Po raz pierwszy zapora sieciowa pojawiła się w Windows XP SP2 (jako domyślnie
włączona). Jest to jeden z podstawowych programów chroniących przed zagrożeniami
płynącymi z użytkowania Internetu oraz zabezpieczający sieć. Filtruje połączenia zarówno przychodzące jak
i wychodzące z komputera, następnie, jeśli zajdzie taka potrzeba, blokuje
potencjalnie niebezpieczną aplikację. Zapora sieciowa zintegrowana z Windows XP
była stosunkowo prostą i nierozbudowaną funkcją systemu. W Windows Vista element
ten został przebudowany i udoskonalony.
Najważniejsze zmiany w zaporze sieciowej Windows Vista:
-
Filtrowanie pakietów sieciowych zarówno przychodzących, jak i wychodzących
- Zintegrowane ustawienia zabezpieczeń Internet Protocol security (IPsec)
- Nowy graficzny tryb ustawień poprzez przystawkę Microsoft Management
Console
- Rozbudowane zasady tworzenia wyjątków
- Współpraca z mechanizmem Windows Service Hardening
Konfiguracja zapory sieciowej od podstaw...
Jeśli program, który zainstalowaliśmy, wymaga połączenia z Internetem, to
przy pierwszym uruchomieniu Windows Firewall zapyta co zrobić.
Do wyboru mamy opcje Blokuj nadal, jeśli nie chcemy
zezwolić aplikacji na połączenie z siecią, lub naciskamy Odblokuj, aby umożliwić komunikację.
Firewall wbudowany w Windows Vista jednakże oferuje większe możliwości i w
dalszej części artykuły postaramy się je dokładniej omówić.
Ustawienia podstawowe
Przechodzimy do Panel sterowania/Zabezpieczenia i wybieramy Zapora systemu Windows.
W nowo otwartym module klikamy łącze Zmień ustawienia. Zakładka Ogólne pozwala zmienić podstawowe funkcje zapory sieciowej. Przyciskiem Włącz uruchamiamy składnik systemu. Jeśli zaznaczymy pole Blokuj wszystkie połączenia przychodzące,
to wszystkie wyjątki zostaną zignorowane, nadal jednak możemy przeglądać
Internet i korzystać z poczty elektronicznej. Opcję tą warto stosować, jeśli
korzystamy z sieci w miejscu publicznym, np. hotspot. Kontrolka Wyłącz
dezaktywuje zaporę sieciową. Nie wyłączajmy jednakże systemowego
firewalla, jeśli nie posiadamy innego oprogramowania tego typu, gdyż będziemy
bardziej podatni na ataki z zewnątrz. Wyjątki pozwalają na tworzenie reguł dla
aplikacji oraz portów w zaporze sieciowej, natomiast zakładka Zaawansowane umożliwia wybór połączeń sieciowych, dla których
firewall ma być aktywny.
Tworzenie wyjątku dla programu
Przechodzimy do zakładki Wyjątki. Ujrzymy spis programów, dla których istnieją reguły w zaporze sieciowej. Jeśli chcemy dodać aplikację do listy, to klikamy kontrolkę Dodaj program, następnie w module Dodawanie programu wskazujemy ten, któremu chcemy umożliwić komunikację. Jeśli na liście nie ma aplikacji, to korzystamy z przycisku Przeglądaj, lub wpisujemy ręcznie ścieżkę docelową.
Tworzenie wyjątku dla portu
W bardzo prosty sposób utworzymy także regułę dla portu w zaporze sieciowej. Ponownie, w zakładce Wyjątki, klikamy kontrolkę Dodaj port. Następnie podajemy nazwę, numer oraz rodzaj
(TCP, lub UDP) dla otwieranego portu.
Poniżej odnajdziemy przycisk
Zmień zakres. Klikając go możemy określić listę komputerów, dla których wprowadzone zmiany będą dostępne (zarówno dla portu jak i aplikacji).
...po ustawienia zaawansowane
Zapora sieciowa Windows umożliwia oczywiście dużo więcej opcji
konfiguracyjnych, niż te, które opisaliśmy powyżej. Poniżej przedstawiamy
zaawansowane funkcje firewalla w Windows Vista.
Zapora systemu
Windows z zabezpieczeniami zaawansowanymi
Wpisujemy w polu Uruchom polecenie secpol.msc. Otworzy się przystawka Zasady zabezpieczeń lokalnych należąca do Microsoft Management Console (MMC).
W drzewku nawigacyjnym, po lewej stronie, przechodzimy do Zapora systemu
Windows z zabezpieczeniami zaawansowanymi i otwieramy GPO Zapora systemu Windows z zabezpieczeniami zaawansowanymi - Lokalny obiekt zasad grupy.
