, то приложение сможет использовать порт и установить сетевое подключение. В список исключений также будет добавлено соответствующее правило.
Кнопка “Отложить” закрывает программе выход в сеть, однако, исключение не создает. Когда приложение снова попытается использовать порт, запрос будет показан снова. Этот вариант подходит для тех случаев, когда пользователь не уверен, какое именно приложение хочет открыть порт, и не вызовет ли отключение сетевого доступа сбои в работе Windows XP.
Ручная настройка исключений для программ
Если вы заранее знаете, что приложение будет принимать из Интернета входящие подключения и оно не является вредоносным, то вы можете создать для него исключение вручную. Чтобы сделать это, необходимо в окне настройки брандмауэра выбрать “Исключения”. Далее нужно нажать “Добавить программу”. В появившемся окне перечислены установленные в Windows XP программы. Если в данном списке нет программы, которой вы ходите предоставить доступ, то можно указать путь к ней с помощью кнопки “Обзор”. Когда все это будет сделано, нажмите “OK”. Если впоследствии вы захотите закрыть программе доступ в сеть, то можно снять с нее флажок в списке.
Этот урок является продолжением статьи: Сетевой экран .
В операционной системе Windows ХР встроенный сетевой экран должен быть включен по умолчанию. Здесь он называется: "Брандмауэр Windows". Чтобы убедиться в этом и посмотреть настройки брандмауэра, пройдем: - "Панель управления" - "Брандмауэр Windows". Быстрый доступ ко всем компонентам панели управления можно получить, если отображать панель управления как меню. Для этого, надо сделать соответствующие настройки в меню "Пуск" .
Открывается окно "Брандмауэр Windows". На вкладке "Общие" брандмауэр должен быть включен:
Переходим на вкладку "Исключения". Исключения - это те приложения, к которым разрешены входящие сетевые соединения. Разрешенные приложения отмечены флажком. Убираем флажки с неиспользуемых приложений и подтверждаем: "ОК". В данном примере отключены сервисы поддержки МФУ "Hewlett Packard" без которых вполне можно обойтись. Чем меньше разрешено приложений и открыто портов, тем меньше шансов у вредоносных программ проникнуть в компьютер:
Пункт "Отображать уведомление, когда брандмауэр блокирует программу" должен быть включен. В этом случае, при запуске на компьютере приложения, которое прослушивает определенный порт, ожидая сетевого подключения к нему, брандмауэр выдает диалоговое окно-запрос. И здесь мы сами решаем блокировать программу от сетевого подключения или нет.
На вкладке "Дополнительно" регулируются параметры сетевых подключений. А кнопка "По умолчанию" возвращает все настройки брандмауэра к исходным:
Как мы видим, настроить сетевой экран в Windows XP совсем несложно. По результатам тестирований этот брандмауэр достаточно надежен. Плохо то, что он контролирует только входящие соединения. Надо быть внимательным при открытии файлов из сети. Шпионский софт проникнув в компьютер без труда отправит пакеты данных своему хозяину и брандмауэр не сможет блокировать исходящий трафик. Поэтому, желательно заменить встроенный брандмауэр полноценным и надежным фаерволом стороннего производителя. Для этого есть вполне приемлемые решения.
Назначение файрвола
В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, который, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Можно так же задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.
Создание исключений для приложений вручную
Если приложение, которое должно принимать входящие подключения из сети, заранее известно, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения
.
Чтобы создать исключение нужно нажать кнопку Добавить программу...
. откроется окно, пример которого показан ниже.
В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.
Создание исключений для портов
Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающим на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт...
Пример окна для добавления порта в список исключений показан ниже.
В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.
Изменение адресов, с которых разрешено устанавливать подключения
При ручном создании или при редактировании созданного ранее исключения для приложений или порта можно указать диапазон адресов, с которых могут быть установлены подключения к указанному приложению или порту. Для этого предназначена кнопка Изменить область...
, при помощи которой открывается окно, показанное ниже.
В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.
Доступ к дополнительным настройкам файрвола можно получить на вкладке Дополнительно
главного окна настройки файрвола.
- Параметры сетевого подключения здесь перечислены все сетевые подключения, которые существуют на компьютере под защитой встроенного файрвола. Путем установки или снятия флажка напротив каждого из подключений можно включить или выключить файрвол для каждого из подключений. При помощи кнопки Параметры можно настроить параметры работы файрвола для каждого из подключений, если используется общий доступ к этому подключению.
- Ведение журнала безопасности при помощи кнопки Параметры можно настроить протоколирование событий, происходящих во время работы файрвола в журнале работы.
- Протокол ICMP позволяет настроить фильтрацию файрволом сообщений, которыми обмениваются по протоколу ICMP. В частности, можно запретить или разрешить отклик компьютера на команду ping.
- Параметры по умолчанию нажатие кнопки По умолчанию возвращает все настройки файрвола к исходным.
Использование программой памяти и загрузка процессора
Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой сервисом файрвола памяти и о загрузке им процессора.
Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет. Во время SYNфлуда загрузка процессора была максимальной, но работу на компьютере можно было продолжать.
