Что нового в брандмауэре Windows 7?

Опубликовано: 9 Апреля, 2023


Введение


С момента появления первого брандмауэра, встроенного в операционную систему (Internet Connection Firewall) Windows XP, Microsoft неуклонно улучшала брандмауэр в каждом последующем воплощении Windows. В то время как брандмауэр Windows, включенный в новейшую клиентскую ОС, Windows 7 является скорее эволюционным, чем революционным, он предоставляет несколько приятных настроек, делающих его более удобным для пользователя, и, по крайней мере, одно большое изменение, которое имеет значение для мобильных пользователей. В этой статье мы рассмотрим брандмауэр Windows в Windows 7 и покажем вам, как настроить его с помощью нескольких активных политик брандмауэра.


Эволюция брандмауэра Windows


Программное обеспечение брандмауэра в Windows XP было простым и рудиментарным и защищало только входящий трафик, блокируя любые входящие соединения, которые не были инициированы вашим компьютером, и по умолчанию оно было отключено. Пакет обновления 2 включил его по умолчанию и позволил администраторам включить его с помощью групповой политики. Брандмауэр Vista был построен на новой платформе фильтрации Windows (WFP) и добавил возможность фильтрации исходящего трафика с помощью оснастки Advanced Security MMC. В Windows 7 Microsoft еще больше усовершенствовала брандмауэр и сделала его гораздо более удобным для использования, особенно на мобильных компьютерах, добавив поддержку нескольких активных политик брандмауэра.


Знакомство с брандмауэром Windows 7


Как и в случае с Vista, доступ к основным настройкам брандмауэра Windows 7 осуществляется через апплет панели управления. В отличие от Vista, вы также можете получить доступ к расширенным настройкам (включая настройку фильтрации исходящих соединений) через панель управления вместо того, чтобы создавать пустую MMC и добавлять оснастку. Просто щелкните ссылку «Дополнительные параметры» на левой панели, как показано на рисунке 1.


Изображение 23790
Рисунок 1: В Windows 7 вы можете получить доступ к расширенным настройкам брандмауэра через апплет Панели управления.


Дополнительные параметры сети


Брандмауэр Vista позволяет вам выбирать, находитесь ли вы в общедоступной или частной сети. В Windows 7 у вас есть три варианта: общедоступная сеть, домашняя сеть или рабочая сеть. Два последних варианта рассматриваются как частные сети.


Если вы выберете опцию «домашняя сеть», вы можете настроить домашнюю группу. В этом случае сетевое обнаружение включается автоматически, поэтому вы сможете видеть другие компьютеры и устройства в сети, а они смогут видеть ваш компьютер. Компьютеры, принадлежащие к домашней группе, могут совместно использовать библиотеки изображений, музыки, видео и документов, а также аппаратные устройства, такие как принтеры. Если в ваших библиотеках есть папки, которыми вы не хотите делиться, вы можете их исключить.


Если вы выберете «рабочую сеть», сетевое обнаружение будет включено по умолчанию, но вы не сможете создать домашнюю группу или присоединиться к ней. Если вы присоедините компьютер к домену Windows (через Панель управления | Система | Дополнительные параметры системы | вкладка Имя компьютера) и аутентифицируетесь на контроллере домена, брандмауэр автоматически распознает сеть как сеть домена.


«Общедоступная сеть» подходит для выбора, когда вы подключены к общедоступной сети Wi-Fi в аэропорту, гостинице или кафе или используете мобильную широкополосную сеть. Сетевое обнаружение будет отключено по умолчанию, чтобы другие компьютеры в сети не могли видеть ваш, а вы не могли создать домашнюю группу или принадлежать к ней.


Для всех типов сетей брандмауэр Windows 7 по умолчанию блокирует подключения к программам, которых нет в списке разрешенных программ. Windows 7 позволяет настраивать параметры для каждого типа сети отдельно, как показано на рисунке 2.


