Расскажем подробно об установке и настройке Windows Firewall, работе и способах управления брандмауэром, а так же обо всех прочих его возможностях.

Microsoft последовательно выполняет обещание закрыть бреши в операционных системах семейства Windows. Пакет обновлений Windows XP SP2 включает в себя брандмауэр Windows Firewall, который поможет усилить защищенность корпоративных сетей. Брандмауэр Windows, являющийся развитием продукта Internet Connection Firewall (ICF), представляет собой персональный брандмауэр, поддерживающий централизованную настройку через групповые политики (GP) службы каталога AD. Брандмауэр ICF хотя и предоставил пользователям систем Windows 2000 средства фильтрования IP пакетов в зависимости от состояния соединения, не получил широкого распространения по нескольким причинам. Во-первых, при установке системы ICF по умолчанию отключен, и, во-вторых, ICF не поддерживает централизованное управление. Напротив, брандмауэр Windows предоставляет средства расширенного ведения журналов, централизованного управления, более детализированные правила фильтрования, одним словом хороший брандмауэр сетевого уровня. И, что приятно, пользователь получает брандмауэр Windows бесплатно и автоматически в составе пакета обновлений Windows XP SP2.

Принципы защиты

Брандмауэры сетевого уровня защищают сеть от атак, при которых злоумышленники отыскивают бреши в защите сети или пытаются использовать уязвимости внутренних серверов сети. Эти брандмауэры не защищают сеть от червей и вирусов, передающихся через легитимный трафик, как, например, вложенные файлы электронной почты или при загрузке файлов из сети. К сожалению, пользователи не всегда подключают свои компьютеры к Internet через защищенные брандмауэром соединения. В аэропорте, гостинице, при посещении клиента или дома - компьютер может быть подключен к небезопасной сети, вне безопасного периметра. Администраторы корпоративных сетей могут минимизировать эти риски, применяя на сетевых компьютерах пользователей персональные брандмауэры, такие как брандмауэр Windows. Персональный брандмауэр работает на более низком уровне стека протоколов, чем прикладные программы и проверяет весть входящий и исходящий трафик на компьютере, на котором он установлен.

Как и другие брандмауэры сетевого уровня, брандмауэр Windows проверяет весь входящий трафик и блокирует весь трафик, который не запрошен пользователем и не разрешен списками доступа ACL. Брандмауэр Windows использует технологию определения состояния подключения для определения запрошенного трафика. При Web-серфинге брандмауэр запоминает соединения браузера и динамически открывает порт для получения данных на локальном компьютере. После закрытия соединения брандмауэр автоматически закрывает порт.

Использование персональных брандмауэров типа брандмауэра Windows на настольных компьютерах в дополнение к общей защите периметра сети позволяет достичь более высокой степени безопасности корпоративной сети. Нередким является сценарий, когда червь заражает ноутбук мобильного пользователя через незащищенное соединение, а затем ноутбук подключается к корпоративной сети, и червь распространяется по корпоративной сети, защищенной только по внешнему периметру. Персональные брандмауэры, установленные на настольных системах, позволяют предотвратить распространение вредоносных программ и минимизировать возможный ущерб.

Использование персональных брандмауэров в корпоративной сети требует значительных усилий со стороны ИТ-персонала, поскольку требует установки и настройки на каждом отдельном компьютере в сети. ICF требует индивидуальной настройки брандмауэра для каждого сетевого адаптера, что делает развертывание защиты весьма трудоемким процессом. Брандмауэр Windows позволяет сократить трудозатраты, защищая компьютер в целом и используя централизованное управление параметрами защиты. Кроме того, брандмауэр Windows является чувствительным к состоянию подключения, т.е. когда компьютер подключен к корпоративной сети, можно использовать более мягкие правила защиты, чем когда компьютер подключен к Internet и необходима максимальная защита. Защиту брандмауэра Windows следует включить даже в случае подключения к локальной корпоративной сети, чтобы исключить распространение червей, использующих для распространения подключение к случайным портам или сканирование портов. Необходимо настроить брандмауэр Windows таким образом, чтобы разрешить работу легальных приложений, таких как удаленный мониторинг и управление, совместный доступ к файлам и другие службы, используемые в корпоративной сети.