Klikamy łącze Właściwości zapory systemu Windows. W nowo otwartym
module widzimy, iż został podzielony na zakładki, gdzie zostały pogrupowane
profile sieciowe (oraz ustawienia dotyczące IPsec), a są to:
- Profil domeny - używany wtedy, gdy komputer jest podłączony do sieci
z domeną
- Profil prywatny - używany wtedy, gdy komputer jest podłączony do sieci
nie należącej do domeny
- Profil publiczny - używany wtedy, gdy komputer jest podłączony do
Internetu
Dzięki temu, iż możemy konfigurować odpowiednio każdy profil, zapora systemu
Windows może dostosowywać się do aktualnego połączenia.
Konfiguracja profilu
W każdym z trzech profili odnajdziemy te same opcje konfiguracyjne, dlatego
metodę tą opisujemy na jednym przykładzie. Moduł podzielony jest na trzy pola.
Pierwsze z nich, czyli Stan, pozwala określić stan zapory, możemy ją
włączyć, lub wyłączyć osobno dla każdego z profilu, przez co na przykład będąc
połączonym z domeną (która wymaga na przykład nieaktywnej zapory sieciowej), dalej możemy
czuć się bezpiecznie przeglądając zasoby Internetu. Możemy zdecydować
o tym jak będą blokowane połączenia zarówno wychodzące, jak i przychodzące (dla
każdej z tych opcji mamy trzy możliwości wyboru). W sekcji Ustawienia, klikając kontrolkę Dostosuj,
będziemy mogli określić sposób powiadamiania o tym, gdy jakiś program zażąda
dostępu do sieci. Zdecydujemy także o zakazie rozsyłania pakietów
rozgłoszeniowych oraz określimy metodę scalania reguł. Rejestrowanie pozwala natomiast na skonfigurowanie
zapisu zdarzeń do dziennika systemowego (zarówno dla udanych połączeń, jak i porzuconych pakietów).
IPsec
Mechanizmy IPsec (Internet Protocol security) są zbiorem standardów
bezpieczeństwa. W Windows Vista zostały zintegrowane z zaporą sieciową w celu
łatwiejszej konfiguracji. Klikamy zakładkę Ustawienia protokołu IPsec.
Odnajdziemy tutaj dwie sekcje, a mianowicie Wartości domyślne IPsec oraz Wykluczenia.
Pierwsza opcja jest zbiorem dotyczącym zabezpieczania połączenia z
wykorzystaniem tego mechanizmu, natomiast druga pozwala wykluczyć protokół ICMP (Internet Control Message Protocol)
z IPsec.
Tworzenie reguły
Otwieramy przystawkę Zasady zabezpieczeń lokalnych i poprzez drzewko konsoli przechodzimy do Zapora systemu Windows z zabezpieczeniami zaawansowanymi - Lokalny obiekt zasad grupy.
Rozwijamy tą listę. Widzimy tutaj trzy elementy:
- Reguły przychodzące
- Reguły wychodzące
- Reguły zabezpieczeń (związane z IPsec)
Klikamy prawym przyciskiem myszy na wybranym elemencie, następnie z menu
kontekstowego wybieramy polecenie Nowa reguła.
Otworzy się kreator nowej reguły, który poprowadzi użytkownika krok po kroku.
W pierwszym etapie definiujemy Typ reguły, następnie, w zależności od tego co
wcześniej wybraliśmy, wskazujemy program, lub rodzaj portu. W Akcja określamy co
ma nastąpić, gdy połączenie spełnia warunki. Kolejnym krokiem jest Profil, gdzie definiujemy
dla jakiego rodzaju połączenia sieciowego ma być utworzona reguła. Na końcu
podajemy nazwę wyjątku i klikamy Zakończ.
Konfiguracja poprzez Wiersz polecenia
Także za pomocą wiersza polecenia możemy konfigurować zaporę
systemową. Polecenie netsh zostało rozszerzone o wpis advfirewall, dzięki któremu zmienimy wiele opcji
dotyczących firewalla. Poniżej przedstawiamy część funkcji:
- add - dodajemy w ten sposób progam (add allowedprogram), lub port (add portopening).
- delete - używany wtedy, gdy chcemy usunąć program (delete allowedprogram), lub zamknąć port (delete portopening).
- dump - polecenie to służy do tworzenia skryptu bieżącej konfiguracji.
- reset - resetuje ustawienia zapory do domyślnych.
- set - rozbudowane polecenia służące do konfiguracji zapory sieciowej (pełny opis funkcji poznamy wpisując
netsh firewall set ?).
- show - wyświetla konfigurację zapory (pełny opis funkcji poznamy
wpisując netsh firewall show ?).
- help, lub ? - wyświetla pomoc.