Начиная с Windows XP, компания Microsoft начала встраивать в свои операционные системы брандмауэр (файрвол). Он призван защищать компьютер, подключенный к сети, от заражения различными видами вредоносного ПО, а также от несанкционированного доступа. Разумеется, эта защита не всегда соответствует требованиям пользователя, поэтому для ее корректной работы необходимо разобраться, как правильно настроить брандмауэр в Windows XP. В частности, можно давать доступ в сеть определенным программ, минуя запреты файрвола. По умолчанию, в Windows XP брандмауэр защищает все сетевые соединения, однако, для определенных соединений его можно отключить.
Если вы попали на эту страницу, введя в поисковике “не могу настроить брандмауэр”, то рекомендуем вам ознакомиться с инструкцией, приведенной ниже. Чтобы получить доступ к настройкам брандмауэра, необходимо нажать Пуск и выбрать брандмауэр Windows в окне Панель управления.
В появившемся окне вы можете выключить или включить брандмауэр Windows XP для всех соединений. Пункт “Не разрешать исключения” позволяет активизировать режим работы, при котором на экран не будут выводиться оповещения о блокировке. Также произойдет отключение всего списка исключений.
На вкладке “Исключения” пользователь может включить для приложений входящие подключения. Для этого их необходимо отметить флажком. Также можно открыть входящие подключения для какого-то конкретного локального порта.
Во вкладке “Дополнительные настройки” представлены опции, позволяющие для какого-либо подключения. Настроить параметры фильтрации для подключений можно с помощью кнопки Параметры. Также в этом окне можно настроить журнал работы и задать параметры фильтрации протокола ICMP.
Когда на компьютере запускается какое-либо приложение, работающее через определенный порт и ожидающее сетевого подключения, Windows XP покажет окно с запросом, в котором пользователю предоставлен выбор:
Блокировать приложение, которое пытается получить доступ к порту. После нажатия на “Блокировать” оно не сможет подключиться к сети. В список исключений брандмауэра будет добавлено соответствующее правило.
Если пользователь нажмет на кнопку “Разблокировать”, то приложение сможет использовать порт и установить сетевое подключение. В список исключений также будет добавлено соответствующее правило.
Кнопка “Отложить” закрывает программе выход в сеть, однако, исключение не создает. Когда приложение снова попытается использовать порт, запрос будет показан снова. Этот вариант подходит для тех случаев, когда пользователь не уверен, какое именно приложение хочет открыть порт, и не вызовет ли отключение сетевого доступа сбои в работе Windows XP.
Если вы заранее знаете, что приложение будет принимать из Интернета входящие подключения и оно не является вредоносным, то вы можете создать для него исключение вручную. Чтобы сделать это, необходимо в окне настройки брандмауэра выбрать “Исключения”. Далее нужно нажать “Добавить программу”. В появившемся окне перечислены установленные в Windows XP программы. Если в данном списке нет программы, которой вы ходите предоставить доступ, то можно указать путь к ней с помощью кнопки “Обзор”. Когда все это будет сделано, нажмите “OK”. Если впоследствии вы захотите закрыть программе доступ в сеть, то можно снять с нее флажок в списке.
Добрый день уважаемые читатели, с вами Тришкин Денис.
Более десяти лет назад корпорация Microsoft представила общественности Windows XP SP 2. В этой операционной системе любопытные пользователи сразу заметили новое приложение для защиты компьютера от вредоносного ПО. Одним из людей был и я.
Сегодня мне хочется рассказать вам, что такое брандмауэр Windows, какие его основные функции и всю связанную с ним информацию. Ведь наверняка это интересно не только мне.
Многие пользователи хотят знать, что такое брандмауэр в Windows, также называется Firewall (фаерволл).
Если компьютер не имеет защиты, к личной информации могут получить доступ злоумышленники. Это происходит посредством вредоносного программного кода (известного как вирус), способного не только вывести систему из строя, но и полностью уничтожить файлы. Служба создана специально для блокирования подобных действий.
Обратите внимание, что защиту нужно использовать всегда, независимо от типа соединения с «мировой паутиной » (модем, кабель, спутник).
увеличить
В каждой сети есть определенный порт, позволяющий той или иной информации попасть в компьютер или обратно в виртуальное пространство. Наличие таких каналов напрямую зависит от типа получаемого или отправляемого трафика.
Если с компьютера не поступал запрос на передачу каких-либо данных, брандмауэр блокирует порт до того, как он доберется до рабочей станции. Иногда установка некоторого ПО, включая онлайн-игры, может открыть доступ к некоторым шлюзам, что снизит уровень безопасности.
