В операционных системах Windows имеется встроенный межсетевой экран.

По сравнению с Windows XP, в Windows 7 расширены возможности фильтрации трафика встроенными средствами. Теперь пользователи могут создавать правила не только для входящего, но и для исходящего трафика. Кроме того, в системе существуют три профиля межсетевого экрана. Один соответствует подключению к частной сети, другой - к публичной сети, третий используется при работе в составе домена Windows. Профили представляют собой наборы правил, оптимизированные для работы в условиях соответствующей сети (профиль выбирается в зависимости от характеристик сети, в которой в текущий момент работает компьютер). Количество профилей изменить нельзя, но пользователь может изменить состав и настройку правил, составляющих тот или иной профиль.

Каждый профиль имеет правила по умолчанию для входящего и исходящего трафиков. Они применяются в случае отсутствия для пакета данных явно определенного правила. Для исходящего трафика правило по умолчанию для всех профилей разрешает все, для входящего трафика - все блокирует. Вы можете изменить эти установки, например, запретить передачу данных из компьютера в сеть. В этом случае необходимо создать разрешающее правило для передачи необходимых данных вовне.

По умолчанию в профиле созданы наборы разрешающих правил, которые обеспечивают работу компьютера в составе сети Microsoft. Наборы правил довольно объемны, но на начальных этапах настройки Windows можно сохранить предложенные изготовителем настройки.

Операции выполняются под руководством мастера (рис. 5.5); их выполнение не представляет особой сложности.

Мастер создания правила для исходящего трафика в Windows Vista

Рис. 5.5. Мастер создания правила для исходящего трафика в Windows Vista

Хотелось бы обратить особое внимание на следующие моменты.

Правило можно создать для программы, службы или порта. Если есть возможность, нужно выбирать программу или службу. Дело в том, что порт открывается созданным правилом на все время работы межсетевого экрана, а если правило создано для программы, то порт будет открыт только в период активности соответствующей программы. Это более безопасная ситуация.

Примечание Межсетевой экран может использовать эти настройки только для программ, работающих через Windows Socket. Поскольку особенности построения конкретной программы заранее не известны, то после создания правила следует проверить его работоспособность и при наличии ошибок выполнить настройку на основе протокола (порта).

Выбор настраиваемого правила необходимо сделать, если предполагается фильтровать трафик в зависимости от адресов источника и назначения. Правило позволяет определить как один адрес, так и диапазон IP-адресов. Кроме того, можно указать в правиле группу компьютеров по их функциональному назначению: WINS-, DHCP- или DNS-серверы, шлюз или локальная подсеть. Такое назначение позволяет более точно настроить правила с учетом возможного переноса данных ролей на другие компьютеры сети.

Аппаратные решения | Самоучитель системного администратора | Программные комплексы


Самоучитель системного администратора



Новости за месяц

  • Октябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31