Встроенный брандмауэр Windows хр
Сразу после открытия общего доступа к удаленному соединению следует позаботиться о его защите. Для этого, как мы уже говорили во введении в эту главу, первый компьютер (клиент) следует превратить в бастионный хост, который будет отражать атаки из Интернета, пользуясь брандмауэром. Для решения такой задачи можно применить множество программ, однако сейчас мы обсудим инструмент защиты подключений к Интернету, предоставляемый системой Windows ХР, называемый брандмауэром подключений к Интернету Брандмауэр Windows/Общий доступ к Интернету (ICS). Брандмауэр Windows представляет собой инструмент защиты, который функционирует подобно «перегородке» между локальной сетью и внешним миром Интернета и может быть использован для установки ограничений на тип и характер информации, передаваемой через соединение при работе с Интернетом пользователя компьютера. Если же локальная сеть использует общий доступ к Интернету, то брандмауэр Windows может обеспечить защиту подключения к Интернету для всей сети, учтите, что средства общего доступа к Интернету ICS и брандмауэр Windows могут работать независимо друг от друга.
Для дальнейшего обсуждения работы брандмауэра Windows следует запустить его функционирование на первом компьютере (клиенте), исполняющем систему Windows ХР, с этой целью выполните такие шаги.
1. Выполните команду меню Пуск ♦ Панель управления ♦ Сетевые подключения: отобразится диалог Сетевые подключения, пример которого представлен на рис. 22.
2. Щелкните правой кнопкой мыши на значке удаленного подключения, например, Подключение через модем, и в отобразившемся контекстном меню выберите команду Свойства, отобразится диалог свойств соединения, открытый на вкладке Дополнительно.
3. Нажмите кнопку Параметры в области Брандмауэр Windows для того, чтобы защитить компьютер и сеть путем ограничения или прекращения доступа к компьютеру через Интернет. Если служба Брандмауэр Windows/Общий доступ к Интернету (ICS) не запущена, сообщение ОС Windows отобразит диалог Брандмауэр Windows, для запуска службы нажмите Да, как представлено на рис. 62.
Рис. 62. Диалог Брандмауэр Windows
После запуска службы Брандмауэр Windows/Общий доступ к Интернету (ICS) отобразится диалог Брандмауэр Windows, как представлено на рис. 63.
Рис. 63. Диалог Брандмауэр Windows
Для продолжения следует отметить параметр Включить (рекомендуется) и нажать кнопку ОК. Теперь служба Брандмауэр Windows/Общий доступ к Интернету (ICS) включена и можно приступить к настройке сетевого экрана.
4. Чтобы приступить к настройке брандмауэра, снова нажмите кнопку Параметры в области Брандмауэр Windows. На трех вкладках диалога Брандмауэр Windows содержатся следующие наборы параметров.
Вкладка Общие содержит два основных параметра:
Параметр Включить блокирует подключения всех внешних источников к данному компьютеру, кроме выбранных на вкладке исключений. Также включив сетевой экран можно отметить параметр Не разрешать исключения, он рекомендуется при подключениях к открытой сети в менее защищённых местах, например, в аэропорту. Когда Брандмауэр Windows будет блокировать программы, уведомления будут отключены. Источники, выбранные на вкладке исключений, будут игнорироваться.
Параметр Выключить выключает службу Брандмауэр Windows/Общий доступ к Интернету (ICS).
Вкладка Исключения позволяет исключать программы и службы, выбранные в нижнем поле Программы и службы (см. рис. 64).
Рис. 64. Вкладка Исключения диалога Брандмауэр Windows
Как описано выше, «Источники, выбранные на вкладке исключений, будут игнорироваться». Вкладка Исключения позволяет добавлять активные программы, порты, изменять и удалять существующие правила. Параметр Отображать уведомления, когда брандмауэр блокирует программу позволяет показывать всплывающие сообщения при активности какого-либо приложения на компьютере или в сети.
Вкладка Дополнительно содержит четыре основных параметра, как представлено на рис. 65.
Рис. 65. Вкладка Исключения диалога Брандмауэр Windows
Параметры сетевого подключения задействуют активность брандмауэра Windows для перечисленных подключений.
Для настройки дополнительных параметров Подключения через модем нажмите Параметры …, откроется диалог Дополнительные параметры (рис. 66).
На вкладке Службы (рис. 66) можно выбрать службы, работающие в вашей сети, к которым могут получать доступ пользователи Интернета, а также добавлять, изменять и удалять службы.
На вкладке ICMP (рис. 67) содержится список пакетов ICMP, которые применяются для тестирования состояния сети. Конкретное предназначение каждого типа пакета можно узнать, щелкнув на строке с его названием, после чего в нижней части диалога отображается краткое пояснение. Отметка флажка возле названия пакета приводит к исполнению соответствующей ему функции, что, в принципе, сказывается на степени его защищенности.
