Настройка брандмауэра windows xp sp3 для интернета

Что такое Брандмауэр, зачем нужна защита компьютера и как ее настроить

Содержание

Содержание

Вопросы сетевой безопасности остро стоят не только в корпоративном секторе, но и среди обычных пользователей. Защитить компьютер от внешних вторжений позволяет не только антивирус — брандмауэр является мощным средством контроля трафика.

Что такое брандмауэр

Брандмауэр или фаерволл — это системная утилита (сетевой экран) для контроля и фильтрации входящего/исходящего трафика. Брандмауэр стал неотъемлемой частью операционных систем Windows, начиная с версии XP SP2. В более ранних системах использовался Internet Connection Firewall, который по умолчанию был отключен. Это привело к глобальным атакам червей, таких как Blaster и Sasser, которые суммарно заразили более 350 тысяч компьютеров по всему миру в 2003 и 2004 годах.

Брандмауэр может быть как для отдельного компьютера, так и для всей локальной сети. В общем случае брандмауэр выполняет следующие функции:

Брандмауэр есть не только в операционных системах. ПО маршрутизаторов также включает встроенный фаерволл, который обычно настраивается через веб-интерфейс.

Брандмауэр способен анализировать абсолютно весь исходящий и входящий трафик, а также динамически открывать порты для конкретных приложений. Что конкретно из трафика будет блокировать брандмауэр, зависит от пользовательских настроек, а также внутренней базы, которая позволяет идентифицировать потенциально нежелательное содержимое.

Фильтры работают на нескольких уровнях модели OSI. Например, брандмауэр способен выполнять фильтрацию пакетов (сетевой уровень), контролировать шлюзы (сеансовый и прикладной уровни). Для каждого уровня используется свой гибкий фильтр. Например, на сетевом уровне брандмауэр анализирует заголовок IP-пакета: адреса получателя и отправителя, информацию о протоколе и приложении, номера портов. Собранная информация сравнивается с таблицей правил, после чего принимается решение — пропустить или отбраковать пакет.

Модель OSI

Тип данных

Уровень

Функции

Доступ к сетевым службам

Представление и шифрование данных

Управление сеансом связи

Прямая связь между конечными пунктами

Определение маршрута и логическая адресация

Работа со средой передачи и двоичными данными

Например, известный вирус WannaCry атаковал TCP-порт 445, который на большинстве компьютеров был открыт.

От чего защищает брандмауэр, а с чем не поможет

Брандмауэр — это первая линия обороны вашего компьютера, которая позволяет с высокой эффективностью справиться со следующими видами угроз:

Брандмауэр не способен обеспечить полную защиту вашего компьютера. Есть ряд угроз, с которыми ему не справиться. Первое — вирусы и черви, которые уже попали на компьютер. Брандмауэр сканирует только сетевой трафик и не анализирует непосредственно файловую систему. Именно поэтому на компьютерах обязательно должен быть полноценный антивирус, который обнаруживает и удаляет уже действующие вирусы.

Брандмауэр не способен защитить вас от вредоносных ссылок, которые вы получаете через спам в электронной почте. Также компьютер может заразиться вредоносным ПО не через сеть — USB-накопители, оптические диски, карты памяти и так далее. Чтение и копирование файлов с этих носителей брандмауэр никак не контролирует.

Многие антивирусы также способны анализировать сетевой трафик, но обычно эта функция не главная.

Плюсы и минусы использования брандмауэра

Главный плюс использования — повышение безопасности. В корпоративном секторе это обязательная защита, которая предотвратит вторжения извне, ограничит доступ в интернет сотрудникам и сделает безопасным передачу файлов по FTP и другим протоколам. Для обычных пользователей брандмауэр уменьшит шанс заражения червями, а также ограничит деятельность «подозрительных» программ.

Использование брандмауэра в операционной системе сопряжено с несколькими минусами:

Если на компьютере множество программ, то пользователям придется добавлять десятки разнообразных правил, но это позволит исключить ложные срабатывания и всецело взять трафик под контроль.

Включение и отключение брандмауэра в разных ОС

Как правило, брандмауэр включен в системах автоматически. Если вам необходимо его временно отключить, то сделать это можно в настройках операционной системы.

Windows 7

Чтобы включить брандмауэр в «семерке», вам необходимо выполнить следующие действия:

Если вам нужно посмотреть или изменить действующие правила, то необходимо перейти из окна брандмауэра в «Дополнительные параметры». Там вы можете увидеть все ограничения на исходящий и входящий трафик, а также создавать собственные правила.

При первом запуске некоторых приложений, для которых в брандмауэре нет правил, вы получите всплывающее окно. В нем можно разрешить доступ программе в общественных или частных сетях.

Windows 10

Включение и отключение брандмауэра в «десятке» выполняется аналогичным способом — через панель управлении и соответствующий подпункт. Визуально интерфейс соответствует окнам из Windows 7.

В Windows 10 также появилась возможность более тонкой настройки работы брандмауэра. В «Защитнике Windows» вы можете настроить отдельно утилиту не только для частных и общественных сетей, но и для домена.

