Брандмауэр Windows: доменные сети, частные сети и общедоступные сети

Опубликовано: 8 Апреля, 2023
Брандмауэр Windows: доменные сети, частные сети и общедоступные сети

Введение

С тех пор, как Microsoft выпустила последние версии своего брандмауэра Windows, возникла путаница в отношении того, «какую сеть» мне настраивать и когда? Что еще хуже, Microsoft изменила имена этих конфигураций, но не определения. Я чувствовал, что необходимо уточнить, когда вы будете настраивать каждый параметр и что на самом деле делает каждый параметр. Я надеюсь, что после этой статьи вы сможете настраивать параметры брандмауэра Windows для своих серверов и рабочих столов, зная, что все они будут работать должным образом, независимо от того, к какой «сети» они явно подключены.

Где вы найдете эти настройки

Существует несколько мест, где вы можете найти «сетевые» настройки, связанные с брандмауэром Windows. В том же месте конфигурации брандмауэра Windows вы можете найти «сетевые» параметры, для которых вам необходимо настроить способ подключения компьютера к «сети».

Панель управления — апплет брандмауэра Windows

Как правило, вы найдете эти настройки в апплете брандмауэра Windows через панель управления. Конечно, с изменениями в именах и общем графическом интерфейсе брандмауэра Windows по сравнению с предыдущими операционными системами каждая операционная система будет выглядеть немного иначе. Поскольку большинство организаций переходят на Windows Server 2008 и Server 2008 R2, а также на Windows 7 для настольных ПК, мы сосредоточимся на этих трех операционных системах.

Windows Server 2008: панель управления — апплет брандмауэра Windows

Windows Server 2008 является относительно новым, но в нем все еще есть некоторые старые интерфейсы, которые просто не полностью разработаны, и это особенно верно для «сетевых» конфигураций. Когда вы откроете апплет брандмауэра Windows в Windows Server 2008, вы увидите интерфейс, аналогичный показанному на рис. 1.

Изображение 23236
Рис. 1. Апплет брандмауэра Windows для Windows Server 2008.

Обратите внимание на рис. 1, что вы можете видеть сетевое расположение (оно указано как «Domain Network»), но вы не видите конфигурации для других параметров сети. У вас есть ссылка с надписью «Что такое сетевые расположения?» который приведет вас на страницу с описанием каждого типа. Мы рассмотрим эти варианты в следующем разделе.

Windows Server 2008 R2 и Windows 7: Панель управления — апплет брандмауэра Windows

Корпорация Майкрософт внесла существенные изменения в интерфейс брандмауэра Windows в Windows Server 2008 R2 и Windows 7. Теперь все три параметра сетевого расположения отображаются в апплете брандмауэра Windows через панель управления, как показано на рис. 2.

Изображение 23237
Рис. 2. Апплет брандмауэра Windows для Windows Server 2008 R2 и Windows 7.

Брандмауэр Windows в режиме повышенной безопасности

Другое место, где вы найдете настройки сетевого расположения для брандмауэра Windows, — это инструмент администрирования под названием «Брандмауэр Windows в режиме повышенной безопасности». Это новое средство, которое поддерживается начиная с Windows Server 2008 и заканчивая новейшими операционными системами. Поэтому это может быть лучшим местом для поиска того, как настроены эти три параметра. Когда вы запускаете брандмауэр Windows в режиме повышенной безопасности через пункт меню «Администрирование», результирующее окно будет выглядеть так, как показано на рисунке 3.

Изображение 23238
Рис. 3. Брандмауэр Windows с интерфейсом повышенной безопасности

Вы можете настроить параметры сетевого расположения, щелкнув ссылку в нижней части раздела «Обзор» с пометкой «Свойства брандмауэра Windows», которая откроет окно, показанное на рисунке 4.

Изображение 23239
Рисунок 4: Страница свойств брандмауэра Windows.

Определения сетевого расположения брандмауэра Windows

В настоящее время существует три варианта сетевого расположения: доменные сети, домашние или рабочие (частные) сети и общедоступные сети. Это относительно очевидно, но путаница все еще существует, поэтому давайте рассмотрим каждое из определений и детали каждого параметра.

Доменные сети — этот параметр применяется, когда компьютер подключен к контроллеру домена, который управляет доменом Windows.

Частные сети — этот параметр применяется при подключении к сети, с которой не связана учетная запись компьютера. Это может быть другой домен или домашняя сеть. Компьютер может быть присоединен только к одному домену за раз, поэтому, если компьютер не присоединен к доменной сети, он может быть присоединен только к частной или общедоступной сети. Предлагается, чтобы профиль настроек частной сети был более строгим, чем профиль настроек доменной сети.

Публичные сети — этот параметр применяется, когда подключение к домену осуществляется через общедоступную сеть, например, в аэропорту, гостинице или кафе. Поскольку безопасность этих сетей неизвестна и на самом деле не контролируется пользователем, работающим на компьютере, предлагается, чтобы профиль настроек общедоступной сети был более строгим, чем сеть домена или частная сеть.

Преимущества различных «сетей»

Причиной наличия этих трех параметров сети является тот факт, что вы можете настроить правила сети и брандмауэра для каждой сети индивидуально. Таким образом, когда компьютер перемещается из одной среды в другую, или когда домен доступен или отключен, безопасность компьютера и поведение сети будут меняться автоматически.

Параметры брандмауэра для каждого типа «сети» можно настроить либо локально, используя интерфейс брандмауэра Windows в режиме повышенной безопасности, либо с помощью групповой политики через Active Directory. Любой метод приведет к повышению безопасности компьютера, когда «сеть», к которой он подключен, изменится. Вы можете увидеть интерфейс групповой политики для настройки трех параметров сети на рисунке 5.

Изображение 23240
Рисунок 5: Настройки сетевого профиля через групповую политику.

Поскольку есть возможность управлять каждым профилем, правилами брандмауэра и правилами безопасности подключения локально или через групповую политику, существуют настройки, которые дают администраторам контроль, когда между ними может возникнуть спор. Каждый профиль имеет параметры настройки, которые позволяют объединять правила брандмауэра и правила безопасности подключения. Вы можете найти это, нажав кнопку «Настроить» в разделе «Настройки» интерфейса, показанного на рисунке 5. Результирующий интерфейс показан на рисунке 6.

Изображение 23241
Рисунок 6: Управление локальными сетевыми настройками и настройками на основе Active Directory.

Резюме

Компьютеры мобильны и постоянно переходят из одной среды в другую. Возможность управлять настройками безопасности и сетевыми подключениями в зависимости от текущего сетевого подключения компьютера является чрезвычайно мощной. Microsoft проделала большую работу, предоставив три различных и подходящих сетевых профиля: домен, частный и общедоступный. Каждый сетевой профиль является динамическим, поскольку он распознает, как компьютер подключается к сети, и изменяется автоматически. Поскольку каждый профиль связан с собственным набором конфигураций, каждый профиль можно настроить для усиления или ослабления безопасности. В первую очередь безопасность контролируется конфигурациями брандмауэра Windows, который полностью интегрирован с тремя сетевыми профилями. Используя эти сетевые профили, корпорация может повысить безопасность компьютеров, когда они не подключены к корпоративному домену.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023