Бесконтрольный исходящий трафик

Брандмауэр Windows обеспечивает более тонкую настройку списков контроля доступа ACL, чем ICF, но все еще не обеспечивает такой полноты настроек, как многие продукты, предлагаемые независимыми разработчиками. Брандмауэр проверяет только входящий трафик и либо разрешает, либо запрещает его. Он позволяет настроить правила, разрешающие или запрещающие входящий трафик, разрешая при этом весь исходящий трафик и допустимый запрошенный входящий трафик. Такая конфигурация позволяет блокировать значительную часть внешних атак, допуская при этом работу протоколов удаленного управления. Более сложные персональные брандмауэры анализируют также исходящий трафик, который может быть сформирован программой-шпионом или червем. Microsoft рекомендует использовать фильтрование IP Security (IPSec) и политики управления исходящим трафиком, но следует учитывать, что технология IPSec не имеет средств переключения типа опасное/безопасное подключение, так что придется оставить довольно значительное число открытых портов для разрешения получения обратных вызывов от удаленных компьютеров. Например, если для управления компьютерами используется протокол RPC, можно настроить брандмауэр Windows для приема входящего трафика, а заодно потребуется фильтр IPSec исходящего трафика для проверки исходящего трафика, которому обычно необходимо открыть порт с номером более 1024.

Большинство брандмауэров позволяет задавать правила, учитывающие такие характеристики сетевого трафика, как адрес и протокол. Персональные брандмауэры по определению располагают большей информацией о программах, генерирующих сетевой трафик, поскольку установлены на тех же системах. Брандмауэр Windows использует эту информацию, поддерживая не только ACL для параметров сетевых соединений (например, разрешить использование порта 25, SMTP), но и ACL, наложенные на программы. Например, если создать запись в ACL, позволяющую MSN Messenger подключаться к вашему компьютеру, брандмауэр Windows пропустит любой незатребованный запрос к MSN Messenger, когда он поступит на защищенный компьютер. Таким образом, брандмауэр Windows открывает порты для этого трафика, позволяя беспрепятственно работать программе MSN Messenger.

Брандмауэр Windows позволяет легко настраивать трафик в зависимости от его источника. Например, можно разрешить доступ к указанному компьютеру для других компьютеров сети. Брандмауэр Windows позволяет указать в качестве значения исходящего IP-адреса любой компьютер (Any computer), локальную сеть (подсеть) (My network (subnet)), или список компьютеров и сетей (Custom list). Локальная сеть (подсеть) определяет сегмент сети, в котором установлен данный компьютер. Чтобы разрешить совместное использование файлов и принтеров, можно задать правило, разрешающее использовать отдельные порты (например, TCP 135 -139 и 445) и определить правила, базирующиеся на адресе источника (например, все компьютеры в корпоративной сети). Параметр Custom list позволяет указать список или диапазон адресов IP и масок подсетей (например, 192.168.0.0/255.255.255.0, 192.168.0.10). Возможность использования множественных подсетей и сетей с подсетями важно для больших организаций, использующих сложную систему подсетей в корпоративной сети.

Установка и настройка брандмауэра Windows

При установке XP SP2 происходит автоматическая установка брандмауэра Windows и включение брандмауэра для всех сетевых адаптеров. Ниже будет показано, как отключить брандмауэр Windows перед установкой SP2 - это может потребоваться при использовании других брандмауэров, разработанных сторонними производителями.

Локальная настройка брандмауэра Windows для всех сетевых адаптеров осуществляется через панель управления.

Для выполнения настройки параметров брандмауэра Windows необходимо обладать правами локального администратора.

Брандмауэр Windows может работать в одном из трех режимов - включен (по умолчанию), не разрешать исключения, и выключен. В брандмауэре Windows исключениями называются списки управления доступом ACL. В состоянии "Включен" брандмауэр Windows защищает компьютер, допуская трафик, разрешенный на вкладке исключений (Exceptions). При установке флажка "Не разрешать исключения (Don`t allow exceptions)" брандмауэр Windows блокирует все без исключения входящие незатребованные пакеты, пропуская только затребованные данные и весь исходящий трафик.

