company_banner

Особенности Firewall в Windows 7

    В этом году Windows XP исполняется 10 лет. Возраст встроенного в ОС firewall можно считать по разному. Сейчас уже, наверное, далеко не каждый вспомнит, что в исходной версии Windows XP прообраз нынешнего брандмауэра назывался Internet Connection Firewall (ICF), имел весьма ограниченный функционал и настраивался вручную в свойствах конкретного сетевого интерфейса. Тем не менее, уже тогда один из самых частых вопросов, который мы получали от корпоративных заказчиков, звучал примерно так: «Почему вы не включили ICF по умолчанию?». Забавно, да?

    Собственно Windows Firewall появился с выходом SP2 для Windows XP, содержал ряд существенных улучшений по сравнению с ICF и был включен в ОС по умолчанию. Последний факт первое время частенько приводил к неработоспособности многих устаревших приложений, необходимости задания в Windows дополнительных настроек и, естественно, критике в адрес MS. А сколько было написано по поводу отсутствия исходящей фильтрации… Но уже прогремели Nimda, Slammer, Blaster, другие приятные слуху названия, и для многих было очевидно, что наличие встроенного брандмауэра является далеко не лишним.

    Vista и Windows Server 2008 привнесли еще большие изменения в Windows Firewall: фактически появилась новая платформа фильтрации, на основе которой работал firewall и могли создаваться сторонние решения, с настройками брандмауэра были объединены политики IPsec, таки появилась фильтрация исходящего трафика.

    В рамках этого поста я хотел бы остановиться на особенностях Windows Firewall в «семерке» и R2. Эти особенности, конечно, уже перечислены в различных статьях на том же TechNet, но, как правило, настолько кратко, что суть усовершенствований может ускользнуть и остаться недооцененной.

    Несколько активных профилей
    Первая и главная, как мне кажется, особенность firewall в Windows 7 заключается в том, что несколько профилей могут быть активными одновременно.

    Напомню, начиная с Windows Vista, встроенный firewall поддерживает три профиля – domain, private и public (в XP их было два – domain и standard). Каждый профиль представляет собой набор применяемых firewall-ом правил. Всякий раз, когда компьютер подключается к сети, ОС пытается идентифицировать эту сеть и применить соответствующий профиль. В частности, если в сети доступен контроллер домена, которому принадлежит данный компьютер, автоматически применяется доменный профиль. Если же в новой сети, к которой компьютер подключился, контроллер домена отсутствует, применяется наиболее ограничивающий public-профиль. При этом перед пользователем возникает окно, в котором можно явным образом выбрать профиль для данной сети (см. рис. 1).

    image
    Рис. 1

    Служба Network Location Awareness (NLA) сохраняет информацию о сети в специальной базе данных. Когда в следующий раз компьютер подключится к этой сети, и NLA успешно ее идентифицирует на основе сохраненной в базе информации, firewall автоматически применит соответствующий профиль.
    Так вот в Windows Vista в каждый момент времени только один профиль может быть активным. То есть в каждый момент времени настройки только одного профиля применяются ко всем сетевым интерфейсам, для которых firewall включен.

    Это порождает определенные проблемы. Например, в доменном профиле администратор разрешил входящие подключения для некоторого бизнес-приложения (Microsoft Office Groove, как вариант). Пользователь работает на ноутбуке в доменной сети и использует это бизнес-приложение. Предположим, пользователь перемещается в переговорную комнату, из которой доступна некоторая публичная WiFi-сеть, скажем, офиса соседнего этажа или оператора мобильной связи. WiFi-адаптер ноутбука автоматически подключается к этой публичной сети, и для нее должен быть применен профиль public. В подобной ситуации, когда адаптеры “смотрят” в разные сети, Vista всегда применяет наиболее ограничивающий профиль, то есть public, в котором, в свою очередь, все входящие подключения запрещены. Как следствие, наше бизнес-приложение перестает корректно работать.

    Другой пример – VPN. Все тот же пользователь со своего ноутбука пытается получить доступ к корпоративным ресурсам, но уже из дома. Он устанавливает VPN-подключение, и перед ним вся корпоративная сеть. Однако поскольку для VPN-подключения используется, например, private-профиль, настройки доменного профиля firewall-а не применяются, и бизнес-приложение опять не работает так, как надо. Все это создает определенную головную боль для ИТ-отдела компании.
    Windows 7 поддерживает такие же три профиля firewall. Однако сразу несколько профилей одновременно могут быть активными. Каждый сетевой адаптер использует наиболее подходящий профиль для той сети, к которой он подключен (см. рис.2).

    image
    Рис. 2

    Стало быть, после подключения из Интернет-кафе с помощью VPN к корпоративной сети, ко всему трафику, следующему через VPN-туннель, применяется доменный профиль, в то время как весь остальной трафик защищен профилем public.