Если через стандартные настройки брандмауэр не отключается или не запускается, то стоит проверить работу службы. Открыть окно всех служб вы можете через команду «services.msc», которую следует набрать в строке поиска. В свойствах службы брандмауэра вы можете запустить или остановить ее.

MacOS

Несмотря на то, что MacOS является закрытой операционной системой, она также подвергается многочисленным угрозам со стороны злоумышленников. Компания AV-TEST провела исследование и выяснила, что в 2020 году для системы было создано более 670 тысяч разнообразных вирусов и червей. Как показывает график, число опасностей по сравнению с предыдущими годами растет многократно. Однако этот показатель не сравнится с числом вредоносного ПО для Windows — 91 миллион.

Использование брандмауэра в MacOS становится как никогда актуальным. Включить его на устройствах под управлением OS X V10.6 или новее вы можете следующим образом:

Во вкладке конфиденциальность выставляются запреты на отслеживание геолокации для конкретных программ.

Включение и отключение брандмауэра на Linux

Семейство систем Linux достаточно большое, поэтому мы расскажем о распространенном решении UFW (Uncomplicated Firewall). Это популярный инструмент командной строки для настройки и управления брандмауэром в дистрибутивах Ubuntu и Debian. Для работы вам необходимо писать все команды с правами суперпользователя (sudo).

Установка выполняется через команду sudo apt install ufw. Далее выполните действия:

По умолчанию брандмауэр отклоняет все входящие соединения и разрешает только исходящие подключения, поэтому первые придется разрешать вручную. Вы можете разрешить все входящие пакеты, но безопаснее всего сделать разрешения для каждой отдельной службы, используя команды: ufw allow имя_службы, ufw allow порт и ufw allow порт/протокол.

Альтернативы встроенному брандмауэру

Несмотря на высокую эффективность встроенного в Windows брандмауэра, многие компании предлагают свои альтернативы, начиная от домашнего софта и заканчивая корпоративными решениями.

Бесплатный брандмауэр от компании Comodo имеет интуитивно-понятный интерфейс и достаточный функционал для защиты домашних и корпоративных компьютеров. Comodo Firewall обеспечивает защиту от интернет-атак, переполнения буфера, несанкционированного доступа и не только. В программе имеется блокировщик рекламы и настраиваемые DNS-серверы.

TinyWall. Бесплатный домашний брандмауэр, который чаще всего используется для расширения возможностей стандартного защитника Windows. Софт имеет простой интерфейс, практически не нагружает систему, а также позволяет быстро добавлять различные исключения, включая списки портов и доменов. Если настройка в стандартном брандмауэре вам кажется слишком сложной, то стоит установить TinyWall. Софт переведен на русский.

PrivateFirewall. Бесплатный брандмауэр для Windows только на английском языке. Утилита позволяет выставить один из нескольких уровней безопасности, сканировать порты, защитить систему от вирусов, троянов, червей и других вредоносных программ. Несмотря на отсутствие русского языка, разобраться с программой не составит большого труда.

Обратите внимание, что большая часть брандмауэров после установки имеют минимальные правила блокировки, поэтому для лучшей защиты необходимо включить режим обучения или вручную выставить правила. Все представленные варианты отлично подходят для домашних ПК.

Брандмауэр в качестве межсетевого экрана также присутствует в крупных антивирусах, таких как Avira Internet Security, BitDefender Internet Security, Norton Security, Kaspersky Internet Security и других. Однако эти решения платные и часто имеют ограничение на количество устройств, поэтому они актуальны только для корпоративного сектора.

Источник

Доступ в интернет заблокирован брандмауэром или антивирусом

Привет, мои дорогие! Помню, однажды столкнулась с проблемой – доступ в интернет заблокирован, а почему это случилось, непонятно. Мне стало интересно разобраться в теме, и я решила это сделать на нашем портале – вдруг кому-то еще пригодится. Ну что, начинаем?

Прежде чем лезть в настройки ОС или роутера, проверьте, нормально ли подключен кабель интернета, есть ли деньги на счете. Также проверьте, какой тип у вашей сети. Если общественная, смените на частную. Если с этим порядок, читайте дальше!

Первые действия

Что может блокировать доступ в интернет? Причин великое множество, но чаще всего это происходит из-за работы защитных программ – брандмауэр, антивирусник.

Брандмауэр Windows

Это встроенный в операционную систему межсетевой экран. Это часть комплекса программного обеспечения по защите компьютера от вредоносных проникновений. Это некая стена между информацией из интернета и ПК.

Однако, бывает, что этот инструмент запрещает доступ даже к проверенным сайтам. Чтобы определить, что именно Брандмауэр блокирует интернет, нужно его отключить. Если после этого доступ восстановлен, значит, дело действительно в нем.

Антивирусник

Антивирусная программа (антивирус) – это программа для обнаружения вирусов, а также вредоносных ПО. Также восстанавливает зараженные файлы и предотвращает заражение файлов и операционной системы. Примеры – антивирус Касперского, AVAST, ESET NOD32 и другие.

