Po raz pierwszy zapora sieciowa pojawiła się w Windows XP SP2 (jako domyślnie włączona). Jest to jeden z podstawowych programów chroniących przed zagrożeniami płynącymi z użytkowania Internetu oraz zabezpieczający sieć. Filtruje połączenia zarówno przychodzące jak i wychodzące z komputera, następnie, jeśli zajdzie taka potrzeba, blokuje potencjalnie niebezpieczną aplikację. Zapora sieciowa zintegrowana z Windows XP była stosunkowo prostą i nierozbudowaną funkcją systemu. W Windows Vista element ten został przebudowany i udoskonalony.
Najważniejsze zmiany w zaporze sieciowej Windows Vista:
- Filtrowanie pakietów sieciowych zarówno przychodzących, jak i wychodzących
- Zintegrowane ustawienia zabezpieczeń Internet Protocol security (IPsec)
- Nowy graficzny tryb ustawień poprzez przystawkę Microsoft Management Console
- Rozbudowane zasady tworzenia wyjątków
- Współpraca z mechanizmem Windows Service Hardening
Konfiguracja zapory sieciowej od podstaw...
Jeśli program, który zainstalowaliśmy, wymaga połączenia z Internetem, to przy pierwszym uruchomieniu Windows Firewall zapyta co zrobić.
Do wyboru mamy opcje Blokuj nadal, jeśli nie chcemy zezwolić aplikacji na połączenie z siecią, lub naciskamy Odblokuj, aby umożliwić komunikację. Firewall wbudowany w Windows Vista jednakże oferuje większe możliwości i w dalszej części artykuły postaramy się je dokładniej omówić.
Ustawienia podstawowe
Przechodzimy do Panel sterowania/Zabezpieczenia i wybieramy Zapora systemu Windows. W nowo otwartym module klikamy łącze Zmień ustawienia. Zakładka Ogólne pozwala zmienić podstawowe funkcje zapory sieciowej. Przyciskiem Włącz uruchamiamy składnik systemu. Jeśli zaznaczymy pole Blokuj wszystkie połączenia przychodzące, to wszystkie wyjątki zostaną zignorowane, nadal jednak możemy przeglądać Internet i korzystać z poczty elektronicznej. Opcję tą warto stosować, jeśli korzystamy z sieci w miejscu publicznym, np. hotspot. Kontrolka Wyłącz dezaktywuje zaporę sieciową. Nie wyłączajmy jednakże systemowego firewalla, jeśli nie posiadamy innego oprogramowania tego typu, gdyż będziemy bardziej podatni na ataki z zewnątrz. Wyjątki pozwalają na tworzenie reguł dla aplikacji oraz portów w zaporze sieciowej, natomiast zakładka Zaawansowane umożliwia wybór połączeń sieciowych, dla których firewall ma być aktywny.
Tworzenie wyjątku dla programu
Przechodzimy do zakładki Wyjątki. Ujrzymy spis programów, dla których istnieją reguły w zaporze sieciowej. Jeśli chcemy dodać aplikację do listy, to klikamy kontrolkę Dodaj program, następnie w module Dodawanie programu wskazujemy ten, któremu chcemy umożliwić komunikację. Jeśli na liście nie ma aplikacji, to korzystamy z przycisku Przeglądaj, lub wpisujemy ręcznie ścieżkę docelową.
Tworzenie wyjątku dla portu
W bardzo prosty sposób utworzymy także regułę dla portu w zaporze sieciowej. Ponownie, w zakładce Wyjątki, klikamy kontrolkę Dodaj port. Następnie podajemy nazwę, numer oraz rodzaj (TCP, lub UDP) dla otwieranego portu. Poniżej odnajdziemy przycisk Zmień zakres. Klikając go możemy określić listę komputerów, dla których wprowadzone zmiany będą dostępne (zarówno dla portu jak i aplikacji).
...po ustawienia zaawansowane
Zapora sieciowa Windows umożliwia oczywiście dużo więcej opcji konfiguracyjnych, niż te, które opisaliśmy powyżej. Poniżej przedstawiamy zaawansowane funkcje firewalla w Windows Vista.
Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Wpisujemy w polu Uruchom polecenie secpol.msc. Otworzy się przystawka Zasady zabezpieczeń lokalnych należąca do Microsoft Management Console (MMC). W drzewku nawigacyjnym, po lewej stronie, przechodzimy do Zapora systemu Windows z zabezpieczeniami zaawansowanymi i otwieramy GPO Zapora systemu Windows z zabezpieczeniami zaawansowanymi - Lokalny obiekt zasad grupy.
