[makcim76]

В Windows Vista, Microsoft улучшил безопасность Windows Firewall, сохранив GUI доступными через Панель управления для новичков, но позволяя опытным пользователям конфигурировать новые возможности через интегрированный модуль MMC. Представляем несколько основным моментов.
Microsoft внес значительные изменения в Windows Firewall в версии Vista, которые повысили надежность и сделали его настройки более удобными и удовлетворяющими требованиям опытных пользователей, в то же время сохранив простоту, требующуюся для новичков. Представляем несколько ключевых аспектов внесенных изменений.

1: Два интерфейса для различных нужд

У Vista firewall есть два отдельных графических интерфейса настройки конфигурации: базовый интерфейс конфигурации доступен через Security Center и Панель управления и усовершенствованный интерфейс, доступный в виде интегрируемого модуля, когда вы создаете пользовательскую оснастку MMC. Это предотвращает возможность случайного внесения изменений неопытными пользователям, которые могут нарушить подключение к сети или поставить под угрозу их безопасность, в то же время предоставляя опытным пользователям возможность настраивать параметры firewall-а более точно и контролировать входной и выходной трафик. Также вы можете использовать команды в контексте «netsh advfirewall», чтобы настроить конфигурацию Vista firewall через командную строку или создать скрипты для автоматической конфигурации firewall группы машин. Вы также можете контролировать настройки Vista firewall через Group Policy.

2: Основные параметры конфигурации


При помощи интерфейса базовой конфигурации вы можете включить или выключить firewall, или настроить его на блокировку всех программ без исключений. Вы также можете сами создать эти исключения (программы, услуги, или порты, которые вы хотите специально разблокировать) и указать границы каждого исключения (применять ли их для трафика со всех компьютеров, включая трафик Интернет, только компьютеров вашей локальной сети/подсети, или только компьютеров, которых вы укажите при помощи IP адреса или подсети). Здесь также можно указать, какие подключения вы хотите защитить при помощи firewall, и настроить конфигурацию безопасного входа и параметров ICMP.

3: Защита по умолчанию


Windows Firewall в версии Vista имеет по умолчанию установки, обеспечивающие безопасность, поддерживая при этом отличное удобство в использовании. По умолчанию большинство входящих соединений блокируется, а исходящие разрешены. Vista firewall работает совместно с новой функцией Windows Service Hardening, таким образом, что если firewall обнаруживает действие, запрещенное сетевыми правилами Windows Service Hardening, firewall заблокирует это действие. Firewall также полностью поддерживает чистую сетевую среду IPv6.

4: Блокировка сообщений ICMP

По умолчанию входящие эхо-запросы ICMP разрешены в настройках firewall, а все остальные сообщения ICMP заблокированы. Это сделано, потому что утилита Ping обычно используется для отправки эхо-запросов с целью выявления неисправностей. Однако, хакеры также могут посылать эхо-запросы местным целевым хостам. Вы можете заблокировать эхо-запросы (или разблокировать другие сообщения ICMP, если они необходимы для диагностики) через вкладку расширенных настроек в базовом интерфейсе конфигурации.

5: Комплексные профили firewall


Оснастка консоли MMC с расширенным интегрированным модулем безопасности (Vista Firewall With Advanced Security) позволяет вам настраивать множество профилей firewall на вашем компьютере, так что вы можете иметь различные конфигурации firewall для различных ситуаций. Это особенно полезно для портативных компьютеров. Например, вы хотите, чтобы у вас были более строгие настройки защиты, когда вы подключаетесь к точкам общего пользования wi-fi, чем настройки, когда вы подключены к домашней сети. Вы можете создать до трех профилей firewall: один для подключения к домену Windows, второй для подключения к частной сети, и третий для сети общего пользования.

6: Функции IPSec


При помощи расширенного интерфейса конфигурации вы можете настроить параметры IPSec, чтобы указать методы защиты, которые будут использоваться и для сохранения и для шифрования, определить время жизни для ключей в минутах и сессиях, и выбрать желаемый алгоритм обмена ключами Diffie-Hellman. Кодирование данных для подключений IPSec по умолчанию не включено, но вы можете его подключить и выбрать, какой алгоритм будет использоваться для сохранности и кодирования данных. И наконец, вы можете выбрать аутентификацию пользователя, компьютера или обоих, через Kerberos, запросить сертификаты компьютера из CA, который вы укажете или создать абонентские параметры аутентификации.

7: Правила безопасности


Мастер настроек показывает вам шаги создания правил безопасности, чтобы контролировать, как и когда безопасные подключения должны быть созданы между индивидуальным компьютером или группой компьютеров. Вы можете запретить подключения по таким критериям как членство в домене или здоровье (имеется ввиду зараженные системы, или системы не имеющие последних обновлений безопасности), и освободить указанные компьютеры от запросов аутентификации при подключении. Вы можете установить правила для запроса аутентификации между двумя указанными компьютерами (сервер к серверу) или использовать тоннельные правила для аутентификации подключений между шлюзами. Вы также можете создать пользовательские правила, если вам не подходит ни одно из стандартных правил.

8: Пользовательские правила аутентификации


Когда вы создаете пользовательские правила аутентификации, вы указываете отдельный компьютер или группу компьютеров (по IP адресу или диапазону адресов) в качестве оконечной точки соединения. Вы можете запросить или затребовать аутентификации для входящих соединений, исходящих или обоих. Например, вы можете затребовать аутентификацию для входящих соединений, но только запросить ее для входящих соединений. Когда аутентификация запрашивается, соединение будет аутентифицировано, если это возможно, но все еще будет разрешено через неаутентифицированное, если невозможно.

9: Входящие и исходящие правила

Вы можете создать входящие и исходящие правила для блокировки или разрешения соединения с определенными программами или портами. Вы можете использовать правила преконфигурации или создать ваши собственные пользовательские правила. Новый Мастер Правил (Rule Wizard) поможет создать новое правило шаг за шагом. Вы можете применять правило к программам, портам или службам, а также вы можете сделать правило для всех программ или только для какой-то конкретной. Вы можете заблокировать все подключения к этой программе и разрешить только безопасное соединение и затребовать шифрование для защиты конфиденциальности данных, пересылаемых через подключение. Вы можете создать конфигурацию для обоих источников и назначения IP адреса для обоих входящих и исходящих трафиков. Более того, вы можете создать конфигурацию правил как для исходного, так и для конечного TCP и UDP портов.

10: Правила основанные на Active Directory

Вы можете создать правила для блокировки или разрешения соединения, основанного на данных Active Directory пользователя, компьютера или группы учетных записей, при условии, что подключение защищено при помощи IPSec с Kerberos v5 (которое включает информацию учетной записи Active Directory). Вы также можете использовать только Windows Firewall с расширенной защитой для усиления политики Network Access Protection (NAP).