Рис. 66. Вкладка Службы диалога Дополнительные параметры
Рис. 67. Вкладка ICMP диалога Дополнительные параметры
В ведение журнала безопасности содержатся средства управления записью в журнал событий при устранении неполадок. Для настройки нажмите Параметры …, отобразится диалог параметры журнала, как представлено на рис. 68.
Рис. 68. Диалог Параметры журнала
Параметр Записывать пропущенные пакеты задает запись событий отбрасывания пакетов данных, что происходит при попытках неудачных подключений. Параметр Записывать успешные подключения задает запись в журнал событий успешных подключений к компьютеру пользователей как извне, так и изнутри сети. Остальные параметры позволяют выбрать место хранения журнального файла в поле Имя и его размер в поле с прокруткой Предельный размер.
Протокол ICMP, как и отмечено ранее - это протокол управляющих сообщений Интернета (ICMP), позволяющий компьютерам в сети обмениваться информацией об ошибках и своём состоянии. Данный параметр применяется обобщенно для всех подключений.
Параметры по умолчанию кнопкой По умолчанию… позволяют восстановить все исходные параметры брандмауэра Windows.
Чтобы настроить с помощью перечисленных выше параметров работу службы Брандмауэр Windows/Общий доступ к Интернету (ICS), следует обсудить принципы его работы.
Брандмауэр Windows функционирует как шлюз с сохранением состояния, т.е. при поступлении запроса на подключение брандмауэр принимает решение о запрете или разрешении подключения на основании анализа информации, сохраненной при предыдущих запросах. При сохранении информации для каждого сеанса связи фиксируются параметры как самого соединения, так и подключаемого приложения, и при каждой новой попытке подключения сохраненная информация применяется для оценки и сравнения с текущим запросом с целью разрешения или блокирования запроса.
Более конкретно брандмауэр Windows анализирует источник и цель поступившего сообщения и сохраняет все исходящие сообщения в отдельной таблице. Если на данном компьютере общий доступ к соединению с Интернетом закрыт, отслеживается трафик, исходящий только из данного компьютера, в противном случае - из всей сети. Входящий сетевой трафик из Интернета допускается в компьютер или сеть только в том случае, если из сохраняемой таблицы соединений ясно, что сетевое взаимодействие инициировано компьютером внутри сети.
Если на вкладке Службы, представленной на рис. 66, разрешить подключение внешних пользователей Интернета к какой-либо службе, соответствующий внешний трафик пройдет внутрь сети или компьютера, в противном случае он будет отброшен. Далее, по умолчанию все попытки хакерского сканирования сети пакетами ICMP будут отбрасываться, причем без всякого уведомления пользователя, однако со всеми попытками удачного/неудачного подключения можно будет ознакомиться по записям в журнале.
Все эти возможности позволяют защитить компьютер или локальную сеть от наиболее широко распространенных атак и в то же время обеспечить работу различных сервисов, запущенных в сети. Например, разрешение подключений к службе HTTP обеспечит работу удаленного Web-сервера. Если вам необходимо обеспечить защиту брандмауэром другой службы, не входящей в установленный по умолчанию список на рис. 62, выполните такие шаги:
5. Находясь во вкладке Службы, нажмите Добавить и отобразите диалог Параметры службы, представленный на рис. 69.
Рис. 69. Диалог Параметры службы
6. В поле Описание службы введите произвольное описание службы. Например, добавьте службу обмена мгновенными сообщениями ICQ по запросам через порт 5190 протокола TCP . Введите в поле описания службы – «Служба ICQ».
7. В поле Имя или IP-адрес компьютера (например, 192.168.0.12) укажите имя или IP-адрес компьютера, на котором исполняется добавляемая служба. В данном случае укажите IP-адрес первого компьютера (клиента), а именно 191.168.100.1.
8. В поле Номер внешнего порта службы укажите внешний номер порта, используемый для подключения к добавляемой службе со стороны внешних пользователей. Введите порт 5190 и выберите переключатель для TCP.
9. В поле Номер внутреннего порта службы укажите внешний номер порта, используемый для подключения к добавляемой службе со стороны внутри сетевых пользователей. Результат ввода должен соответствовать рис. 50.
Рис. 70. Диалог добавления службы SNMP
10. Для продолжения нажмите ОК и закройте диалог Параметры службы, добавленная служба отобразится в списке Службы.
По завершении работы: на первом компьютере (клиенте) следует удалить все созданные ранее подключения через модем и удалить добавленный элемент в сетевом окружении (LR1 на сервере); на втором компьютере (сервере) удалить созданные ранее подключения (Входящие подключения) и соответственно удалить сетевую папку (LR1), созданную в 16-ом пункте (см. пункт 16 в разделе «Передача данных с использованием модемов»). Сетевым интерфейсам на всех компьютерах присвоить старые параметры, а именно присвоить IP-адрес, маску, шлюз и DNS-сервер, которые стояли ранее.