    Дальше перечислены менее существенные, но весьма полезные изменения, на которые стоит обратить внимание.

    Настройка исключений для нескольких профилей
    Есть несколько усовершенствований в интерфейсе аплета Windows Firewall в панели управления. Раньше, при настройке исключений, то есть указании, какому приложению разрешено работать через firewall, настройки сохранялись в текущем (активном в настоящий момент) профиле. В Windows 7 можно явным образом выбрать один или несколько профилей, на которые распространяется данное исключение (см. рис. 3).

    image
    Рис. 3

    Подобная возможность есть и при появлении оповещения о том, что некоторое приложение пытается работать через firewall (см. рис. 4).

    image
    Рис. 4

    Подчеркну, что речь идет именно об аплете Windows Firewall. Если создавать правило с помощью Windows Firewall with Advanced Security, то и в Vista, и в Windows 7 создаваемое правило можно сразу же распространить на несколько профилей.

    Включение/выключение firewall для профилей
    В Windows 7 можно довольно легко включить или выключить firewall, а также оповещения о блокировании приложений для конкретного профиля или профилей (см. рис. 5).

    image
    Рис. 5

    Дополнительные ссылки
    С помощью дополнительных ссылок из аплета Windows Firewall в “семерке” можно быстро перейти к консоли Windows Firewall with Advanced Security, настройкам по умолчанию или к инструменту разрешения проблем. Эта мелочь, на которую обычно не обращают внимание, помогает сэкономить время (рис. 6.).

    image
    Рис. 6

    Исключения для пользователей и компьютеров
    При создании правил в Windows Vista можно было задействовать IPSec и указать, что соединения разрешены для конкретных пользователей и/или компьютеров. В Windows 7 плюс к этому можно задавать исключения для пользователей и/или компьютеров (см. рис. 7).

    image
    Рис. 7

    Диапазоны портов
    Последняя деталь, которую хотелось бы отметить, возможность в правилах указывать теперь диапазоны портов. В Vista можно было указывать конкретные номера портов, разделяя их запятой (см. рис. 8).

    image
    Рис. 8

    Добавлю также, что для разработчиков третьих фирм доступен обновленный по сравнению с предыдущими версиями API, позволяющий, с одной стороны, добавлять свой функционал, с другой, задействовать только нужные возможности встроенного firewall. Например, разработчик может реализовать свои политики управления firewall, но при этом опираться на встроенные политики IPsec.

    Однако следует помнить, что если вы выключаете Windows Firewall не через API, а штатными средствами Windows (панель управления, netsh), то выключаются и все политики IPsec. Последнее приводит к отключению, например, DirectAccess на клиенте.

    Еще одна особенность связана с возможность настройки фильтров для virtual account и Service SID. Оба этих механизма подробно рассмотрены здесь.
    Итак, Windows Firewall эволюционирует вместе с операционной системой, отвечая на не менее активно совершенствующиеся угрозы безопасности.

    Не претендуя на звание мощного специализированного брандмауэра, Windows Firewall при этом доступен «из коробки», эффективно управляется через групповые политики, либо скриптами и выполняет свою главную задачу – дополнительная защита рабочей станции / сервера от внешнего нежелательного сетевого воздействия. Мне кажется, справляется с этой задачей очень неплохо. Почему бы не использовать?
    Microsoft
    392,00
    Microsoft — мировой лидер в области ПО и ИТ-услуг
    Поделиться публикацией