Чтобы понять, что причина проблемы именно в такой программе, отключите ее и проверьте, восстановился ли доступ к интернету. А теперь переходим к конкретным действиям по работе с защитниками компьютера. Я расскажу, какие настройки нужно провести, чтобы никогда не видеть сообщение: «Доступ к интернету заблокирован. Возможно, подключение заблокировано брандмауэром или антивирусной программой».

Настройки брандмауэра

Межсетевой экран Windows можно настроить по белому и черному списку. Белый – разрешен доступ только к разрешенным ресурсам, остальные запрещены. Черный список – запрещен доступ только к запрещенному, все остальное разрешено. Для лучшей защиты советуют применять шаблон белого списка. А теперь подробнее о возможностях настройки (на примере Windows 10).

Дезактивация

Как отключить защитника Windows, смотрите тут:

Если у вас на ПК установлен сторонний антивирус, защитный инструмент Windows можно отключить. Как это сделать:

Обратите внимание на пункт «Блокировать все входящие подключения…». Если поставить там галочку, то все приложения и браузеры не смогут получать данные из интернета.

Значения по умолчанию

Если вы или кто-то до вас что-то намудрил в настройках защиты, можно выполнить сброс настроек (только учтите, что потом придется все настраивать заново). Там же, где включается/отключается брандмауэр, есть пункт «Восстановить значения по умолчанию». Нажимаем и следуем подсказкам системы.

Работа с исключениями

Для этого есть раздел «Разрешение взаимодействия с приложением или компонентом…». Добавление какой-либо программы в исключения позволяет создать разрешающее правило.

Перед вами будет список программ и компонентов. Поставьте галочки напротив тех, которым вы разрешаете обмен данными, и выберите тип сети.

Дополнительные параметры

В этом разделе располагается главный инструмент брандмауэра – правила. Они запрещают или разрешают сетевые подключения. Правила для входящих подключений – настройка условия для получения информации из интернета, для исходящих – контроль отправки запросов и процесса ответа из Сети.

На вкладке «Наблюдение» доступен просмотр информации о подключениях, для которых созданы правила.

Давайте попробуем создать правило для входящих подключений:

Когда понадобится создать правило для исходящих подключений, делаем все тоже самое. Когда необходимо правило для взаимодействия с игровыми серверами или мессенджерами в Мастере создания выбирают тип «Для порта».

Чтобы активировать правило, найдите его в списке, нажмите на него ПКМ и выберите пункт «Включить правило».

Касперский

Чтобы не столкнуться с ошибкой «Доступ в интернет заблокирован…», после установки антивируса Касперского (или любого другого) нужно провести кое-какие настройки. Это касается моментов, когда до установки вы без проблем посещали определенные сайты, а после установки антивирус не разрешает это сделать. Чаще всего проблема возникает с браузером Firefox.

Что делать, когда доступ в интернет закрыт? Нам нужно отключить проверку защищенного соединения:

Вообще в любой ситуации, когда точно определено, что именно антивирусник блокирует интернет, рекомендую посетить сайт продукта или написать его разработчикам. Там помогут правильно настроить программу, чтобы не возникало проблем с доступом к Сети.

Дополнительные способы решения проблемы с заблокированным доступом в Интернет описаны тут:

На этом заканчиваю. Если есть вопросы, или нужна помощь, напишите в комментарии. Кто-то из ребят обязательно ответит. Всем пока!

Источник

Как отключить или включить брандмауэр Windows, добавить в исключение программу и разблокировать доступ в интернет

Здравствуйте, друзья. В этой теме поговорим о том, как отключить брандмауэр Windows, добавить программу в исключение, а так же постараемся разобраться с ситуацией, когда он блокирует доступ в интернет. Этот пост можно отнести к разделу безопасности, в котором уже присутствуют несколько записей, одна из которых называется: Как защитить компьютер от взлома и основана она на собственном печальном опыте. Из этого следует, что к безопасности нужно подходить серьезно и следует хорошенько подумать, а стоит ли отключать брандмауэр Windows.

Я думаю, что вы уже знакомы с системой безопасности Windows, раз попали на эту страницу. если же по каким-либо причинам не знаете, что такое брандмауэр, то подробную информацию о нем найдете здесь.

Как отключить или включить брандмауэр Windows

Покажу на примере Windows 7, хотя эту инструкцию можно отнести и к версии XP. Если вы не пользуетесь режимом бога, то заходим в Пуск — Панель управления — Система и безопасность — Брандмауэр Windows и слева в меню нажимаем на ссылку: Включение и отключение брандмауэра Windows.

Если у вас домашний компьютер и нет никакой общественной сети, то чтобы его отключить, достаточно установить флажок вот таким образом.

Запретить программе выход в интернет через брандмауэр

Для этого выбираем пункт: Дополнительные параметры. Его видно на первом скриншоте. Затем слева нажимаем: Правила для исходящего подключения и справа: Создать правило и выбираем пункт: Для программы.

На следующем шаге выбираем путь к программе.
На следующем этапе устанавливать флажок: Блокировать подключения.
Нажимает 2 раза Далее и указываем имя нашему подключению, после чего нажимаем кнопку Готово Теперь, программа, добавленная в исключение брандмауэра Windows, не будет ломиться в интернет. Примерно таким же макаром можно разрешить программе выход в сеть.