Сканирование системы сканером безопасности Retina
Тестовая машина была просканирована сканером уязвимостей Retina при включенном и выключенном файрволе. Результаты сканирования представлены в таблице ниже.
Результаты сканирования демонстрируют, что включение файрвола закрывает открытые порты и скрывает компьютер в сети.
Онлайн тест файрвола
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IPадрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
Встроенный файрвол Windows XP SP2 не смог пресечь отправку этих данных. Утилита перехватила введенный в Блокноте текст и без какихлибо препятствий и оповещений со стороны файрвола отправила их на свой сервер, что было подтверждено открывшейся страницей со всей собранной информацией.
Встроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный файрвол не сможет.
С одной стороны, работа, проделанная командой Microsoft над встроенным файрволом, существенна, с другой отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще. Хочется надеяться на то, что Microsoft решится в будущих пакетах исправлений или новых версиях операционной системы расширить функциональные возможности файрвола и он сможет контролировать весь трафик, а не только входящий. Нынешняя версия встроенного файрвола может рассматриваться лишь как универсальное решение для защиты от некоторых типов вирусов и ограничения доступа к сервисам операционной системы.
В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, которой, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Появилась возможность задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.
Интерфейс
Доступ к настройкам файрвола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками файрвола показан на рисунке ниже.
Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающем на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт…. Пример окна для добавления порта в список исключений показан ниже.
В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт Не разрешать исключения включает режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.
Файрвол разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек файрвола собраны дополнительные настройки.
В этом окне можно отключить файрвол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файрвола к исходным.
Настройка исключений
Автоматическое создание исключений для приложений
При запуске на компьютере программы, которая должна прослушивать определенный порт, ожидая подключения к нему из сети, файрвол выведет на экран запрос, пример которого показан ниже.
Пользователю предоставляется следующий выбор:
- Блокировать – приложение, попытавшееся открыть порт, будет блокировано и подключится из сети к этому приложению будет невозможно. В списке исключений файрвола будет создано правило блокирующее это приложение.
- Разблокировать – приложению будет предоставлена возможность открыть порт и подключения из сети к приложению, открывшему порт, будут доступны. В список исключений файрвола будет добавлено правило, которое будет и впредь разрешать этому приложению открывать порт для ожидания входящих подключений.
- Отложить – попытка приложения открыть порт будет пресечена, но исключение создано не будет. При следующей попытке приложения открыть порт будет вновь выведен запрос, показанный выше.
Выбор Отложить оптимален, если нет уверенности в том, что за приложение пытается открыть порт, и будет ли нормально работать система после отказа приложению в открытии порта. В принципе, можно заблокировать попытку открытия порта приложением и если выбор будет неверен, то в последствии можно будет исправить автоматически созданное исключение вручную.
Создание исключений для приложений вручную
Если заранее известно приложение, которое должно принимать входящие подключения из сети, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения .
Чтобы создать исключение нужно нажать кнопку Добавить программу…. откроется окно, пример которого показан ниже.
В этом окне в списке программ перечислены те программы, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок необходимо снять.
Создание исключений для портов
Фаейрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающем на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт…. Пример окна для добавления порта в список исключений показан ниже.
В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.
Изменение адресов, с которых разрешено устанавливать подключения
При ручном создании или при редактировании созданного ранее исключения для приложений или порта можно указать диапазон адресов, с которых могут быть установлены подключения к указанному приложению или порту. Для этого предназначена кнопка Изменить область…, при помощи которой открывается окно, показанное ниже.
В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.
Дополнительные настройки файрвола
Доступ к дополнительным настройкам файрвола можно получить на вкладке Дополнительно главного окна настройки файрвола.
- Параметры сетевого подключения – здесь перечислены все сетевые подключения, которые существуют на компьютере под защитой встроенного файрвола. Путем установки или снятия флажка напротив каждого из подключений можно включить или выключить файрвол для каждого из подключений. При помощи кнопки Параметры можно настроить параметры работы файрвола для каждого из подключений, если используется общий доступ к этому подключению.
- Ведение журнала безопасности – при помощи кнопки Параметры можно настроить протоколирование событий, происходящих во время работы файрвола в журнале работы.
- Протокол ICMP – позволяет настроить фильтрацию файрволом сообщений, которыми обмениваются по протоколу ICMP. В частности, можно запретить или разрешить отклик компьютера на команду ping.
- Параметры по умолчанию – нажатие кнопки По умолчанию возвращает все настройки файрвола к исходным.
Вывод
Встроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный файрвол не сможет.
С одной стороны, работа, проделанная командой Microsoft над встроенным файрволом, существенна, с другой – отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще. Хочется надеяться на то, что Microsoft решится в будущих пакетах исправлений или новых версиях операционной системы расширить функциональные возможности файрвола и он сможет контролировать весь трафик, а не только входящий. Нынешняя версия встроенного файрвола может рассматриваться лишь как универсальное решение для защиты от некоторых типов вирусов и ограничения доступа к сервисам операционной системы.
