Windows Vista. Для профессионалов - Роман Клименко

– Вывести уведомление – определяет, будет ли отображаться сообщение о том, что входящее подключение было заблокировано;

– Разрешить одноадресный ответ – указывает, разрешено ли отвечать направленными сообщениями на групповые и широковещательные сообщения;

– Правила локального брандмауэра – определяет, разрешено ли применять правила стандартного брандмауэра данного компьютера;

– Правила безопасности локальных подкл. – указывает, разрешено ли применять правила сетевых подключений данного компьютера.

• Ведение журнала – если вы нажмете кнопку Настроить, то сможете настроить такие параметры ведения файла журнала, как путь к нему, максимальный размер файла, а также указать, будут ли в нем регистрироваться успешно установленные сетевые соединения и потерянные пакеты.

Это окно также содержит вкладку Параметры IPSec, на которой расположена кнопка Настроить и раскрывающийся список Исключить ICMP из IPSec. С помощью списка можно определить, будут ли пакеты протокола ICMP исключаться из трафика IPSec.

Если вы нажмете кнопку Настроить, то отобразится окно Выбор параметров IPSec, позволяющее настроить следующие параметры работы протокола IPSec.

• Обмен ключами (основной режим) – дает возможность изменить алгоритм шифрования, используемый при обмене ключами, алгоритм шифрования и проверки целостности передаваемых пакетов, а также время жизни ключа (как на основе количества прошедшего времени, так и на основе количества созданных сессий).

По умолчанию используется проверка целостности пакетов на основе алгоритма SHA1, но можно также использовать алгоритм MD5.

Используется шифрование пакетов с помощью алгоритма AES-128, но можно также использовать такие алгоритмы, как AES-256, AES-l92, 3DES, DES (AES-256 обеспечивает самое надежное шифрование, a DES – самое ненадежное, но быстрое).

По умолчанию используется шифрование ключей с помощью алгоритма Диффи-Хелмана второй группы. Можно также использовать такие разновидности алгоритма Диффи-Хелмана, как алгоритм первой группы, четырнадцатой, а также алгоритм эллиптической кривой Р-256 или Р-384. Алгоритм первой группы обеспечивает наименьшую защиту ключа. Алгоритмы на основе эллиптической кривой обеспечивают самое надежное шифрование, однако они поддерживаются только операционной системой Windows Vista.

• Защита данных (быстрый режим) – также позволяет изменить алгоритмы, используемые для шифрования и проверки целостности пакетов. Кроме того, с помощью данного поля можно определить, какой протокол и в какой последовательности будет использоваться при подключении по протоколу IPSec (ESP (использует как проверку целостности пакетов, так и шифрование) или АН (использует только проверку целостности пакетов)).

• Метод проверки подлинности – дает возможность изменить способ аутентификации пользователей при создании соединения на основе протокола IPSec. При этом можно указать следующие методы аутентификации:

– аутентификация компьютера и пользователя на основе протокола Кеrberos;

– аутентификация компьютера на основе протокола Kerberos;

– аутентификация пользователя на основе протокола Kerberos;

– использование сертификата пользователя для аутентификации;

– использование пароля.

Обратите также внимание на команду Восстановить значения по умолчанию контекстного меню оснастки. С ее помощью можно изменить все настройки брандмауэра на стандартные, если созданные настройки не удовлетворяют вашим требованиям. Стандартные настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesSharedAccessDefaults Firewall Pol icy. Текущие же параметры настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccessParametersFirewallPolicy. Эти ветви реестра содержат одинаковые подразделы.

• DomainProfile, PublicProfile и StandardProfile – хранят настройки данного профиля брандмауэра. Например, в них содержатся такие параметры типа REG_DWORD, как EnableFirewall и DisableNotification. Кроме того, эти подразделы могут содержать дочерний подраздел Logging, хранящий настройки ведения файла журнала.

• FirewallRules – содержит параметры строкового типа, каждый из которых определяет одно правило для брандмауэра.

• RestrictedServices – хранит сведения о службах, доступ к сети которых запрещен.

Подраздел Правила для входящих подключений

Этот подраздел оснастки содержит список всех правил для входящих подключений операционной системы. Он хранит множество стандартных правил, однако не все из них включены. Если напротив названия правила установлен значок в виде флажка, то данное правило используется. Если же напротив правила изображен значок со стрелкой вниз, то правило не используется. Чтобы включить или выключить использование данного правила, нужно в его контекстном меню выбрать соответственно команду Включить правило или Отключить правило. Можно также изменить параметры созданного правила. Для этого используется команда Свойства контекстного меню правила. После ее выбора отобразится окно, содержащее следующие вкладки.

• Общие – позволяет настроить имя правила и его описание, а также действие, которое будет выполнено при удовлетворении данного правила. В качестве действия могут использоваться следующие возможности:

– разрешить все подключения, удовлетворяющие данному правилу;

– разрешить только подключения на основе протокола IPSec (также можно дополнительно определить, должен ли при подключении использоваться протокол ESP);

– заблокировать все подключения, удовлетворяющие данному правилу.

• Программы и службы – дает возможность указать программы и службы, подключения которых подпадают под данное правило. По умолчанию правило создается для любых программ.

• Пользователи и компьютеры – позволяет определить компьютеры и пользователей, соединения которых будут всегда разрешены.

• Протоколы и порты – дает возможность настроить локальный и удаленный порт, а также протокол, который должен использоваться при соединении, чтобы оно удовлетворяло данному правилу. С помощью кнопки Параметры для некоторых протоколов можно определить конкретные типы пакетов данного протокола, на которые будет распространяться правило.

• Область – позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.

• Дополнительно – дает возможность настроить дополнительные параметры работы правила. В частности, можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение).

Конечно, по умолчанию присутствует довольно много правил для входящих подключений, но часто необходимо создать свое собственное правило. Для этого применяется команда Создать правило контекстного меню подраздела Правила для входящих подключений. После выбора данной команды отобразится мастер создания нового правила, который состоит из пяти шагов. На первом шаге нужно указать, на основе каких данных будет определяться работа правила (на основе названия программы, на основе службы, на основе определенного порта и протокола или на основе нескольких типов данных). После этого необходимо указать действие при удовлетворении сетевого подключения правилу, профиль сети, для которого будет применяться правило, имя правила и т. д. Все возможности настройки правила, которые предоставляет мастер, были описаны выше, при рассмотрении окна настройки правила.

Когда созданных правил для входящих подключений станет много, вам могут потребоваться такие команды контекстного меню подраздела Правила для входящих подключений как Фильтровать по профилю, Фильтровать по состоянию и Фильтровать по группе, которые позволят отобразить только удовлетворяющие фильтру правила.

Все описанные выше возможности подраздела Правила для входящих подключений присутствуют и в подразделе Правила для исходящего подключения. Как видно из названия, этот подраздел определяет правила для исходящих подключений.

Подраздел Правила безопасности подключения

С помощью данного подраздела можно создать правила для сетевых подключений между двумя компьютерами на основе протокола IPSec. Благодаря этим правилам можно определить параметры работы протокола IPSec для подключений между двумя определенными компьютерами сети. По умолчанию в данном подразделе не существует ни одного правила.

Как и в предыдущих подразделах, чтобы создать новое правило IPSec, нужно воспользоваться командой Новое правило контекстного меню подраздела. После этого отобразится мастер, позволяющий создать следующие правила:

• Изоляция – запрещает соединения на основе таких критериев аутентификации, как членство в домене;

• Освобождение от проверки подлинности – правило, при котором соединение с определенным компьютером не будет требовать аутентификации;