Firewall exception что это
If the Windows Firewall feature is enabled on one or more of the nodes in your cluster, then virtually all transmission control protocol (TCP) network ports are blocked to incoming connections.
Any Oracle product that listens for incoming connections on a TCP port will not receive any of those connection requests and the clients making those connections will report errors unless you configure exceptions for the Windows Firewall. You must configure exceptions for the Windows Firewall if your system meets all of the following conditions:
Oracle server-side components are installed on a computer running a supported version of Microsoft Windows. The list of components includes the Oracle Database, Oracle Grid Infrastructure, Oracle Real Application Clusters (Oracle RAC), network listeners, or any web servers or services.
The Windows computer in question accepts connections from other computers over the network. If no other computers connect to the Windows computer to access the Oracle software, then no post-installation configuration steps are required and the Oracle software functions as expected.
The Windows computer in question is configured to run the Windows Firewall. If the Windows Firewall is not enabled, then no post-installation configuration steps are required.
If all of the above conditions are met, then the Windows Firewall must be configured to allow successful incoming connections to the Oracle software. To enable Oracle software to accept connection requests, Windows Firewall must be configured by either opening up specific static TCP ports in the firewall or by creating exceptions for specific executable files so they can receive connection requests on any ports they choose.
- Use one of the following methods to configure the firewall:
Start the Windows Firewall application, select the Exceptions tab and then click either Add Program or Add Port to create exceptions for the Oracle software.
From the command prompt, use the netsh firewall add. command.
When Windows notifies you that a foreground application is attempting to listen on a port, and gives you the opportunity to create an exception for that executable file. If you choose the create the exception in this way, the effect is the same as creating an exception for the executable file either through Control Panel or from the command line.
The following sections list the Oracle Database 11 g release 2 (11.2) executable files that listen on TCP ports on Windows, along with a brief description of the executable file. It is recommended that these executable files (if in use and accepting connections from a remote, client computer) be added to the exceptions list for the Windows Firewall to ensure correct operation. In addition, if multiple Oracle homes are in use, firewall exceptions may have to be created for the same executable file, for example, oracle.exe , multiple times, once for each Oracle home from which that executable file loads.
When enabled, the Windows Firewall blocks all incoming network traffic to your computer except those applications and ports you allow. Use the Windows Firewall control panel utility to manage these exceptions.
Note: It is not necessary to disable the Windows Firewall to use our software. Firewalls provide a much higher level of security to your computer than default Windows security.
We strongly recommend that you leave the firewall in place and use the mechanisms in the firewall to allow the traffic you need.
Brooks products use firewall exceptions
This topic first came up for us many years ago when Microsoft added a firewall to Windows XP. So naturally, we found as soon as the first user tried to run one of our products; consequently, this may be one of the longest-running pages on our website.
If you need a good software print server, please give our RPM Remote Print Manager product a try! Download the free 21-day trial and see what it can do for you. Be sure your firewall is open on ports 515 and 9100 and that you're not already running the Microsoft TCP/IP services module.
For an application to receive Teredo traffic, the application must be permitted to receive IPv6 traffic in the host firewall, and the application is required to set the socket option IPV6_PROTECTION_LEVEL to 'PROTECTION_LEVEL_UNRESTRICTED'. To enable this type of scenario, the firewall exceptions detailed in this document must be implemented.
The following firewall configurations are required to ensure smooth interoperation between a firewall and Teredo:
UDP Port 3544 must be open to ensure that Teredo clients can successfully communicate with the Teredo server.
The firewall must retrieve dynamic UDP ports used by Teredo service on the local machine by calling the FwpmSystemPortsGet0 function; relevant ports are of type FWPM_SYSTEM_PORT_TEREDO. The FwpmSystemPortsGet0 function should be implemented in place of the now deprecated GetTeredoPort or NotifyTeredoPortChange functions.
The firewall permits the system to send and receive UDP/IPv4 packets to UDP port 1900 on the local subnet as this allows UPnP discovery traffic to flow and has the potential to improve connectivity rates.