Если брандмауэр блокирует выход в интернет

Если это касается определенной программы, то проверьте, не стоит ли данный софт в исключениях. Если с этим все в порядке, то следует проверить, не установлена ли галочка при включенном брандмауэре на пункте: Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ. Этот пункт видно на втором скриншоте.

Отключение службы брандмауэра Windows

Если вы совсем не хотите им пользоваться, то можно отключить и службу, которая с ним связана. Это освободит некоторые системные ресурсы. Нажимаем пуск, водим в стоке поиска слово «Службы», переходим, ищем нужный пункт и отключаем службу. В статье про оптимизацию ноутбука написано, какой программой можно отключать неиспользуемые службы.

На этом все. надеюсь, что теперь вы разобрались со своим брандмауэром и теперь он не будет вас беспокоить.

Источник

Почему брандмауэр блокирует интернет и как разблокировать?

Отсутствие доступа к интернету может быть из-за разных причин. Чаще всего это происходит из-за повреждения кабеля или поломки роутера, а также из-за просрочки обязательного платежа.

Однако, иногда интернет может быть отключен самой операционной системой Windows с помощью внутренней программы под названием Брандмауэр. Но что представляет собой приложение? Что делать, если Брандмауэр блокирует доступ в интернет? Почему так происходит? Ниже мы в деталях рассмотрим все эти вопросы.

Общая информация

Брандмауэр Защитника Windows (сетевой экран, файрвол) – это специальное приложение, которое занимается фильтрацией всего трафика, который поступает на компьютер. Фильтрация при этом осуществляется на основании специальных правил, которые задаются пользователем или самой программой.

Главной функцией файрвола является защита компьютера от неправомерного доступа со стороны третьих лиц. Сетевой экран может устанавливаться отдельно в виде вспомогательной утилиты под управлением пользователя.

В операционной системе Windows существует свой собственный сетевой экран, который выполняет фильтрацию трафика без ведома пользователя. В большинстве случаев фильтрация проходит адекватно, а человек при работе с интернетом не ощущает никаких проблем.

Однако, иногда файрвол может «взбеситься», что приводит к блокировке доступа к сети. Почему Брандмауэр блокирует интернет:

Что делать, если подключение заблокировано Брандмауэром или антивирусным ПО? Об этом следующее видео:

Настройка и отключение

Что делать, если Брандмауэр блокирует доступ к интернету? Его рекомендуется отключить вручную. Ниже мы рассмотрим основные сценарии отключения.

Отключение файрвола

Чтобы снять блокировку Брандмауэра с интернета, можно отключить сетевой экран вручную. Делается это так:

Настройка исключений

Иногда бывает так, что Брандмауэр заблокировал не сам доступ к интернету, а лишь программу для работы с ним (например, браузер). Как разблокировать доступ в таком случае? Нужно добавить браузер в список исключений Защитника Windows.

Этот сценарий лучше, по сравнению с полным отключением. Ведь файрвол может блокировать действительно вредоносный контент.

Настройка исключений делается так:

Сброс настроек

Еще одна статья по теме на нашем портале тут.

Заключение

Подведем итоги. Сетевой экран может блокировать доступ к сети по разным причинам. Основные сценарии – заражение компьютера пользователя вирусом или шпионской программой, установка некоторых антивирусов, обновление операционной системы Windows и другое.

Чтобы восстановить доступ, необходимо вручную отключить Брандмауэр Защитника Windows. Сделать это можно с помощью меню для работы с сетевым экраном. Лучшим вариантом будет не полное отключение программы (поскольку файрвол может фильтровать и по-настоящему вредные утилиты), а добавление ПО в список исключений.

Источник

Брандмауэры — это не серебряная пуля, которая защитит вас от всех угроз, но брандмауэры, безусловно, помогут повысить безопасность вашей системы. Брандмауэр не будет обнаруживать или блокировать определенные угрозы, как это делает антивирусная программа, и не будет мешать вам нажимать на ссылку в фишинговом сообщении электронной почты или запускать файл, зараженный червем.

Содержание

• Варианты отключения брандмауэра в Windows XP
  • Способ 1: Отключение брандмауэра
  • Способ 2: Принудительное отключение службы
  • Заключение
• Вопросы и ответы

Довольно часто в различных инструкциях пользователи могут столкнуться с тем, что там потребуют отключить стандартный брандмауэр. Однако, как это сделать не везде расписано. Именно поэтому сегодня мы расскажем о том, как же все-таки это можно сделать без вреда для самой операционной системы.

Отключить брандмауэр Windows XP можно двумя способами: во-первых, это отключить его с помощью настроек самой системы и во-вторых, это принудительно остановить работу соответствующей службы. Рассмотрим оба способа более подробно.

Способ 1: Отключение брандмауэра

Данный способ является наиболее простым и безопасным. Нужные нам настройки находятся в окне «Брандмауэр Windows». Для того, чтобы туда попасть выполняем следующие действия:

1. Открываем «Панель управления», кликнув для этого по кнопке «Пуск» и выбрав соответствующую команду в меню.