Настройка брандмауэра Windows происходит, в первую очередь, путем указания исключений. Для локального управления исключениями необходимо запустить приложение "Брандмауэр Windows" в панели управления и перейти на вкладку исключений (Exceptions).

Эта вкладка позволяет указать приложения и порты, запросы для которых брандмауэр будет пропускать.

Брандмауэр Windows управляет всеми имеющимися на компьютере сетевыми подключениями, но брандмауэр можно отключить для отдельных сетевых адаптеров на вкладке "Дополнительно" (Advanced). Другие настройки на этой вкладке позволяют настраивать ведение журнала и указывать правила для протокола управления ICMP (Internet Control Message Protocol).

Управление брандмауэром Windows через групповые политики

Одним из наиболее ценных качеств брандмауэра Windows является возможность применения групповых политик для управления его настройками на компьютерах пользователей. Групповые политики позволяют централизованно настраивать любые исключения для всех компьютеров в сети. Можно также настраивать различные параметры защиты для отдельных групп пользователей. Например, можно создать организационную единицу (OU) Sales_Laptops, содержащую все ноутбуки отдела продаж. Далее можно создать объект групповой политики Group Policy Object (GPO), который включает брандмауэр Windows только для этой группы компьютеров. Эти настройки будут активированы на ноутбуках отдела продаж, когда эти компьютеры обновят GPO. Этот метод позволяет задать стандартные настройки брандмауэра Windows для любого домена, сайта или OU. Объект групповой политики для брандмауэра Windows позволяет управлять только компьютерами с Windows XP SP2, входящими в данную организационную единицу.

Администратор может использовать новые элементы объекта групповой политики (GPO) брандмауэра Windows, создав объект GPO на компьютере XP SP2. В редакторе групповых политик элементы GPO для брандмауэра Windows расположены в разделе "Конфигурация компьютера, Административные шаблоны Сеть, Сетевые подключения, Брандмауэр Windows" (Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall). Использование групповых политик для управления брандмауэром Windows позволяет запретить пользователю менять эти настройки локально, даже если пользователь обладает правами локального администратора. Объект GPO "Разрешить исключения для локальных портов" (Allow Local Port Exceptions) позволяет разрешить или запретить изменение настроек брандмауэра Windows локальному администратору. Новые объекты GPO для управления брандмауэром Windows перечислены ниже:

• Windows Firewall: Protect all network connections  - брандмауэр Windows: Защитить все сетевые соединения
• Windows Firewall: Do not allow exceptions - брандмауэр Windows: Не разрешать исключения
• Windows Firewall: Define program exceptions - брандмауэр Windows: Задать исключения для программ
• Windows Firewall: Define port exceptions - брандмауэр Windows: Задать исключения для портов
• Windows Firewall: Allow local port exceptions - брандмауэр Windows: Разрешить исключения для локальных портов
• Windows Firewall: Allow local program exceptions - брандмауэр Windows: Разрешить исключения для локальных программ
• Windows Firewall: Allow remote administration exception - брандмауэр Windows: Разрешить исключения для удаленного администрирования
• Windows Firewall: Allow file and printer sharing exception - брандмауэр Windows: Разрешить исключения для совместного использования файлов и принтеров
• Windows Firewall: Allow ICMP exceptions - брандмауэр Windows: Разрешить исключения ICMP
• Windows Firewall: Allow Remote Desktop exception - брандмауэр Windows: Разрешить исключения удаленного доступа к рабочему столу
• Windows Firewall: Allow UPnP framework exception - брандмауэр Windows: Разрешить исключения UPnP framework
• Windows Firewall: Prohibit notifications - брандмауэр Windows: Запретить уведомления
• Windows Firewall: Allow logging - брандмауэр Windows: Разрешить ведение журналов
• Windows Firewall: Prohibit unicast response to multicast or broadcast requests - брандмауэр Windows: Запретить одноадресные ответы на многоадресные или широковещательные запросы

Управление брандмауэром Windows из командной строки

Программа Netsh позволяет выполнять настройку клиентов брандмауэра Windows из командной строки напрямую или через пакетный файл. Например, команда

netsh firewall show config

показывает текущее состояние брандмауэра Windows на компьютере клиента.

Netsh позволяет управлять почти всеми параметрами брандмауэра Windows, так что администраторы, активно использующие в работе сценарии, могут использовать сценарии подключения к домену для настройки и проверки работы брандмауэра Windows.