Изображение 23791
Рисунок 2: Windows 7 позволяет настраивать параметры отдельно для каждого типа сети


Несколько активных профилей


В Vista, даже если у вас были профили как для общедоступных, так и для частных сетей, только одному из них разрешалось быть активным в данный момент времени. Если ваш компьютер оказался подключенным к двум разным сетям, вам не повезло. Ко всем подключениям применялся самый строгий профиль, а это означало, что вы не сможете делать все, что вам нужно, в своей локальной (частной) сети, потому что вы работаете в соответствии с правилами общедоступной сети. В Windows 7 (и Server 2008 R2) для каждого сетевого адаптера могут быть активны разные профили. Подключение к частной сети регулируется правилами частной сети, в то время как к трафику, поступающему или исходящему, применяются эти правила.


Маленькие вещи, которые имеют значение


Во многих случаях большее удобство использования зависит от небольших изменений, и Microsoft прислушивалась к мнению пользователей и включила некоторые из этих «важных мелочей» в брандмауэр Windows 7. Например, в Vista при создании правил брандмауэра вам приходилось указывать номера портов и IP-адреса по отдельности. Теперь вы можете указать диапазоны, что сокращает время выполнения этой общей административной задачи.


Вы также можете создать правила безопасности подключения, которые определяют, какие порты или протоколы подчиняются требованиям IPsec, прямо в консоли брандмауэра, вместо использования команды netsh. Для тех, кто предпочитает графический интерфейс, это удобное улучшение.


Правила безопасности соединения также поддерживают динамическое шифрование. Это означает, что если сервер получает незашифрованное (но прошедшее проверку подлинности) сообщение от клиентского компьютера, можно «на лету» согласовать ассоциацию безопасности, требующую шифрования, что обеспечивает более безопасную связь.


Настройка профилей с дополнительными параметрами


Используя консоль Advanced Settings, вы можете настроить параметры для каждого из профилей типа сети, как показано на рисунке 3.


Изображение 23792
Рисунок 3. Вы можете настроить параметры для каждого профиля с помощью консоли «Дополнительные параметры».


Для каждого профиля можно настроить следующие




  • Состояние включения/выключения брандмауэра Windows


  • Входящие подключения (заблокировать, заблокировать все подключения или разрешить)


  • Исходящие соединения (разрешить или заблокировать)


  • Отображать уведомления (независимо от того, уведомлять ли вас, когда программа заблокирована)


  • Разрешить одноадресный ответ на многоадресный или широковещательный трафик


  • Применение правил локального брандмауэра, созданных локальным администратором, в дополнение к правилам брандмауэра групповой политики.


  • Разрешить локальные правила безопасности подключения, созданные локальными администраторами, в дополнение к правилам безопасности подключения групповой политики

логирование


Брандмауэр Vista можно настроить для записи событий в файл (по умолчанию WindowsSystem32LogFilesFirewallpfirewall.log). В Windows 7 события также регистрируются в разделе «Приложения и службы» средства просмотра событий, что упрощает доступ к ним. Чтобы получить доступ к этому журналу, откройте средство просмотра событий и на левой панели щелкните Журнал приложений и служб | Майкрософт | Окна | Брандмауэр Windows в режиме повышенной безопасности, как показано на рисунке 4.


Изображение 23793
Рисунок 4. Windows 7 регистрирует события брандмауэра в средстве просмотра событий, а также в файле


В журнале просмотра событий вы можете создать собственное представление, отфильтровать журнал, выполнить поиск в журнале или включить подробное ведение журнала.


Команда Netsh


Windows 7 содержит контекст брандмауэра netsh для обратной совместимости, но если вы запустите его, вы получите сообщение «ВАЖНО, брандмауэр netsh» устарел; вместо этого используйте «брандмауэр netsh advfirewall». Подробнее о новой команде можно узнать здесь.


Резюме


Брандмауэр Windows 7 совершенствует значительно улучшенный брандмауэр, который был включен в Windows Vista, и делает его «скрытые» расширенные функции открытыми. Многие пользователи, в том числе некоторые ИТ-специалисты, не знали, что можно фильтровать исходящий трафик, отслеживать и иным образом выполнять расширенные задачи настройки брандмауэра Vista, потому что ничего из этого не было видно из апплета брандмауэра в панели управления. В Windows 7 Microsoft создала встроенный хост-брандмауэр, который намного более функционален, чем его предшественники, и теперь представляет собой реальную альтернативу сторонним продуктам хост-брандмауэра.