2. Среди списка категорий кликаем по «Центр обеспечения безопасности».



3. Теперь, прокрутив рабочую область окна вниз (или же просто развернув его на весь экран), находим настройку «Брандмауэер Windows».



4. Ну и наконец, переводим переключатель в положение «Выключить (не рекомендуется)».

Если вы используете классический вид панели инструментов, то перейти к окну брандмауэра можно сразу, кликнув два раза левой кнопкой мышки по соответствующему апплету.

Отключив таким образом брандмауэр, следует помнить, что сама служба все же остается активной. Если же вам требуется полностью остановить службу, тогда воспользуйтесь вторым способ.

Способ 2: Принудительное отключение службы

Еще один вариант завершить работу брандмауэра – это остановить службу. Для этого действия потребуются права администратора. Собственно, для того, чтобы завершить работу службы, первым делом надо перейти в список служб операционной системы, для чего необходимо:

1. Открыть «Панель управления» и перейти в категорию «Производительность и обслуживание».



Как открыть «Панель управления», было рассмотрено в предыдущем способе.

2. Кликнуть по значку «Администрирование».





3. Открыть список служб, кликнув для этого по соответствующему апплету.



Если вы используете классический вид Панели инструментов, то «Администрирование» доступно сразу. Для этого кликаем два раза левой кнопкой мышки по соответствующему значку, а затем выполняем действие пункта 3.

4. Теперь в списке находим службу под названием «Брандмауэр Windows/Общий доступ к Интернету (ICS)» и двойным кликом открываем ее настройки.



5. Нажимаем кнопку «Стоп» и в списке «Тип запуска» выбираем «Отключено».



6. Теперь остается нажать на кнопку «ОК».

На этом все, служба брандмауэра остановлена, а значит и сам брандмауэр выключен.

Заключение

Таким образом, благодаря возможностям операционной системы Windows XP, у пользователей есть выбор, как отключить брандмауэр. И теперь, если в какой-либо инструкции вы столкнулись с тем, что необходимо его отключить, вы можете использовать один из рассмотренных способов.

Еще статьи по данной теме:

Помогла ли Вам статья?

Брандмауэр Windows является составным элементом центра безопасности Windows. Чтобы открыть окно настройки брандмауэра, выберите команду Пуск>Панель управления и щелкните на значке Брандмауэр Windows.

В Windows XP начиная с пакета обновлений Service Pack 2 брандмауэр Windows включен по умолчанию. Однако если вы установили отдельный брандмауэр, такой как Agnitum Outpost, встроенный брандмауэр Windows желательно отключить. Сделать это можно, выбрав переключатель Выключить на вкладке Общие брандмауэра.

Рассмотрим принцип его действия. Когда к компьютеру пытается подключиться кто-то из Интернета или локальной сети, эти попытки называют непредусмотренными запросами. Если на компьютер поступает непредусмотренный запрос, брандмауэр Windows блокирует данный сетевой запрос. В случае использования на компьютере таких программ, как ICQ или сетевых игр, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр выводит запрос: следует блокировать или разрешить подключение? Если пользователь разрешает подключение, брандмауэр Windows создает специальное исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы.

Если идет обмен мгновенными сообщениями (например, по ICQ) с собеседником, который собирается прислать файл (например, фотографию), брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешении передачи фотографии на компьютер. В свою очередь, чтобы насладиться сетевой игрой через Интернет с друзьями, пользователь может добавить эту игру как исключение.

Для настройки исключений перейдите на вкладку Исключения. В ней в окне Программы и службы представлен список приложений и служб. Для того чтобы брандмауэр пропускал данные из Интернета, установите флажок напротив нужной программы, а для того, чтобы запретить передачу данных программе из Интернета, снимите флажок.

Для открытия доступа к компьютеру из Интернета через определенный порт щелкните на кнопке Добавить порт.

На вкладке Дополнительно можно указать, для каких именно подключений будет активирован брандмауэр Windows.

Вообще, мой вам совет – установите нормальный брандмауэр, если вас действительно интересует защита Windows. Встроенный брандмауэр Windows XP обеспечивает лишь самую базовую защиту. Лучше, конечно, такая, чем вообще никакой, но в наше время выходить в Интернет без приличной защиты – нонсенс и не кошерно воопче.

• Из бесплатных брандмауэров рекомендую Comodo Firewall , призер многих тестов.
• Замечательный брандмауэр в Kaspersky Internet Security.
• Шикарный брандмауэр Agnitum Outpost.

В Windows ХР предусмотрен брандмауэр с ограниченными возможностями. Чтобы установить брандмауэр Windows ХP и настроить его, проделайте описанные ниже действия.