Например, приведенная ниже команда Netsh создает локальное правило брандмауэра, разрешающее доступ по Telnet к компьютеру, защищенному брандмауэром Windows, с указанных адресов.

netsh firewall add portopening

 protocol = TCP port = 23

 name = Telnet mode = ENABLE

 scope = CUSTOM addresses =

 192.168.0.0/255.255.255.0,

 10.0.0.0/255.255.240.0

Эту команду можно было сократить, исключив имена атрибутов:

netsh firewall add portopening

 TCP 23 Telnet ENABLE CUSTOM

 192.168.0.0/255.255.255.0,

 10.0.0.0/255.255.240.0

Результат исполнения приведенных выше команд можно проверить с помощью команды

netsh firewall show portopening

Доменные профили и локальные профили

Еще одна полезная особенность брандмауэра Windows - возможность выбора одного из двух режимов работы - стандартный или работа в домене - в зависимости от того, к какой сети подключен в данный момент компьютер. Для каждого из режимов можно задать собственный набор исключений. Например, можно разрешить совместное использование файлов на компьютере только при подключении к домену. Брандмауэр Windows сравнивает имя текущего домена AD с суффиксом DNS конфигурации IP для определения, какой из режимов использовать в данный момент. Для настройки доменного и стандартного профилей запустите объект GPO "Брандмауэр Windows" и выберите объект для настройки.

Настройка исключений

Брандмауэр Windows содержит несколько предопределенных исключений, которые разрешают сетевой доступ для некоторых общих системных задач, таких как удаленное управление и совместное использование файлов и принтеров. В таблице перечислены включенные по умолчанию исключения брандмауэра Windows, а также открытые порты и использующие их программы.

Администратор может также задать собственный набор исключений локально через приложение "Брандмауэр Windows" в панели управления или удаленно с использованием механизма групповых политик. Для этого достаточно просто указать имя программы, которая генерирует трафик или сетевые параметры (номер порта TCP или UDP) и адрес источника, а затем разрешить сформированное исключение в брандмауэре Windows.

Предопределенные исключения предоставляют более гибкие возможности настройки, чем пользовательские, поскольку в них допускается задание нескольких портов в одном правиле. Например, исключение для совместного доступа к файлам и принтерам разрешает использование портов TCP 139, TCP 445, UDP 137 и UDP 138. При создании пользовательского исключения система позволяет указать только один порт, так что для открытия диапазона портов необходимо создать набор исключений для каждого порта. При этом допускается создание пользовательских областей, т.е. адресов IP или диапазонов адресов IP, для которых разрешен обмен. Это позволяет задавать наборы портов для предопределенных и для пользовательских исключений.

Администраторы корпоративных сетей для настройки брандмауэра Windows могут использовать групповые политики. При этом необходимо указать порт (например, 80), транспорт (TCP или UDP), область, статус (разрешен или запрещен), и имя соединения. Конструкция имеет вид Порт:Транспорт:Область:Статус:Имя (Port:Transport:Scope:Status:Name).

Синтаксис описания области для объекта групповых политик немного отличается от используемого в приложении "Брандмауэр Windows" (наверное, это может быть вызвано расхождениями в версиях RC2 и финальной версией SP2). В RC2 область GPO определялась как "*" (весь трафик), localsubnet (трафик локальной подсети) и адреса IP (например, 10.0.0.1 или сокращенная запись CIDR, Classless Inter-Domain Routing, вида 192.168.0.0/24, где 24 указывает количество разрядов в маске подсети). Например, параметры "1433:TCP:10.0.0.1:Enabled:MSSQL" и "23:TCP:192.168.0.0/24:Enabled:Telnet" разрешают входящие соединения MS SQL Server, использующие порт 1433 только для хоста 10.0.0.1, и соединения Telnet, использующие порт 23 TCP из подсети 192.168.0.0/24.

Ведение журнала

Можно настроить брандмауэр Windows для ведения журнала в виде текстового файла на локальном компьютере или сетевом диске. Брандмауэр Windows может записывать события блокирования пакетов и успешных подключений. Журнал содержит необходимые сведения для устранения неисправностей и ошибок при невозможности подключиться к необходимым ресурсам или просмотре разрешенных соединений.