If this condition is not met, the potential for scenarios to encounter compatibility issues involving communication between certain NAT types is introduced; specifically between Symmetric NATs and Restricted NATs. While Symmetric NATs are popular in hotspots and Restricted NATs are popular in homes, communication between the two has the potential to fault on the side of the Restricted NAT.
Incoming and outgoing ICMPv6 "Echo Request" and "Echo Reply" exceptions must be enabled. These exceptions are necessary to ensure that a Teredo client can act as a Teredo host-specific relay. A Teredo host-specific relay can be identified by the additional native IPv6 address or a 6to4 address supplied with the Teredo address.
Client firewalls must support the following ICMPv6 error messages and discovery functions per RFC 4443:
Code | Description |
---|---|
135/136 | ICMPV6 Neighbor Solicitation and Advertisement |
133/134 | Router Solicitation and Advertisement |
128/129 | ICMPV6 Echo Request and Reply |
1 | Destination Unreachable |
2 | Packet Too Large |
3 | Time Exceeded |
4 | Invalid Parameter |
If these messages cannot be specifically allowed, then the exemption of all ICMPv6 messages should be enabled on the firewall. Additionally, the host firewall may notice that the packets classified by codes 135/136 or 133/134 originate from, or are targeted to, the user mode service iphlpsvc and not from the stack. These packets must not be dropped by the host firewall. The Teredo service is implemented primarily within the 'user mode' IP Helper service.
Using the INetFwPolicy2 Windows Firewall API to enumerate all rules with the Edge Traversal flag set, all applications that want to listen for unsolicited traffic are enumerated for the firewall exception. Specific information regarding the use of the Edge Traversal option is detailed in Receiving Unsolicited Traffic Over Teredo.
Callbacks are not associated with the following sample enumeration code; it is strongly recommended that third party firewalls perform the enumeration periodically, or whenever the firewall detects a new application attempting to go through the firewall.
Когда дело касается безопасности компьютерных систем, большинство организаций сосредоточивает свои усилия на серверах. Но многие из недавно объявившихся «червей», разрушивших целые сети и стоивших компаниям миллионы долларов, нанесли этот огромный ущерб, проникнув в сеть через беззащитные рабочие станции. Злоумышленники — будь то посторонние лица или недовольные сотрудники компании, умеющие контролировать рабочую станцию и имитировать легитимного пользователя системы, могут получать доступ к конфиденциальной информации и ресурсам на локальной системе и в локальной сети. Прошли те времена, когда локальную сеть можно было расценивать как безопасное убежище. Теперь от атак «червей» и действий злоумышленников нужно защищать все открытые порты на рабочих станциях.
Очевидно, разработчики Microsoft отдают себе в этом отчет. Именно поэтому в рамках инициативы Trustworthy Computing компания сделала вопрос безопасности ключевым при разработке пакета обновлений Windows XP Service Pack 2 (SP2) — самого крупного ориентированного на безопасность пакета обновлений со времени выпуска Windows NT 4.0 SP3. В сообществе пользователей тот пакет обновлений окрестили Security Pack 3 («Пакет безопасности 3»), и XP SP2 (выпуск которого был запланирован на конец этого лета) заслуживает такого же звания. SP2 до отказа набит новыми функциями безопасности для борьбы с «червями» и вредоносными программами, которые могут поражать сети через незащищенные рабочие станции. Самой важной частью SP2 является Windows Firewall — заметно усовершенствованная версия Internet Connection Firewall (ICF). Изменение названия функции отражает тот факт, что Microsoft делает упор на использовании технологии локального брандмауэра для защиты рабочих станций, которые подключены только к внутренней локальной сети, в той же мере, что и для защиты рабочих станций, имеющих подключение к Internet. Лучшим способом воспользоваться преимуществами нового защитного экрана SP2 была бы установка SP2 на выделенном тестовом сервере; о том, как это сделать, будет рассказано ниже. После ознакомления с брандмауэром можно установить SP2 и выполнить централизованную конфигурацию Windows Firewall на всех рабочих станциях в сети (я расскажу об этом в одной из следующих статей).