    Похожие публикации

    Комментарии 61

      0
      Спасибо, интересная статья, но почему Вы используете скрины с бета-версий и не было ли изменений с выходом SP1?
        0
        >но почему Вы используете скрины с бета-версий
        А какая разница? Интерфейс же одинаковый, и не по моему не менялся внешне, что в бете, что в финальной версии.
          0
          Да, Вы правы. Внешний вид не изменился. С выходом SP1 также изменений не произошло. Вообще, SP1 привнес новый функционал только в Windows Server 2008 R2
            0
            Да и лучше бы делать их в PNG. И по объёму меньше, и качество лучше.
              0
              Принято, спасибо.
          0
          да, с фаерволлом в семерке действительно гораздо приятнее работать, но один знакомый уже жаловался. мол «почему профилей всего три» :)
            +1
            Ждите <s>ебилдов</s> Windows 8.
              0
              В XP вообще два было, так что прогресс налицо :)
              +2
              Кстати, напомню, есть удобная надстроечка на фаервол — Windows 7 firewall control от SphinxSoftware.
                0
                У меня маленький вопросик: где в Firewall Win 7 интерактивный режим?
                  0
                  Поясните, пожалуйста, что Вы имеете в виду?
                    0
                    Интерактивный режим обучения. Когда при попытке выхода любой программы в интернет выскакивает окошко файра с запросом на запрет/разрешение доступа.
                      0
                      Включен по умолчанию.
                        0
                        По-умолчанию включен запрос на открытие входящих портов.
                +3
                Вот не могу я никак привыкнуть к этому однобокому подходу. Появляется передомной «выбор сети»: Home, Work или Public, а я просто хочу, чтобы все внешние соединения были заблокированы, как из этих слов понять что мне выбирать?

                Со времён появления XP я мечтал, что когда-нибудь в установщике Windows появится очень важная опция — тип пользователя: Хакер (можете заменить на Админ), Юзер или Ламер. Если XP был нацелен на «Юзер», то Windows Vista и Windows 7 нацелены на аудиторию «Ламер» и это очень осложняет жизнь существующим «Юзерам» и немногочисленным «Хакерам». (Именно по этой причине на десктопе долго жила непредназначенная для этой цели Windows Server 2003).

                За такой же подход я иногда не долюбливаю Ubuntu, т.к. «Юзерам» и «Ламерам» в ней становися работать всё проще, а вот про другие категории пользотелей попрой забывают принудительно изменив какие-нибудь настройки и не дав возможности выбирать.
                  +2
                  За такой же подход я иногда не долюбливаю Ubuntu, т.к. «Юзерам» и «Ламерам» в ней становися работать всё проще, а вот про другие категории пользотелей попрой забывают принудительно изменив какие-нибудь настройки и не дав возможности выбирать.


                  Для продвинутых всегда будет консоль и /etc
                    +1
                    Да, в случае с Linux свободы больше, но и тут не без проблем. Когда хочешь настроить систему под себя можешь столкнуться с тем, что выпилить что либо из неё без вреда не так просто. Есть, конечно, альтернативы (например Arch linux — мой любимый дистрибутив), но таким конструктором можно пользоваться дома, а на работе нужно чтобы просто работало.
                      0
                      Так ведь в windows вобще ничего нельзя выпилить, можно только отключить. Так и тут, не можешь выпилить, просто отключи.
                        +1
                        Как это в Windows ничего нельзя выпилить?
                        Windows Embedded — выпилить можно все. Можно пересобрать ОС полностью под свои потребности ;)
                        microsoft.com/windowsembedded/
                          0
                          Что пересобрать-то? Из исходников что ли? Ну есть embeded сборка в банкоматах, от спец поставщика. А у себя дома-то ты можешь сейчас прям что-то сделать?
                            +1
                            Нет не из исходников. Из модулей и компонент. Да, можно и у себя дома поставить Embedded, например на медиацентр.
                              0
                              Да, теперь вижу на торрентах. Только есть разница.

                              Как выпилить, например, службу печати таким способом:

                              Сначала скачать скачать Visual Studio (n-гигов), потом Windows Embedded CE 6.0 R3 Platform Builder на 7 гигов, потом н-времени это будет делаться. И только потом этот образ можно будет накатить, скажем, на тот же компьютер (переустановка всего прикладного софта).
                              В результате непонятно, что с обновлениями, и могут быть такие штуки habrahabr.ru/blogs/infosecurity/115605/

                              Как выпилить службу печати в Linux _в_работающей_ системе.
                              Открыть терминал и набрать одну команду. Все. Даже перезагружаться не нужно.

                              Почувствуйте разницу.
                                0
                                Да, теперь вижу на торрентах… Windows Embedded CE 6.0 R3 Platform Builder
                                Вы не то нашли на торрентах. CE — это для смартфонов, а для ПК вот это. Оно как nLite, Visual Studio для сборки дистрибутива не нужен.

                                Как выпилить службу печати в Linux _в_работающей_ системе. Открыть терминал и набрать одну команду.
                                В Windows тоже можно службу отключить. А собрать Windows Embedded ничуть не сложнее, чем кастомный LiveCD с убунтой.