1. В панели управления щелкните на значке Сетевые подключения.
2. Щелкните правой кнопкой мыши на значке вашего провайдера или телефонного Интернет-подключения и из контекстного меню выберите пункт Свойства.
3. В диалоговом окне Свойства откройте вкладку Дополнительно.
4. В разделе Брандмауэр Windows щелкните на кнопке Параметры, чтобы открыть диалоговое окно Брандмауэр Windows.
5. Появится диалоговое окно Брандмауэр Windows.
6. Поставьте переключатель в положение Включить (рекомендуется).
7. Щелкните на вкладке Исключения. На этой вкладке вы укажете, кому вы разрешаете передавать данные на ваш компьютер. Обычно брандмауэр блокирует все — это очень безопасно, но не очень вежливо и эффективно..
8. Установите флажок Общий доступ к файлам и принтерам. Это позволит другим компьютерам получить доступ к вашим файлам и принтеру.
9. Установите флажок возле SmartFTP. Это позволит вам пользоваться программой SmartFTP для отправки и получения данных из Интернета.
10. Уберите все остальные флажки. Только в том случае, если вы хотите, чтобы еще какая-то программы могла общаться с Интернетом, установите в списке напротив нее флажок.
11. Щелкните на ОК. Брандмауэр установлен.

Брандмауэр Windows совсем не так уж плох, особенно если у вас установлена версия Windows ХР SP2. В противном случае, если вам не удается обновить версию, можно воспользоваться брандмауэрами других компаний. Вы можете отключить брандмауэр Windows и установить другой брандмауэр. Запустив два брандмауэра одновременно, вы не добьетесь никаких положительных результатов.

Вряд ли для кого-нибудь секретом является тот факт, что компьютеры нужно защищать. Особенно если вы используете сервер на базе Windows 2000 для выхода в Интернет. Это типично для многих организаций. Windows 2000 намного проще и удобнее в настройке, чем различные версии Unix. А при должной настройке эта система не менее устойчива к взлому и стабильна. Впрочем, многие любители Unix могут с этим не согласиться, но это мое мнение. Обычно к серверу Windows 2000 подключается модем выделенной линии (или любое другое устройство), параллельно с локальной сетью. При этом организуется либо раздача соединения с Интернетом по локальной сети (Internet Connection Sharing, простейший вариант NAT), либо устанавливается прокси-сервер. Каждый из этих вариантов имеет свои плюсы и минусы, но с точки зрения гибкости управления и учета деятельности пользователей я предпочитаю второй. В любом случае нужно ясно понять – сервер придется защищать. Самое удивительное – Windows 2000 (равно как и XP) обладают богатыми встроенными возможностями по защите, и в этой статье я постараюсь вам объяснить, как ими пользоваться. Но для начала давайте вспомним базовые концепции стека протоколов TCP/IP.

Особенности стека TCP/IP

Основной протокол стека TCP/IP – это IP (Internet Protocol). Он работает на сетевом уровне и занимается доставкой пакетов. У отправителя и получателя должны существовать уникальные IP адреса, которые указываются в заголовках каждого пакета. То есть первый критерий фильтрации – мы можем пропускать пакеты только от нужных (или только к нужным) IP адресам. Это самая примитивная фильтрация.

Но помимо протокола IP в сети работают несколько других протоколов. Каждый из них добавляет в пакет свой заголовок, то есть в момент передачи по сети пакет представляет собой «слоеный пирог», где помимо данных помещены заголовки различных протоколов. Один из этих заголовков вы уже знаете – это заголовок протокола IP.

Выше протокола IP находятся протоколы транспортного уровня – это TCP (Transmission Control Protocol) и UDP (User Datagram Protocol). Обычно используется либо TCP, либо UDP. Каждый из этих протоколов тоже добавляет в пакет свой заголовок. У UDP и TCP есть своя специфика – они, в отличие от IP, уже умеют работать с сетевыми службами. Причем адресация сетевых служб происходит по адресу службы – номеру порта. Отсюда вытекает вторая возможность фильтрации – мы можем ограничивать доступ по номеру порта. При этом номер порта можно комбинировать с IP адресом – к примеру, разрешать доступ на веб-сайт сервера (стандартно TCP порт 80) только с определенных IP адресов. Учтите, что хотя номера портов для TCP и UDP похожи, это разные протоколы и номера портов у них тоже разные. Номера портов большинства служб стандартизированы, и вы можете посмотреть их в файле «services», который размещается в каталоге %systemroot%system32driversetc. %Systemroot% — это каталог, где у вас установлена Windows. Кстати,
комбинация «IP адрес» + «номер порта» называется сокетом. Сокет позволяет уникально адресовать службу в Интернете.

Когда вы обращаетесь к удаленному серверу по протоколу TCP, то происходит процесс установления связи. К примеру, вы
обратились к веб-серверу узла 192.168.1.1 (стандартно – на TCP порт 80). При этом ваш компьютер (клиент) тоже должен
выделить порт, чтобы сервер знал, куда отправлять ответ. Порт клиента выделяется случайным образом – к примеру, пусть это будет TCP 29334.

Кстати, очень полезно использовать утилиту «netstat.exe», которая входит в стандартную поставку Windows – она
показывает все текущие TCP соединения и открытые порты.

Как правило, все сетевые службы общаются через TCP или UDP. TCP сегодня используется наиболее часто. Так что практически в любом пакете вы обнаружите заголовки TCP и UDP, по которым мы и будем осуществлять фильтрацию.