Встроенная стандартная программа защиты есть во всех версиях Windows, начиная с XP SP 2. Для проверки наличия необходимо зайти в «Панель управления», а потом выбрать Firewall или Security Center. В новых ОС от Microsoft пункт «Брандмауэр» вынесен отдельно.
Защиту системы можно включить, как и многие другие программы этой оболочки. Нужно сделать следующее:
Для проверки работы фаервола на новых ОС от Microsoft нужно:
Кроме новых программ в список обязательно входят все стандартные приложения и дополнения – установленные вместе с ОС.
Иногда появляется необходимость добавить в исключения уже имеющееся обеспечение. Для этого нужно выбрать «Изменить параметры
», «Разрешить другую программу
» и нажать на подходящей. Если в перечне нет – поможет кнопка «Обзор
».
увеличить
Некоторые версии операционных систем не имеют встроенного Firewall. Чтобы защитить рабочую машину от вредоносного ПО, нужно обязательно установить его. Для этого используются программные или аппаратные брандмауэры.
Аппаратные
К ним относятся многие беспроводные точки доступа и маршрутизаторы, обеспечивающие нужный уровень безопасности домашним сетям. Использовать этот вид можно и в рабочих целях. Единственное, что меняется – масштабы оборудования, позволяющего обслуживать большее количество пользователей.
Программные
Этот вид защиты прекрасно подходит для личных компьютеров. По большей части он разрабатывается другими производителями. В основном к ним относятся так называемые антивирусы, которые кроме защиты файлов, предлагают и безопасность трафика. Нередко предоставляется и множество других дополнительных функций. Самыми известными из них можно смело назвать Kaspersky и NOD. Это платные программы, которые считаются действенней остальных.
К сожалению, они также потребляют много ресурсов компьютера, заставляя работать остальное ПО медленнее. Но если выбирать, нужны ли они или нет, смело можно заявить – да. Учитывая просто невероятное количество различных вирусов, занести «заразу » без этих программ можно многими способами.
Сам по себе Firewall не может на все 100% защитить систему. Вместе с тем софт выполняет ключевые функции. Поэтому в первую очередь устанавливается он (или просто включается), а потом предпринимаются дополнительные меры. Они могут состоять из обновления системы или установки антивируса.
Все чаще сегодня пользователи компьютера подключаются не только к Интернету, но и к сетям, состоящим из нескольких устройств. И не ясно, нужно ли включать брандмауэр на одном аппарате или сразу на всех.
Специалисты, разрабатывающие это ПО, рассказали, что программу нужно задействовать не только на всех машинах сети, но и проверять, чтобы она охватывала каждое подключение.
увеличить
Главное – фаервол всегда должен работать, если не используется стороння программа. Это позволит обезопасить свой компьютер. При этом в 95% случаях спасет сборка со стандартными параметрами. Если присутствует программа стороннего разработчика, скорее всего обычный брандмауэр автоматически отключится. Это предусмотрено, чтобы не возникало конфликтов внутри системы.
Одним из наиболее долгожданных событий этого года был выпуск второго пакета обновлений для операционной системы MS Windows XP. Окончательная версия появилась в открытом доступе в прошлом месяце и стала предметом множества дискуссий. Недавно мы уже опубликовали . Существенная доля изменений затронула работу системы в сети. Появился новый Мастер настройки беспроводной сети, был существенно доработан встроенный брандмауэр системы, теперь он носит название Windows Firewall, а также многое-многое другое. В нашем материале мы рассмотрим настройку брандмауэра и беспроводной сети в Windows XP SP2.
Как и предполагалось, новые функции SP2, в первую очередь, затрагивают наиболее актуальные сегодня направления: безопасность системы и беспроводную связь.
В Windows XP SP2 появился новый межсетевой экран (Windows Firewall), заменивший Internet Connection Firewall (ICF) в Windows XP с SP1 и в "чистой" установке. Межсетевой экран запрещает пришедший из Интернета трафик, пропуская:
В SP2 брандмауэр был усовершенствован. Впрочем, напомним, что в системах на ядре NT5 (Windows 2000, XP) уже присутствует неплохой брандмауэр, доступный через Windows IP Security Policy (Локальная политика безопасности -> Политика безопасности IP).
Брандмауэр Windows IP Security Policy.
Брандмауэр для соединения раньше включался на закладке "Дополнительно".
В Windows XP с SP1 и в "чистом" варианте брандмауэр ICF по умолчанию был отключён для всех соединений. Включить его можно было с помощью Мастера при создании нового подключения к Интернету, или через закладку "Дополнительно" в свойствах соединения. При этом допускалось пропускание трафика снаружи по фильтрам портов TCP или UDP.