Усиливаем защиту
Изучение принципов работы Windows Firewall позволит определить, как добиться наилучшей конфигурации брандмауэра в конкретной среде. В своей следующей статье я покажу, как с помощью Group Policy выполнить автоматическое развертывание SP2 на всех рабочих станциях XP и централизованно конфигурировать и управлять Windows Firewall на этих компьютерах.
Adding Program Exception
- Open the Control Panel. In Category view, click System and Security.
- Beneath Windows Defender Firewall, click Check Firewall Status.
- Determine the status of the Windows Firewall for each type of active network. Network types include Domain, Private, or Public. If the Windows Firewall is off, then it is not blocking connections from your host system. It may be a good idea to add the exception in case Windows Firewall is turned on at a later time.
- Click Allow an app or feature through Windows Defender Firewall.
- Look for the RPM Remote Print Manager or ExcelliPrint exception. Enable this exception for the active network types you noted in the previous step. You may need to click Change settings to elevate the process before you can add exceptions.
- If not found, click the"Allow another app. " button. Then, click Browse in the "Add an App" dialog and locate the executable you wish to allow. By default, the RPM program is RpmSrv.exe in C:\Program Files\Brooks Internet Software\RPM for RPM and C:\Program Files\Brooks Internet Software\ExcelliPrint\EPrintSrv.exe for ExcelliPrint.
- Click Add.
- Verify the program is listed in the Allowed apps and features list. Then, click the OK button to accept the changes and dismiss the dialog.
- Click OK on the network connection's "Properties" dialog to apply the changes.
Note: Do not make any changes to existing exceptions.
Your new firewall exceptions will take effect immediately.
Обучение на примерах
Microsoft вместе с Windows Firewall предлагает целый ряд заранее подготовленных правил. По умолчанию они отключены, но с их помощью не составит труда создать собственные или изменить существующие правила. Все брандмауэры, как правило, позволяют настраивать правила, разрешая или запрещая работу с определенными протоколами (TCP, UDP и т. д.) и портами. Помимо этого Windows Firewall дает возможность ограничить доступ различных программ или служб к портам или протоколам.
Ограничение по приложениям. Для иллюстрации гибкости используемых в Windows Firewall правил давайте рассмотрим правило для службы Background Intelligent Transfer Service (BITS), службы, используемой для загрузки обновлений с удаленных компьютеров. Рассматриваемое правило позволяет заблокировать только службу BITS, указав родительское приложение и соответствующий сетевой порт. В оснастке Windows Firewall with Advanced Security следует указать Inbound Exceptions в левой панели и дважды щелкнуть на правиле BITS Service на средней панели для доступа к странице свойств выбранного правила. На вкладке General нужно задать имя правила, включить его и указать, можно ли запускать на данном компьютере все программы или только некоторые. Как видно из экрана 2, в правиле было показано, что может использоваться только программа svchost.exe (программная оболочка для запуска служб Windows). При нажатии ОК для всех отличных от svchost.exe программ сразу же устанавливается запрет на использование данного правила. Секция Actions позволяет разрешить или блокировать все подключения либо установить параметр Allow only secure connections. Безопасные подключения базируются на IPSec в вопросе шифрования и поддержания целостности сетевых коммуникаций, и это позволяет для аутентификации соединения указывать имя пользователя или название компьютера.
Ограничения по сетевому адресу. Вкладка Scope позволяет указать локальные и удаленные сетевые адреса, к которым будет применяться правило. Указывается адрес IP или подсеть (т. е. 10.0.0.10, 192.168.0.0/24) или же диапазон адресов (например, с 192.168.0.0 по 192.168.0.10). Для удаленного адреса можно выбрать предопределенный адрес, например шлюз по умолчанию или серверы DHCP (см. экран 3). Наличие предопределенных адресов упрощает задачу реконфигурации правил при внесении изменений в сетевую среду. Например, можно разрешить доступ по протоколу FTP только для компьютеров из локальной подсети. Динамические правила позволяют ограничить трафик без настройки индивидуальных правил для каждой сети.