Klikamy łącze Właściwości zapory systemu Windows. W nowo otwartym module widzimy, iż został podzielony na zakładki, gdzie zostały pogrupowane profile sieciowe (oraz ustawienia dotyczące IPsec), a są to:
- Profil domeny - używany wtedy, gdy komputer jest podłączony do sieci z domeną
- Profil prywatny - używany wtedy, gdy komputer jest podłączony do sieci nie należącej do domeny
- Profil publiczny - używany wtedy, gdy komputer jest podłączony do Internetu
Dzięki temu, iż możemy konfigurować odpowiednio każdy profil, zapora systemu Windows może dostosowywać się do aktualnego połączenia.
Konfiguracja profilu
W każdym z trzech profili odnajdziemy te same opcje konfiguracyjne, dlatego metodę tą opisujemy na jednym przykładzie. Moduł podzielony jest na trzy pola. Pierwsze z nich, czyli Stan, pozwala określić stan zapory, możemy ją włączyć, lub wyłączyć osobno dla każdego z profilu, przez co na przykład będąc połączonym z domeną (która wymaga na przykład nieaktywnej zapory sieciowej), dalej możemy czuć się bezpiecznie przeglądając zasoby Internetu. Możemy zdecydować o tym jak będą blokowane połączenia zarówno wychodzące, jak i przychodzące (dla każdej z tych opcji mamy trzy możliwości wyboru). W sekcji Ustawienia, klikając kontrolkę Dostosuj, będziemy mogli określić sposób powiadamiania o tym, gdy jakiś program zażąda dostępu do sieci. Zdecydujemy także o zakazie rozsyłania pakietów rozgłoszeniowych oraz określimy metodę scalania reguł. Rejestrowanie pozwala natomiast na skonfigurowanie zapisu zdarzeń do dziennika systemowego (zarówno dla udanych połączeń, jak i porzuconych pakietów).
IPsec
Mechanizmy IPsec (Internet Protocol security) są zbiorem standardów bezpieczeństwa. W Windows Vista zostały zintegrowane z zaporą sieciową w celu łatwiejszej konfiguracji. Klikamy zakładkę Ustawienia protokołu IPsec. Odnajdziemy tutaj dwie sekcje, a mianowicie Wartości domyślne IPsec oraz Wykluczenia. Pierwsza opcja jest zbiorem dotyczącym zabezpieczania połączenia z wykorzystaniem tego mechanizmu, natomiast druga pozwala wykluczyć protokół ICMP (Internet Control Message Protocol) z IPsec.
Tworzenie reguły
Otwieramy przystawkę Zasady zabezpieczeń lokalnych i poprzez drzewko konsoli przechodzimy do Zapora systemu Windows z zabezpieczeniami zaawansowanymi - Lokalny obiekt zasad grupy. Rozwijamy tą listę. Widzimy tutaj trzy elementy:
- Reguły przychodzące
- Reguły wychodzące
- Reguły zabezpieczeń (związane z IPsec)
Klikamy prawym przyciskiem myszy na wybranym elemencie, następnie z menu kontekstowego wybieramy polecenie Nowa reguła.
Otworzy się kreator nowej reguły, który poprowadzi użytkownika krok po kroku. W pierwszym etapie definiujemy Typ reguły, następnie, w zależności od tego co wcześniej wybraliśmy, wskazujemy program, lub rodzaj portu. W Akcja określamy co ma nastąpić, gdy połączenie spełnia warunki. Kolejnym krokiem jest Profil, gdzie definiujemy dla jakiego rodzaju połączenia sieciowego ma być utworzona reguła. Na końcu podajemy nazwę wyjątku i klikamy Zakończ.
Konfiguracja poprzez Wiersz polecenia
Także za pomocą wiersza polecenia możemy konfigurować zaporę systemową. Polecenie netsh zostało rozszerzone o wpis advfirewall, dzięki któremu zmienimy wiele opcji dotyczących firewalla. Poniżej przedstawiamy część funkcji:
- add - dodajemy w ten sposób progam (add allowedprogram), lub port (add portopening).
- delete - używany wtedy, gdy chcemy usunąć program (delete allowedprogram), lub zamknąć port (delete portopening).
- dump - polecenie to służy do tworzenia skryptu bieżącej konfiguracji.
- reset - resetuje ustawienia zapory do domyślnych.
- set - rozbudowane polecenia służące do konfiguracji zapory sieciowej (pełny opis funkcji poznamy wpisując netsh firewall set ?).
- show - wyświetla konfigurację zapory (pełny opis funkcji poznamy wpisując netsh firewall show ?).
- help, lub ? - wyświetla pomoc.
341f31d.png)