В Windows XP SP2 произошло много изменений, в том числе:
Для перехода к настройке брандмауэра Windows можно воспользоваться значком панели управления "Центр обеспечения безопасности", нажав который, вы запустите интерфейс управления. В нижней части "Настройки параметров безопасности" выберите "Брандмауэр Windows". (Примечание: если в "Панели управления" у вас включён классический вид, то просто выберите значок "Брандмауэр Windows"). На первой странице можно включить/выключить брандмауэр, а также задействовать параметр "Не разрешать исключения" , что удобно использовать при подключении к сетям, надёжность которых не гарантирована. Скажем, когда вы работаете в публичном хот-споте. При этом настройки на закладке "Исключения" игнорируются.
Приведём типичный сценарий: в локальной сети вашей организации вы отдали папку на вашем ноутбуке в общий доступ (установили исключение "Общий доступ к файлам и принтерам" - см. пример ниже). Затем вы уезжаете в командировку - и подключаетесь к гостевой сети, чтобы почитать почту. В этом случае и следует устанавливать галочку "Не разрешать исключения"
, чтобы к вашей папке никто не получил доступ.
Брандмауэр Windows SP2.
Отметим, что если вы используете Интернет только для просмотра web-страниц или чтения почты, то исключения вам не потребуются вообще. Они нужны в том случае, если на вашем компьютере работают какие-либо специальные или серверные программы (ftp-сервер, www-сервер), или вы желаете предоставить доступ к своим папкам в сеть. Чтобы настроить исключения, необходимо перейти на закладку "Исключения"
. Здесь уже присутствует несколько служб по умолчанию. Отметим, что закладка "Дополнительно" позволяет указывать исключения отдельно по соединениям (см. ниже). На закладке "Исключения" указываются исключения, которые будут действовать для всех соединений.
Службы по умолчанию на закладке "Исключения".
Если вы желаете обеспечить доступ к вашей папке в сети, то можете указать соответствующую галочку "Общий доступ к файлам и принтерам". В список исключений можно добавлять программы или порты. Мы рассмотрим пример web-сервера Apache.
В принципе, во время установки программы Windows XP сама предупредит вас, что для неё следует добавить исключение, как показано на следующей иллюстрации.
Запрос на исключение.
Если вы нажмёте клавишу "Разблокировать", то для данной программы (web-сервера Apache) будет добавлено исключение.
Для Apache было добавлено исключение.
Исключения можно добавлять и вручную. Для этого следует воспользоваться клавишами "Добавить программу" или "Добавить порт".
Исключение для программы (web-сервера Apache) можно добавлять и вручную.
Исключение для порта 80 (опять же, web-сервер Apache).
Для добавления исключения вы можете использовать либо программу, либо порт - подойдёт любой из этих способов. Пользуйтесь тем, который вам удобнее.
Обратите внимание, что для каждого исключения можно задать область действия:
Последний вариант позволяет задать список IP-адресов (включая маску), для которых будет действовать исключение. Следует отметить, что тот же "Общий доступ к файлам и принтерам" Windows по умолчанию ограничивается только локальной сетью. Так что хакеры из Интернета к вам не проберутся.
Область для "Общего доступа к файлам и принтерам" ограничена локальной сетью.
Изменить область можно при добавлении исключения (клавиша "Изменить область") или позже, выбрав исключение и нажав клавишу "Изменить", а затем "Изменить область".
В нижней части закладки исключений находится флажок "Отображать уведомление, когда брандмауэр блокирует программу" . Если вы желаете, чтобы соответствующее окно с сообщением появлялось при каждом таком случае, то флажок следует установить, если же не хотите отвлекаться, - убрать.
Последняя закладка настроек брандмауэра "Дополнительно"
бывает очень полезна. Начнём с того, что брандмауэр можно включать или выключать для определённого сетевого соединения.
Закладка "Дополнительно".
Скажем, вы можете полностью отключить брандмауэр для локальной сети (просто убрав галочку) и оставить его для беспроводной сети или подключения к Интернету. Впрочем, лучше так не делать - воспользуйтесь исключениями.
На закладке "Дополнительно" можно настроить брандмауэр отдельно для каждого подключения. Например, тот же web-сервер Apache можно использовать для обслуживания только клиентов локальной сети. Для этого удалите исключение (закладка "Исключения"), а затем на закладке "Дополнительно" выберите нужное сетевое соединение (скажем, локальную сеть) и нажмите клавишу "Параметры".
Добавление исключения для отдельного соединения.
В нашем примере достаточно указать службу "Веб-сервер (HTTP)". После этого клиенты локальной сети смогут подключаться к вашему web-серверу. Также вы можете добавить и свою службу (клавиша "Добавить"), но для этого необходимо знать её рабочий порт. Отметим, что добавить исключения по приложению здесь не получится - эта функция работает только для общих исключений (закладка "Исключения").