Ниже приведен пример содержимого журнала.

Файл журнала содержит два отказа в запросе на совместное использование файла и одно успешное соединение RDP
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - RECEIVE
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - RECEIVE
2004-06-19 21:03:16 OPEN TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - - -

В первых двух строках содержатся сведения о заблокированных попытках подключения к общей папке, а в последней строчке - сведения об успешном подключении RDP через порт 3389 TCP.

По умолчанию брандмауэр Windows выдает пользователю предупреждение о том, что некоторая программа пытается использовать указанный порт. При централизованной настройке брандмауэра Windows через групповые политики администратор может по своему желанию отключить выдачу предупреждений пользователям.

Отключение брандмауэра Windows

При использовании персональных брандмауэров от третьих фирм или защищенного протокола IPSec, администратор при установке XP SP2 может решить отключить брандмауэр Windows. Это можно сделать несколькими способами. Во-первых, если компьютеры являются членами домена, можно просто создать объект GPO, отключающий брандмауэр Windows. Для этого надо указать в GPO следующие настройки:

При использовании персональных брандмауэров от третьих фирм или защищенного протокола IPSec, администратор при установке XP SP2 может решить отключить брандмауэр Windows. Это можно сделать несколькими способами. Во-первых, если компьютеры являются членами домена, можно просто создать объект GPO, отключающий брандмауэр Windows. Для этого надо указать в GPO следующие настройки:

При использовании персональных брандмауэров от третьих фирм или защищенного протокола IPSec, администратор при установке XP SP2 может решить отключить брандмауэр Windows. Это можно сделать несколькими способами. Во-первых, если компьютеры являются членами домена, можно просто создать объект GPO, отключающий брандмауэр Windows. Для этого надо указать в GPO следующие настройки:

Disable:

Domain profile--Windows Firewall:
 Protect all network connections

Standard profile--Windows Firewall:
 Protect all network connections

Enable:

Prohibit use of Internet Connection
 Firewall on your DNS domain network

Если требуется отключить брандмауэр Windows, когда компьютеры работают в домене, но использовать защиту для удаленных пользователей, когда они работают не в корпоративной сети, можно использовать следующую настройку:

Disable:

Domain profile--Windows Firewall:
 Protect all network connections

Enable:

Standard profile--Windows Firewall:
 Protect all network connections

Prohibit use of Internet Connection
 Firewall on your DNS domain network

Если компьютеры Windows XP не являются членами домена Windows 2003 или Windows 2000, поддерживающего групповые политики, для отключения брандмауэра Windows можно изменить текстовый файл конфигурации netfw.inf и сохранить его вместе с остальными установочными файлами XP SP2. Добавьте в раздел [ICF.AddReg.StandardProfile] строку HKLM,"SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile","EnableFirewall", 0x00010001,0. Более подробную информацию об использовании файла netfw.inf для управления развертыванием брандмауэра Windows можно почерпнуть в документации Microsoft.

Администратор может также использовать редактор реестра для отключения брандмауэра Windows на компьютерах перед установкой XP SP2. Для этого необходимо добавить в реестр два параметра (тип DWORD): HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ DomainProfile\ EnableFirewall=0 и HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ StandardProfile\ EnableFirewall=0.

Для выбора специальных настроек брандмауэра Windows можно также изменить файл unattend.txt. Необходимые сведения можно найти в документе "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2".

Всем пользователям по брандмауэру

Усовершенствованный брандмауэр Windows Firewall, включающийся по умолчанию при установке XP SP2, обеспечивает хорошую защиту компьютерами и поможет индивидуальным и корпоративным пользователям. Предварительно настроенные правила и исключения помогут менее опытным администраторам быстро настроить брандмауэр Windows; при этом брандмауэр предоставляет также возможность тонкой настройки, позволяя обеспечить соответствие различным требованиям и сценариям использования. Управление брандмауэром может производится через групповые политики, то есть можно создать требуемую групповую политику и применить ее централизованно к группе компьютеров. То, что брандмауэр Windows предоставляется бесплатно, может оказать решающее влияние на выбор многих корпоративных пользователей для защиты компьютеров.