                                Почувствуйте разницу.
                                Сам я тоже линукс использую, но ваши доводы несостоятельны IMHO.
                                  0
                                  Речь не про отключение, а именно про удаление из системы шла с самого начала.

                                    0
                                    Удалить системный сервис у вас не получится, потому, что коробочный Windows — это вам не конструктор. Хотите конструктор — покупаете специально для этого предназначенный продукт Windows Embedded от вендора.

                                    А еще у вас речь шла о том, что «перезагружаться не надо». Так вот, в Windows при отключении службы тоже не надо. К тому же вы не объясните, зачем необходимо именно удалить сервис, а не просто его отключить?
                                      0
                                      Я по всем пунктам тоже самое написал.

                                      >Удалить системный сервис у вас не получится

                                      я с этого и начал

                                      >конструктор — покупаете специально для этого >предназначенный продукт Windows Embedded от вендора

                                      По-моему никто из вас его в руках не держал, зато все браво кидают ссылки на ms.com

                                      >Так вот, в Windows при отключении службы тоже не надо. и далее.

                                      Да ты по-моему начало ветки не прочел

                                        0
                                        По-моему никто из вас его в руках не держал...
                                        Это по твоему. Я с ним баловался немного, еще с версией для XP.

                                        Да ты по-моему начало ветки не прочел
                                        То есть ответа на свой вопрос, зачем кому-то «у себя дома… сейчас прям...» удалять службу печати, я не получу. Мог хотя бы сказать что-то вроде: «ну ради безопасности, лишняя служба — лишняя дыра», и т.п.

                                        Вместо этого ты предпочитаешь перейти на личности. Успокойся, я всего лишь сказал, что твои доводы в защиту свободного ПО вообще и Linux в частности для меня (для пользователя свободного ПО!) неубедительны.
                                          0
                                          >с ним баловался немного

                                          я так и понял, что немного и что только баловался.
                                            0
                                            Ну да, а как это еще назвать… Капитан подсказывает, что урезанный Windows XP мало чем отличается от неурезанного Windows XP. Если я вдруг скажу, что некоторое время обслуживал банкоматы Diebold и Wincor с предустановленной Windows Embedded, интересно, я сильно вырасту в твоих глазах? ( Надо ли объяснять, что ты можешь не отвечать и на этот вопрос, потому что ответ на него мне не интересен, в отличие от предыдущего. )
                    0
                    Про винду может и правильно, а в Ubuntu iptables (и др. консольные) как были, так и есть.)
                      0
                      Что касается фаервола, то тут вы абсолютно правы. Какая бы гуя чего не наделала, всегда можно посмотреть в iptables что она сделала. А вот в винде…
                        0
                        netsh firewall
                          +2
                          там хотя бы счетчик пакетов есть?
                      +2
                      Помойму, довольно очевидно, что Public.
                        0
                        Это был просто пример. Было бы неплохо в том же интерфейсе иметь кнопку «подронее» в которой будет не просто описание «выбирайте паблик, если вы в кафе», а возможность посмотреть список правил и т.д.
                          –2
                          Появляется передомной «выбор сети»: Home, Work или Public, а я просто хочу, чтобы все внешние соединения были заблокированы, как из этих слов понять что мне выбирать?

                          Помойму, довольно очевидно, что Public

                          А вот мне кажется, что совсем не очевидно. Я — наоборот, на этот вопрос сказу откинул вариант «Паблик», потому что это для публичных компьютеров, к которым нужен открытый доступ. То есть, я расценил «Паблик» как «Сделать комп публичным».
                            +4
                            Если вы плохо знаете английский и не читаете что вас система спрашивает («Choose this for airports, coffee shops, other public places..»), то в этом виновата не ОС и не люди которые её сделали.
                              –5
                              Ну и что? Из процитированного вами предложения совершенно не следует, что получится то, что хотел сделать автор. Может, это значит, что компьютер становится публичным, может раздавать инет, файлы и т.д. в «airports, coffee shops, other public places..»
                                +1
                                Если для вас все настолько «не следует», то никакая кнопка «Подробнее» уже не поможет.
                                  +4
                                  Только в вашем воображении. В данном случае «Public Network» является сходным с «Public Place», что является «Общественным, публичным местом» и не имеет никакого отношения к глаголу «Publish».