Здесь же, в окне "Дополнительные параметры" можно регулировать работу протокола ICMP для каждого соединения (закладка "ICMP"). Мы рекомендуем указывать галочку "Разрешить запрос входящего эха", чтобы вы могли проверять работу сети командой "ping" с других компьютеров на ваш. Впрочем, ICMP можно настроить и для всех подключений сразу (см. ниже).
Настройка ICMP для отдельного сетевого соединения.
Следующей на закладке "Дополнительно" идёт область "Ведение журнала безопасности" . Клавиша "Параметры" позволяет задать название файла журнала, размер и параметры записей. Включив ведение журнала, вы сможете отслеживать работу брандмауэра.
Назначение файрвола
В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, который, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Можно так же задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.
Если приложение, которое должно принимать входящие подключения из сети, заранее известно, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения
.
Чтобы создать исключение нужно нажать кнопку Добавить программу...
. откроется окно, пример которого показан ниже.
В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.
Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающим на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт...
Пример окна для добавления порта в список исключений показан ниже.
В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.
При ручном создании или при редактировании созданного ранее исключения для приложений или порта можно указать диапазон адресов, с которых могут быть установлены подключения к указанному приложению или порту. Для этого предназначена кнопка Изменить область...
, при помощи которой открывается окно, показанное ниже.
В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.
Доступ к дополнительным настройкам файрвола можно получить на вкладке Дополнительно
главного окна настройки файрвола.
Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой сервисом файрвола памяти и о загрузке им процессора.
Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет. Во время SYNфлуда загрузка процессора была максимальной, но работу на компьютере можно было продолжать.
Тестовая машина была просканирована сканером уязвимостей Retina при включенном и выключенном файрволе. Результаты сканирования представлены в таблице ниже.
Результаты сканирования демонстрируют, что включение файрвола закрывает открытые порты и скрывает компьютер в сети.
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IPадрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
Встроенный файрвол Windows XP SP2 не смог пресечь отправку этих данных. Утилита перехватила введенный в Блокноте текст и без какихлибо препятствий и оповещений со стороны файрвола отправила их на свой сервер, что было подтверждено открывшейся страницей со всей собранной информацией.
Встроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный файрвол не сможет.
С одной стороны, работа, проделанная командой Microsoft над встроенным файрволом, существенна, с другой отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще. Хочется надеяться на то, что Microsoft решится в будущих пакетах исправлений или новых версиях операционной системы расширить функциональные возможности файрвола и он сможет контролировать весь трафик, а не только входящий. Нынешняя версия встроенного файрвола может рассматриваться лишь как универсальное решение для защиты от некоторых типов вирусов и ограничения доступа к сервисам операционной системы.
Брандмауэр Windows является составным элементом центра безопасности Windows. Чтобы открыть окно настройки брандмауэра, выберите команду Пуск>Панель управления и щелкните на значке .
В Windows XP начиная с пакета обновлений Service Pack 2 брандмауэр Windows включен по умолчанию. Однако если вы установили отдельный брандмауэр, такой как Agnitum Outpost, встроенный брандмауэр Windows желательно отключить. Сделать это можно, выбрав переключатель Выключить на вкладке Общие брандмауэра.
Рассмотрим принцип его действия. Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, эти попытки называют непредусмотренными запросами. Если на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует данный сетевой запрос. В случае использования на компьютере таких программ, как ICQ или сетевых игр, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр выводит запрос: следует блокировать или разрешить подключение? Если пользователь разрешает подключение, брандмауэр Windows создает специальное исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.
Если идет обмен мгновенными сообщениями (например, по ICQ) с собеседником, который собирается прислать файл (например, фотографию), брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешении передачи фотографии на компьютер. В свою очередь, чтобы насладиться сетевой игрой через Интернет с друзьями, пользователь может добавить эту игру как исключение.
Для настройки исключений перейдите на вкладку . В ней в окне Программы и службы представлен список приложений и служб. Для того чтобы брандмауэр пропускал данные из Интернета, установите флажок напротив нужной программы, а для того, чтобы запретить передачу данных программе из Интернета, снимите флажок.
Для открытия доступа к компьютеру из Интернета через определенный порт щелкните на кнопке Добавить порт .
На вкладке Дополнительно можно указать, для каких именно подключений будет активирован брандмауэр Windows.
Вообще, мой вам совет – установите нормальный брандмауэр, если вас действительно интересует защита Windows. Встроенный брандмауэр Windows XP обеспечивает лишь самую базовую защиту. Лучше, конечно, такая, чем вообще никакой, но в наше время выходить в Интернет без приличной защиты – нонсенс и не кошерно воопче.