Осталось упомянуть протокол ICMP (Internet Control Message Protocol). Он использует IP, но не задействует ни TCP, ни UDP. ICMP предназначен для диагностики компьютерной сети, и его, в принципе, можно разрешать с любого IP адреса на любой IP адрес. По ICMP работает утилита «ping.exe», также стандартно поставляющаяся с Windows. С помощью утилиты ping вы сможете проверить доступность любого узла в Интернете. А с помощью еще одной утилиты – tracert.exe – проверить маршрут до выбранного узла.

Теперь после небольшого теоретического введения давайте перейдем собственно к построению защиты. Я буду иллюстрировать статью английской версией операционной системы, поскольку использовать русскую версию сервера Windows 2000 я настоятельно не рекомендую. Вряд ли «база знаний» на русском языке столь же информационно наполнена, как knowledge base на английском – а ведь это именно тот ресурс, который жизненно необходим всякому уважающему себя администратору. Для непосвященных
отмечу – «knowledge base» содержит ответы практически на все вопросы, там указаны практически все ошибки Windows, а также даны рекомендации по их решению и различные советы.

Настройка брандмауэра

Первое, что мы делаем – переходим в Local Security Policy (Control Panel -> Administrative Tools).

Там выбираем строчку «IP security policies…» Там уже есть три политики, но мы с вами будем создавать новую.

Нажимаем правую клавишу мыши на «IP security policies…», выбираем «Create IP security policy…» Запустится мастер установки IP политики.

Здесь предлагается ввести название политики и ее описание. Пусть будет «My first IP security policy».

Во втором окне оставьте галочку.

Здесь тоже ничего не трогайте, пусть все будет по умолчанию.

Здесь снимаем галочку – свойства политики мы отредактируем чуть позднее. Теперь в списке политики мы наблюдаем нашу. Нажимаем правую клавишу мыши на «IP security policies…», выбираем «Manage IP filter lists and filter actions…», переходим в закладку «Manage Filter Actions».

Нажимаем клавишу Add – нам нужно добавить действие «Deny». Вновь запускается мастер.

Во втором окне мы выбираем действие – «Block».

Первое правило – все, что не разрешено, должно быть запрещено. Наш подход будет следующий – мы запретим связь со всеми узлами, а потом будем потихоньку открывать то, что нам нужно. В последнем окне нажимаем клавишу «Finish», галочку «Edit Properties» помечать не нужно.

В окне действий появилось наше – «Deny». Закрываем окно и переходим к редактированию созданной нами политики (для этого достаточно нажать два раза левой клавишей мыши на ее название).

Нажимаем клавишу «Add». Сейчас мы будем изменять нашу политику. Запустится мастер.

Туннель нам не нужен – нажимаем «Next».

Здесь указывается, для какого соединения будет действовать правило. Если внутренняя сеть у вас имеет «левые» IP адреса, то можете сильно не мучаться и указать «All network connections», мы обеспечим доступ с внутренней сети отдельной строкой. Если выделенка у вас подключена через удаленный доступ, то можете выбрать «Remote Access», но опять же, если у вас есть несколько модемов для доступа клиентов сети к серверу по телефону, то это правило будет действовать и на них, что не всегда полезно. Так что указывайте «All network connections» и не мучайтесь.

Здесь все оставляем по умолчанию.

Первое что мы должны сделать – запретить все для всех. Поэтому нажимаем клавишу Add – будем добавлять фильтр. Запустится опять же мастер добавления фильтра (то же самое вы можете сделать через строчку «Manage IP filters list», нажав правую клавишу мыши на «IP security policies…» в окне «Local security settings»).

Называем фильтр «Deny Filter List» и нажимаем клавишу «Add». Вновь запускается мастер (они вам еще не надоели?).

Здесь указывается источник пакета. Поскольку мы хотим запретить пакеты от всех источников, то указываем «Any IP address».

Здесь указывается адрес получателя пакета. Опять же, мы хотим запретить пакеты от всех IP источников для нашего компьютера, поэтому указываем «My IP address».

Мы запрещаем все протоколы – выбираем «Any».

Готово – появился новый фильтр. Прекрасно, теперь нажимаем клавишу «Ok».

Появился новый список фильтров. Нажимаем «Next».

Выбираем действие – «Deny».

В политике появилось новое правило – запрещение всего от всех и для всех. Теперь будем разрешать. Это, пожалуй, самая трудоемкая задача.

Первоначально следует разрешить ICMP трафик от всех пользователей на нашу машину. Для этого выполним ту же операцию «Add» в окне политики, только теперь мы воспользуемся готовым списком фильтров «All ICMP traffic».

Данный фильтр разрешает ICMP пакеты с любого IP адреса на наш компьютер.

Естественно, что действие теперь будет «Permit».

В свойствах политики добавилась еще одна строчка.

Теперь у нас не будет работать ничего, кроме ICMP протокола. Сейчас нам осталось выделить те службы, которые нам нужны, и прописать для них доступ. Лучше всего создать еще один список фильтров (к примеру, «Internet services»), добавить в него несколько строчек фильтров и право «permit». Ниже я дам строчки для самых распространенных служб, но в вашем индивидуальном случае все может быть по-другому. Следует отметить, что по умолчанию каждая служба добавляется зеркально – то есть если мы разрешаем связь от нашего компьютера к любым веб-серверам (порт 80), то будет реализовываться и обратная связь для передачи ответа веб-сервера.

