Практична частина
Настроювання брандмауера
1. Перейти в Local Security Policy (Control Panel - Administrative Tools)
2. Вибрати рядок "IP security policies..." Там уже є три політики, а потрібно створити нову. Натисніть праву клавішу миші на "IP security policies...", виберіть "Create IP security policy..." Запуститься майстер установки IP політики. Тут пропонується ввести назву політики і її опис. Нехай буде "My first IP security policy".
3. У другому вікні залишіть галочку
4. У наступному вікні залишіть параметри по замовчуванні.
5. У наступному вікні зніміть прапорець – властивості політики відредагуєте пізніше.
6. Тепер у списку політики є ваша. Натисніть праву клавішу миші на "IP security policies...", виберіть "Manage IP filter lists and filter actions..." або натисніть кнопку «Управління списками ІР-фільтрації» на панелі, перейдіть в закладку "Manage Filter Actions".
7. Натисніть клавішу Add – щоб додати додати дію "Deny". Знову запускається майстер.
У другому вікно виберіть дію - "Block" Перше правило - усе, що не дозволено, повинне бути заборонене. Наш підхід буде наступний - забороніть зв'язок з усіма вузлами, а потім будете відкривати те, що потрібно. В останнім вікні натисніть клавішу "Finish", прапорець "Edit Properties" позначати не потрібно.
8. У вікні дій з'явилося - "Deny". Закрийте вікно і перейдіть до редагування створеної політики (для цього двічі клацніть лівою клавішею миші на її назві).
9. Натисніть клавішу "Add". Запуститься майстер. Натисніть Next.
Тут вказується, для якого з'єднання буде діяти правило. Якщо внутрішня мережа має "ліві" IP адреси, то можете вказати "All network connections", забезпечте доступ із внутрішньої мережі окремим рядком. Якщо виділена лінія підключена через віддалений доступ, то можете вибрати "Remote Access", але знову ж, якщо у вас є кілька модемів для доступу клієнтів мережі до сервера по телефоні, те це правило буде діяти й на них, що не завжди корисно. Так що вказуйте "All network connections".
10 . У наступному вікні залиште по замовчуванні..
11. Перше що повинні зробити - заборонити все для всіх. Тому натисніть клавішу Add - щоб додавати фільтр. Запуститься майстер додавання фільтра (те ж саме ви можете зробити через рядок "Manage IP filters list", натиснувши праву клавішу миші на "IP security policies..." у вікні "Local security settings")
Називаємо фільтр "Deny Filter List" і натискаємо клавішу "Add". Знову запускається майстер
12. Тут вказується джерело пакета. Оскільки потрібно заборонити пакети від всіх джерел, то вказуємо "Any IP address". Натисніть "Next". Тут вказується адреса одержувача пакета. Знову ж, забороніть пакети від всіх IP джерел для нашого комп'ютера, тому вкажіть "My IP address". Натисніть "Next". Тут забороніть всі протоколи - виберіть "Any"
Готово - з'явився новий фільтр. Тепер натисніть клавішу Ok
13. З'явився новий список фільтрів. Натисніть Next.
14. Виберіть дію - Deny
15. У політику з'явилося нове правило - заборона всього від всіх і для всіх. Тепер надайте дозвіл. Це сама трудомістка задача.
Спочатку варто дозволити ICMP трафік від всіх користувачів на нашу машину. Для цього виконайте ту ж операцію Add у вікні політики, тільки тепер скористайтеся готовим списком фільтрів All ICMP traffic
16. Даний фільтр дозволяє ICMP пакети з будь-якого IP адреси на наш комп'ютер.
Тепер дія буде Permit. У властивостях політики додався ще один рядок.
Тепер не буде працювати нічого, крім ICMP протоколу. Зараз залишилося виділити ті служби, які потрібні, і прописати для них доступ. Найкраще створити ще один список фільтрів (наприклад, Internet services), додати в нього кілька рядків фільтрів і право permit. Слід зазначити, що за замовчуванням кожна служба додається дзеркально - тобто якщо дозволяєте зв'язок від свого комп'ютера до будь-яких веб-серверів (порт 80), то буде реалізовуватися і зворотний зв'язок для передачі відповіді веб-сервера.
Якщо є локальна мережа з «лівими» адресами, то потрібно прописати для неї доступ - відкрийте всі протоколи з адрес 192.168.1.0 маска 255.255.255.0 (наприклад) до My IP address. Для цього можете створити окремий фільтр "My LAN".