 |
Параметры настройки брандмауэра Windows
|
|
|
|
НАСТРОЙКА ПАРАМЕТРОВ БЕЗОПАСНОСТИ ПОДКЛЮЧЕНИЯ К ИНТЕРНЕТ
1 Цель работы: получить навыков по настройке параметров безопасности подключения к Интернет защищенной операционной системы Windows XP.
КЛЮЧЕВЫЕ ПОЛОЖЕНИЯ
2.1. Общие сведения о возможностях и настройках брандмауэра подключения к Интернету
Брандмауэр подключения к Интернету (ICF) в WINDOWS XP – это программный межсетевой экран, используемый для установки ограничений на передачу информации между домашней сетью или сетью малого предприятия и Интернетом.
Межсетевой экран (firewall) – это средство, которое разграничивает доступ между двумя сетями с различными требованиями по обеспечению безопасности. В самом распространенном случае межсетевой экран устанавливается между корпоративной сетью и Internet.
Брандмауэр помогает повысить безопасность компьютера. Он ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру.
Можно считать брандмауэр пограничным постом, на котором проверяется информация (часто называемая трафик), приходящая из Интернета или локальной сети. В ходе этой проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами (рис. 2.1).
Рис. 2.1 – Общая схема работы брандмауэра
В Пакет обновления для Microsoft Windows XP (SP2) брандмауэр Windows включен по умолчанию. Необязательно использовать именно брандмауэр Windows – можно установить и включить любой брандмауэр по выбору. Оцените возможности других брандмауэров, а затем решите, какой из брандмауэров подходит лучше всего. При желании установить и включить другой брандмауэр отключите брандмауэр Windows.
|
|
|
Межсетевой экран призван решить две задачи, каждая из которых по-своему важна:
• ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам.
• разграничение доступа пользователей защищаемой сети к внешним ресурсам.
Все межсетевые экраны используют в своей работе один из двух взаимоисключающих принципов:
«Разрешено все, что не запрещено в явном виде». Данный принцип облегчает администрирование межсетевого экрана, так как от администратора не требуется никакой предварительной настройки. Любой сетевой пакет, пришедший на МСЭ, пропускается через него, если это не запрещено правилами. С другой стороны, в случае неправильной настройки данное правило делает межсетевой экран дырявым решетом, который не защищает от большинства несанкционированных действий.
«Запрещено все, что не разрешено в явном виде». Этот принцип делает межсетевой экран практически неприступной стеной. Однако, повышая защищенность, мы тем самым нагружаем администратора безопасности дополнительными задачами по предварительной настройке базы правил межсетевого экрана. После включения такого МСЭ в сеть, она становится недоступной для любого вида трафика. Администратор должен на каждый тип разрешенного взаимодействия задавать одно и более правил.
Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, такие попытки называют «непредусмотренными запросами». Когда на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует подключение. Если на компьютере используются такие программы, как программа передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр Windows создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы (таблица 2.1).
|
|
|
Таблица 2.1 – Возможности Брандмауэра Windows
| Он может: | Он не может: |
| Блокировать компьютерным вирусам и «червям» доступ на компьютер. | Обнаружить или обезвредить компьютерных вирусов и «червей», если они уже попали на компьютер. По этой причине необходимо также установить антивирусное программное обеспечение и своевременно обновлять его, чтобы предотвратить повреждение компьютера вирусами, «червями» и другими опасными объектами, а также не допустить использования данного компьютера для распространения вирусов на другие компьютеры. |
| Запросить пользователя о выборе блокировки или разрешения для определенных запросов на подключение. | Запретить пользователю открывать сообщения электронной почты с опасными вложениями. Не открывайте вложения в сообщениях электронной почты от незнакомых отправителей. Следует проявлять осторожность, даже если источник сообщения электронной почты известен и заслуживает доверия. При получении от знакомого пользователя электронного письма с вложением внимательно прочтите тему сообщения перед тем, как открыть его. Если тема сообщения представляет собой беспорядочный набор знаков или не имеет смысла, не открывайте письмо, пока не свяжетесь с отправителем для получения подтверждения. |
| Вести учет (журнал безопасности) – по желанию пользователя – записывая разрешенные и заблокированные попытки подключения к компьютеру. Этот журнал может оказаться полезным для диагностики неполадок. | Блокировать спам или несанкционированные почтовые рассылки, чтобы они не поступали в папку входящих сообщений. Однако некоторые программы электронной почты способны делать это. Ознакомьтесь с документацией своей почтовой программы, чтобы выяснить ее возможности. |
Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например фотографию), брандмауэр Windows запросит подтверждения о снятии блокировки подключения и разрешении передачи фотографии на компьютер. А при желании участвовать в сетевой игре через Интернет с друзьями пользователь может добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на компьютер.
|
|
|
Хотя имеется возможность отключать брандмауэр Windows для отдельных подключений к Интернету или локальной сети, это повышает вероятность нарушения безопасности компьютера.
Параметры настройки брандмауэра Windows
Работа брандмауэра Windows определяется тремя параметрами: Включить, Включить, но не разрешать исключения и Выключить.
Включить. По умолчанию брандмауэр Windows включен, и лучше оставить его в таком состоянии (рис.2.2). При использовании этого параметра брандмауэр Windows будет блокировать все непредусмотренные запросы на подключение к компьютеру за исключением тех, которые предназначены для программ или служб, выбранных на вкладке Исключения.
Рис. 2.2 – Диалоговое окно Брандмауэр Windows.
Включить, но не разрешать исключения: При установке флажка Не разрешать исключения брандмауэр Windows блокирует все непредусмотренные запросы на подключение к компьютеру, в том числе и те, которые предназначены для программ или служб, выбранных на вкладке Исключения. Этот параметр служит для максимальной защиты компьютера, например при подключении к общедоступной сети в отеле или аэропорту или в периоды распространения через Интернет особо опасных вирусов или червей. Нет необходимости все время использовать флажок Не разрешать исключения, поскольку при этом некоторые программы могут перестать работать правильно, а кроме того будут блокироваться непредусмотренные запросы к следующим службам:
· Служба доступа к файлам и принтерам
· Средства «Удаленный помощник» и «Дистанционное управление рабочим столом»
· Обнаружение сетевых устройств
· Заранее настроенные программы и службы в списке «Исключения»
· Дополнительные объекты, которые были добавлены в список «Исключения»
Если установлен флажок Не разрешать исключения, можно по-прежнему отправлять и получать электронную почту, использовать программу передачи мгновенных сообщений или просматривать большинство веб-страниц.
|
|
|
Выключить. Этот параметр отключает брандмауэр Windows. При использовании этого параметра компьютер гораздо более уязвим к атакам злоумышленников или вирусов, исходящим из Интернета. Этот параметр следует использовать только опытным пользователям в целях администрирования компьютера или при наличии защиты компьютера другим брандмауэром.
Примечание: Параметры настройки, заданные для случая, когда компьютер присоединен к домену, сохраняются отдельно от параметров для работы компьютера не в составе домена. Эти отдельные группы параметров настройки называются профили.
|
|
|