Если у вас есть локальная сеть с «левыми» адресами, то нужно прописать для нее доступ – открываем все протоколы с адресов 192.168.1.0 маска 255.255.255.0 (к примеру) до «My IP address». Для этого можете создать отдельный фильтр «My LAN».

А теперь перейдем к заполнению наиболее часто используемых служб (если у вас есть дополнения, то присылайте их автору (dch@3dnews.ru)).

1. Запросы DNS сервера.
Разрешаем 53 порт получателя (destination port address) протокола UDP от нашего компьютера к любому компьютеру. Вместо любого компьютера можно указать DNS сервер провайдера.

2. Веб-трафик.
Открываем порт TCP 80 получателя от нашего компьютера к любому компьютеру.

3. FTP-трафик.
Открываем порты TCP 20 и TCP 21 получателя от нашего компьютера к любому компьютеру.

4. SMTP трафик (для отправки писем).
Открываем порт TCP 25 получателя от нашего компьютера к любому компьютеру (можно вместо любого компьютера указать SMTP сервер провайдера).

5. POP3 трафик (для приема писем).
Открываем порт TCP 110 получателя от нашего компьютера к любому компьютеру (или к POP3 серверу провайдера).

6. IMAP трафик (для приема писем).
Открываем порт TCP 143 получателя от нашего компьютера к любому компьютеру (или к IMAP серверу провайдера).

7. ICQ трафик.
Зависит от сервера ICQ, обычно TCP порт 5190 получателя от нашего компьютера к любому компьютеру (или к серверу ICQ).

Ну а сейчас пришла пора тестирования – нажимаем правую клавишу мыши на название нашей политики и указываем «Assign».

После этого вы можете наслаждаться результатом.

Заключение

После изучения данной статьи вы сможете самостоятельно настроить брандмауэр, используя встроенные в Windows
2000/XP средства безопасности. Брандмауэр позволяет повысить безопасность компьютерной сети и ограничить доступ к службам, которые вы желаете открыть только для внутренней сети. Помните, что главное правило – все что не разрешено, должно быть запрещено.

Дополнение

Доброе время суток…

В целом, задачу можно решить значительно проще:

I. Если сервер используется только для доступа в Интернет (и возможно для хостинга веб)

1.1 Отключаем на «внешнем» интерфейсе биндинг всего кроме TCP/IP

1.2 Включаем ICS(AutoNAT outside)

1.3 смотрим netstat -na

1.4 отключаем ненужные сервисы последовательно

1.5 повторяем 1.3 и 1.4 до отсутствия в 1.3 результате открытых портов на «внешнем» интерфейсе

1.6 наслаждаемся результатом

II. Если сервер используется для MSSQL, 1C, хранения финансовых отчетов и т.п. и к нему подключили Интернет.

1.1 Отключить Интернет от сервера

1.2 Уволить админа

1.3 Поставить отдельный сервер

1.4 Перейти к пункту 1)

III. Лирическое отступление:

Брандмауэры 2-го уровня (не умеющие анализировать содержимое пакетов) и не использующие понятия «внешний» и «внутренний» интерфейс к применению не пригодны (как минимум
сами по себе). Под «внешним» подразумевается интерфейс, подключенный к Интернет и имеющий «реальный» адрес. Встроенный в Win2k/XP данные возможности имеет, но настраивается намного сложнее, чем любой другой. В тоже время, существует достаточное число внешних продуктов, который распостраняются бесплатно (либо условно-бесплатно) и обладают значительно более удобным интерфейсом, а в отдельных случаях (Conseal PC firewall) и гораздо более правильной реализацией. К сожалению, на данный момент, на рынке отсутствуют продукты, которые могли бы создавать приемлемую Security Policy автоматически. Таким образом, для среднего пользователя Сети Интернет, большинство из продуктов либо не дадут результата, либо будут препятствовать работе. Не говоря о том, что обойти брандмауэр 2-го уровня довольно просто. Для этого даже не надо знать как оно работает, — уже существуют готовые программы для spoofing (IP and MAC). Приведенный в статье пример настройки вообще не содержит упоминаний о применении правил к интерфейсам, а так же того, что для разных интерфейсов (внешнего и внутреннего) необходимы _разные_ правила. Общий же тон статьи может создать впечатление мнимой простоты и ложной защишенности у начинающего пользователя. Что есть неправильно, с моей точки зрения. Опыт работы показывает, что 90% попыток пользователя настроить брандмауэр, основываясь на информации, почерпнутой из указаний «нажать сюда, потом сюда» заканчивается проблемами с доступом в Сеть и звонками пользователя в Службу поддержки провайдера.

Все вышеизложенное является моим личным мнением и никоим образом не является официальным мнением моего работодателя.

Мнение сформировано 7-ю годами администрирования в ISP.

-----------
With best,
Peter Lavee