                                  Более того, в русской версии, которая и будет использоваться людьми, которые не знают иностранных языков, данный пункт звучит так:

                                  Общественная сеть
                                  Если не все компьютеры вам известны (вы находитесь в кафе или аэропорту или подключены к сети с мобильного телефона), то такая сеть считается общедоступной (доверие к таким сетям отсутствует)

                                  Из данного текста следует, что что-то будет «Опубликовано»?
                            0
                            Если вы хотите, чтобы все внешние соединения были заблокированы, то зачем вам сеть?

                            А по делу — в данной статье автор как раз и осветил вопросы того, как «хакер», как вы выразились, может заблокировать все соединения. Или для хакера должна быть 4-я кнопочка, кроме Паблик, Ворк и Хоум — «Я хакер, заблокируйте все соединения»?
                              0
                              Я имею ввиду снаружи внутрь, но не наоборот.
                                –2
                                Шутка не прошла.
                                Просто ваше требование похоже на кнопку «Сделать клево» для фотошопа.
                                Если уж вы претендуете на админа, а не на ламера, то ручками в «Advanced settings» и правите как душе угодно. А для юзеров — как раз нормальные кнопки — «дома», «на работе» и «в незащищенной сети в макдаке».
                                  0
                                  Я хочу всего лишь кнопку «подробнее». Я сам Windows не пользуюсь, но пользуются родственники. Когда я им подключаю сеть появляется это окно. Понятно, что простой пользователь скажет: «О, я же дома, значит нужнно выбрать Дом», но для меня это не является логичным и я хотел бы тут же иметь возможность посмотреть что именно имеется ввиду под «Дом».
                                    0
                                    Там слева внизу есть текстовая кнопочка «Help me choose», мне кажется, что именно там прячутся пояснения, что именно означает каждая из кнопочек. Проверить, е сожалению, не могу — работаю на XP
                                +2
                                гм, нет в этой статье автор показал, как со скрипом можно сделать из фвола windows что-то.

                                А по делу — giner сказал, что было бы хорошо иметь одну кнопку «переход в advanced режим», вместо трех пресетов.
                                  –1
                                  В словах giner как раз ничего о том, что ему нужна 4-я кнопка нет.

                                  Да и решение «одну кнопку «переход в advanced режим», вместо трех» меня пугает своей радикальностью.
                              +1
                              Меня всегда удивлял файрволл в ХР: устанавливаешь какую-нибудь программу типа mIRC или Miranda, запускаешь, она выходит в сеть, подключается к серверу, успевает получить сообщения, и тут выскакивает окошко файрволла: «Программа блабла хочет в сеть. Разрешить?»
                                0
                                Даже если вы скажете ей «запретить», то программа всё равно будет работать, т.к. фаервол в XP защищает только от внешних соединений. В обратную сторону соединения не блогируются.
                                  0
                                  Видимо, файрволл реагировал на открытие программой портов для входящих соединений?
                                    0
                                    Вполне возможно, порты не мониторил, но наблюдаю такое окно частенько.
                                      0
                                      Да, именно так — mIRC и Miranda открывают порты для передачи файлов.
                                  0
                                  Более подробно о том, как настроить Firewall в Windows 7
                                  bit.ly/fhUnHP
                                    –1
                                    Минусуйте-минусуйте, если хотите, но разжуйте пожалуйста — зачем windows фаервол?

                                    Последний раз когда у меня был резон его использовать, так это во времена помегабайтного интернета.

                                    Разве только закрыть популярные для атак порты? Но это же не панацея, особенно в такой популярной среде для вирусописателей и прочих злоумышленников.

                                    Фаер — не такая критичная штука как например антивирь (которого заметте в стандартной поставке win нет), а вопросы задает неподготовленному пользователю на порядок каверзнее (А вам больше нравится домик, стеклянный куб или скамеечка?)
                                      0
                                      Возможно, Майкрософт не хочет проблем со стороны антимонопольных органов, поэтому не встраивает свой антивирус.
                                        0
                                        Для защиты от удалённых уязвимостей.
                                        Не будь у Windows фаервола, эпидемия Conficker'а поразила бы намного больше компьютеров (как было с Sasser, после которого его и включили).
                                          0
                                          windows defender есть в стандартной поставке последних версий винды. конечно это не полноценный антивирь(просто antyspyware), но для грамотных юзеров(которые не кликают по порнобанерам и не качают ломалки вконтакте) его вполне достаточно.
                                          0
                                          Возможно, Майкрософт не хочет проблем со стороны антимонопольных органов, поэтому не встраивает свой антивирус.
                                            0
                                            Этот комментарий попал не туда.
                                            +2
                                              0
                                              Не расскажете поподробнее как фаервол определяет в какой сети он находится?

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое