Налаштування брандмауера (брандмауера) в windows xp professional sp2


Як працює міжмережевий екран.

Таку технологію, як фільтри пакетів на підставі повної інформації про пакет, міжмережевий екран ICF використовує спільно з компонентом ICS. Хоча ICF зазвичай і застосовується тільки в ізольованому режимі роботи комп'ютера, його іноді використовують для захисту загального адаптера і забезпечення безпеки домашньої мережі. За замовчуванням фільтри пакетів брандмауера ICF блокують все не запитані пакети з відкритого мережевого інтерфейсу. Для цього ICF звертається до таблиці трафіку в Network Address Translation (NAT) і перевіряє весь вхідний трафік на відповідність своїм правилам. Вхідні потоки даних пропускаються тільки при наявності відповідного запису в таблиці трафіку NAT, створеної фаєрволом або іншими засобами з внутрішньої захищеної мережі.

Особливості стека TCP / IP

Але крім протоколу IP в мережі працюють кілька інших протоколів. Кожен з них додає в пакет свій заголовок, тобто в момент передачі по мережі пакет являє собою «листковий пиріг», де крім даних поміщені заголовки різних протоколів. Один з цих заголовків ви вже знаєте - це заголовок протоколу IP.

Коли ви звертаєтеся до віддаленого сервера по протоколу TCP, то відбувається процес встановлення зв'язку. Наприклад, ви звернулися до веб-сервера вузла 192.168.1.1 (стандартно - на TCP порт 80). При цьому ваш комп'ютер (клієнт) теж повинен виділити порт, щоб сервер знав, куди відправляти відповідь. Порт клієнта виділяється випадковим чином - наприклад, хай це буде TCP 29334.

До речі, дуже корисно використовувати утиліту "netstat.exe", яка входить в стандартну поставку Windows - вона показує всі поточні TCP з'єднання і відкриті порти.

Як правило, всі мережеві служби спілкуються через TCP або UDP. TCP сьогодні використовується найбільш часто. Так що практично в будь-якому пакеті ви виявите заголовки TCP і UDP, за якими ми і будемо здійснювати фільтрацію.

Перше, що ми робимо - переходимо в Local Security Policy (Control Panel - Administrative Tools)

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Там вибираємо рядок "IP security policies." Там вже є три політики, але ми з вами будемо створювати нову. Натискаємо праву кнопку миші на "IP security policies.", Вибираємо "Create IP security policy." Запускається майстер установки IP політики. Тут пропонується ввести назву політики та її опис. Нехай буде "My first IP security policy".

Налаштування брандмауера (брандмауера) в windows xp professional sp2

У другому вікні залиште галочку

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Тут теж нічого не чіпайте, хай все буде за замовчуванням.

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Тут знімаємо галочку - властивості політики ми відредагуємо трохи пізніше. Тепер в списку політики ми спостерігаємо нашу. Натискаємо праву кнопку миші на "IP security policies.", Вибираємо "Manage IP filter lists and filter actions.", Переходимо в закладку "Manage Filter Actions".

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Натискаємо кнопку Add - нам потрібно додати дію "Deny". Знову запускається майстер.

Налаштування брандмауера (брандмауера) в windows xp professional sp2

про другому вікні ми вибираємо дію - "Block" Перше правило - все, що не дозволено, має бути заборонено. Наш підхід буде наступний - ми заборонимо зв'язок з усіма вузлами, а потім будемо потихеньку відкривати те, що нам потрібно. В останньому вікні натискаємо кнопку "Finish", галочку "Edit Properties" позначати не потрібно.

Налаштування брандмауера (брандмауера) в windows xp professional sp2

У вікні дій з'явилося наше - "Deny". Закриваємо вікно і переходимо до редагування створеної нами політики (для цього достатньо натиснути два рази лівою клавішею миші на її назву).

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Натискаємо кнопку "Add". Зараз ми будемо змінювати нашу політику. Запуститься майстер. Натискаємо Next.

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Тут все залишаємо поумолччанію.

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Перше що ми повинні зробити - заборонити все для всіх. Тому натискаємо кнопку Add - будемо додавати фільтр. Запуститься майстер додавання фільтру (те ж саме ви можете зробити через рядок "Manage IP filters list", натиснувши праву кнопку миші на "IP security policies." В вікні "Local security settings")

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Називаємо фільтр "Deny Filter List" і натискаємо кнопку "Add". Знову запускається майстер

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Готово - з'явився новий фільтр. Прекрасно, тепер натискаємо клавішу Ok

Налаштування брандмауера (брандмауера) в windows xp professional sp2

З'явився новий список фільтрів. натискаємо Next

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Вибираємо дію - Deny

Налаштування брандмауера (брандмауера) в windows xp professional sp2

У політиці з'явилося нове правило - заборона всього від усіх і для всіх. Тепер будемо вирішувати. Це найбільш трудомістка задача.

Спочатку слід дозволити ICMP трафік від всіх користувачів на нашу машину. Для цього виконаємо ту ж операцію Add у вікні політики, тільки тепер ми скористаємося готовим списком фільтрів All ICMP traffic

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Налаштування брандмауера (брандмауера) в windows xp professional sp2

Природно, що дія тепер буде Permit

Налаштування брандмауера (брандмауера) в windows xp professional sp2

У властивостях політики додалася ще одна строчка.

Тепер у нас не буде працювати нічого, крім ICMP протоколу. Зараз нам залишилося виділити ті служби, які нам потрібні, і прописати для них доступ. Найкраще створити ще один список фільтрів (наприклад, Internet services), додати в нього кілька рядків фільтрів і право permit. Нижче я дам рядки для найпоширеніших служб, але в вашому індивідуальному випадку все може бути по-іншому. Слід зазначити, що за замовчуванням кожна служба додається дзеркально - тобто якщо ми дозволяємо зв'язок від нашого комп'ютера до будь-яких веб-серверів (порт 80), то буде реалізовуватися і зворотний зв'язок для передачі відповіді веб-сервера.

А тепер перейдемо до заповнення найбільш часто використовуваних служб

1. Запити DNS сервера. Дозволяємо 53 порт одержувача (destination port address) протоколу UDP від ​​нашого комп'ютера до будь-якого комп'ютера. Замість будь-якого комп'ютера можна вказати DNS сервер провайдера.

2. Веб-трафік. Відкриваємо порт TCP 80 одержувача від нашого комп'ютера до будь-якого комп'ютера.

3. FTP-трафік. Відкриваємо порти TCP 20 і TCP 21 одержувача від нашого комп'ютера до будь-якого комп'ютера.

4. SMTP трафік (для відправки листів). Відкриваємо порт TCP 25 одержувача від нашого комп'ютера до будь-якого комп'ютера (можна замість будь-якого комп'ютера вказати SMTP сервер провайдера).

5. POP3 трафік (для прийому листів). Відкриваємо порт TCP 110 одержувача від нашого комп'ютера до будь-якого комп'ютера (або до POP3 сервера провайдера).

6. IMAP трафік (для прийому листів). Відкриваємо порт TCP 143 одержувача від нашого комп'ютера до будь-якого комп'ютера (або до IMAP сервера провайдера).

7. ICQ трафік. Залежить від сервера ICQ, зазвичай TCP порт 5190 одержувача від нашого комп'ютера до будь-якого комп'ютера (або до сервера ICQ).

Cейчас прийшла пора тестування - натискаємо праву кнопку миші на назву нашої політики і вказуємо "Assign"

доповнення
Завдання можна вирішити простіше:

1. Якщо сервер використовується тільки для доступу в Інтернет (і можливо для хостингу веб)
1.1 Відключаємо на "зовнішньому" інтерфейсі Біндінг всього крім TCP / IP
1.2 Включаємо ICS (AutoNAT outside)
1.3 дивимося netstat -na
1.4 відключаємо непотрібні сервіси послідовно
1.5 повторюємо 1.3 і 1.4 до відсутності в 1.3 результаті відкритих портів на зовнішньому інтерфейсі