З виходом нової ОС від Microsoft гостро постало питання про захист. Старі фаєрволи вимагають доопрацювання, або взагалі не працюють. Особливо якщо у Вас встановлена 64 бітна версія. На щастя в Windows Vista і Windows 7 є свій власний firewall.
У новій операційній системі Microsoft врахувала помилки минулих років і допрацювала свій вбудований фаерволл, але добратися до нього не так легко. Стандартно відкривається убозтво, яке ми бачили ще в ХР.
Щоб потрапити в просунуті налаштування. необхідно залізти в ятати адміністрування:
Тут необхідно вибрати «Windows Firewall with Advanced Security». Це так-же працює в Windows 7.
Потрапляємо ми в таке чудове віконце:
Тут все досить просто:
- Inbound rules (правила для вхідних з'єднань)
- Outbound rules (правила для вихідних з'єднань)
- Connection Security Rules (настройки для захищених з'єднань IPsec)
- Monitoring (поточні активні правила, логирование, з'єднання і тд)
Натиснувши пункт моніторинг, отримуємо чудову картину того, що відбувається. Стандартно Windows має 3 профілю роботи з мережею. Встановивши нове з'єднання, ми відповідаємо на питання, якою є наша нова мережа, але не знаючи що стоїть за цими назвами, ми вибираємо кота в мішку.
На жаль Microsoft не дало нам можливості самим створювати профілі, так що доведеться викручуватися тим що є.
Особисто я бачу 2 розвитку подій:
Якщо у Вас стаціонарний комп'ютер, то можна обійтися 2-ма профілями:
- Public - для з'єднання в інтернет.
- Private - для з'єднання в локальній мережі.
Якщо у Вас ноутбук або багато різних сполук.
Розглянемо налаштування фаєрвола, на основі публічного профілю.
Перше що кидається в очі:
Тут ми бачимо що профіль активний. Фаєрвол включений, невідомі вхідні з'єднання заборонені. а вихідні дозволені всім. Але це не є гуд, адже ви хочете знати що у вас і куди ломиться.
Для цього заходимо в налаштування фаєрвола:
Перед нами з'являється віконце, в якому ми вибираємо потрібний профіль і забороняємо невідомі підключення:
Тепер з'єднання до інтернету доступно тільки дозволеним додатків, але як дізнатися кому не дали інтернет? Для цього потрібно налаштувати логирование з'єднань:
Тут ми можек вказати шлях до балці. Обмежити розмір і найголовніше включити логирование скасованих з'єднань:
Тепер ми повинні дозволити з'єднання з рештою світу програмам, яким ми довіряємо:
Створимо нове правило на прикладі IM Miranda:
Тип правила виберемо для додатка (Programm). Тим самим ми даємо обраної програмі повну свободу дій. Це корисно, коли у Вас немає часу «тонко» налаштувати правило і Ви довіряєте з додатком.
Правило для портів (Port) дозволяє відкрити один, або кілька вхідних портів вашого копмьютера.
Далі буде описано створення більш складних правил.
Вказуємо шлях до Ехе файлу, який ми хочемо пустити в мережу.
Тут вибираємо дію: дозволити / заборонити.
Тут ми вибираємо профіль, для якого справді це правило.
Наприклад ми можемо заборонити будь-програми гойдалки і поновлення, якщо з'єднання відбувається через «дорогий профіль».
Ну і останнім штрих: опис профілю.
Цією послідовністю дій ми дозволили одній програмі отримувати доступ в мережу інтернет. Проробивши ці дії для інших програм ми можемо бути впевнені, що вихід в інтернет мають тільки довірені додатки.
Створення більш складних правил
Бувають випадки, коли потрібно створювати складні правила. Для цього ми використовуємо створене вручну правило (Custom Rule).
Для прикладу давайте створимо правило, яке дозволить будь-якому додатку на нашому комп'ютері з'єднання з 80-м портом віддаленого сервера (зазвичай цей порт використовується для WEB-серверів). Це дозволить переглядати звичайні сайти будь-якою програмою (цей порт можуть використовувати так-же і деякі віруси, я взагалі не раджу створювати глобальні правила)
Наступним кроком ми вибираємо до якому додатку застосовувати дане правило, або зробити це правило глобальні для всіх додатків:
Ми вибираємо «All Programs»
Наступний крок це вибір протоколу і портів:
Вибираємо тип протоколу
Local Port: All Ports (ми адже заздалегідь не знаємо який порт відкриє програма для з'єднання з сервером)
Remote Port. Specific Ports [80] (А ось стандартний порт для Web сервера ми знаємо, можна також вказати 443 порт для SSL з'єднань. Порти можна перераховувати через кому, але не можна вказати проміжок портів від і до)
Customise the interface types which this rules applies to (Вибрати типи інтерфейсів до яких застосовується це правило)
Тут ми можемо вибрати все інтерфейси, або один з трьох типів: Local Area Network (Ваше з'єднання безпосередньо через мережеву карту), Remote Acess (Це з'єднання через VPN, або через Dial-up), Wireless (це з'єднання через бездротовий інтерфейс)
У цьому пункті ми вибираємо що робить правило: пропускає або блокує трафік.
Вибираємо до яким профілем належить правило.
В останньому пункті вказуємо ім'я правила і опис (опціонально)
Неправильна розкладка: yfcnhjqrf cnfylfhnyjuj, hfylvfethf Цштвщци мшиеф / Цштвщци 7 (иумут)