Ограничения по типу интерфейса. Вкладка Advanced позволяет накладывать исключения на определенный тип интерфейса: Local Area Network, Remote Access или Wireless. Когда пользователю помимо локального (внутри компании) подключения нужно подключиться к удаленной сети, но нежелательно рисковать корпоративными данными из-за открытия внешнего доступа, можно настроить исключение (exception) для блокировки всех входящих подключений и применить это правило к интерфейсу, смотрящему «наружу». При этом пользователи по-прежнему смогут принимать новые соединения из локальной сети — но не из удаленных сетей.
Ограничения по службе. Многие, наверное, помнят, что предопределенное правило BITS Service разрешает входящие подключения по порту TCP 2126 программе svchost.exe. Дальнейшее ужесточение для BITS Service может быть настроено в окне Services. Здесь указывается, на какие службы распространяется правило. Для этого нужно перейти на вкладку Advanced в окне BITS Service Properties, затем щелкнуть Settings. Во многих случаях достаточно будет просто ограничить трафик по протоколу и порту, но иногда может понадобиться более тонкая настройка ограничений и потребуется детально прописать службы, которым разрешается или запрещается устанавливать сетевые соединения.
Инструмент тот же, возможностей больше
Я думаю, профессионалы в области безопасности захотят проверить функциональность нового брандмауэра Windows Vista. Возможность создавать двунаправленные списки контроля доступа будет интересна многим. Да, есть разработки хост-брандмауэров независимых разработчиков, где функций наберется побольше, но Windows Firewall бьет всех конкурентов ценой продукта, а включение его в каждую версию Vista позволит защитить даже «коробочный» компьютер. Кроме того, брандмауэр от Microsoft дает возможность задействовать для настройки Netsh и GPO. Организации, использующие Group Policy и Vista, получат эффективное, централизованно управляемое решение для развертывания хост-брандмауэров.
Firewall Program Exception
The installers for RPM Remote Print Manager® (RPM) and ExcelliPrint® create a program exception. The program exception allows the software to receive print jobs from your host system. You might enable the exception only for specific network types. If our software is not receiving connections, and you have already established that the host system uses the correct IP address, we recommend reviewing the firewall exception.
Для чего нужен журнал
Вкладка Log Settings приложения Windows Firewall, показанная на экране 8, позволяет определить, как будет Windows Firewall отражать свои действия в журнале и будет ли вообще. Нужно иметь в виду, что журнал Windows Firewall по умолчанию отключен. С помощью журналов Windows Firewall можно контролировать блокированные пакеты и успешные входящие и исходящие соединения. Таким образом, с помощью журнала можно узнать, что кто-то пытается безуспешно подключиться к компьютеру, а также получить информацию обо всех успешных входящих соединениях и обо всех случаях, когда компьютер открывает исходящее соединение для другой системы, такой как локальный файловый сервер или Web-сервер в Internet. В журнал записываются IP-адреса отправителя и получателя и номера портов. Кроме того, журнал позволяет узнать, было соединение блокированным или успешным. Например, запись в журнале, приведенная на экране 9, показывает, что Windows Firewall пресек попытку системы с IP-адресом 10.42.42.2 подключиться к порту 80 на локальной рабочей станции. Затем журнал показывает, что система с IP-адресом 10.42.42.10 успешно подключилась к локальной рабочей станции через Remote Desktop Protocol (порт 3389). Наконец, последняя часть записи показывает, что локальная рабочая станция подключилась к IP-адресу 10.42.42.100 для выполнения процедуры удаленного вызова (RPC), используя порт 135.
По умолчанию Windows Firewall хранит журнал в файле C:windowspfirewall.log и выделяет 4 Мбайт дисковой памяти как максимум объема журнала, но можно изменить и расположение, и имя журнала (файл должен быть на локальной системе), а также его максимальный объем. Когда объем журнала достигает верхнего значения, Windows добавляет расширение .old к имени файла, а затем начинает новый журнал, имеющий полный путь, указанный на вкладке Log Settings. В следующий раз, когда файл журнала заполняется полностью, Windows снова переименовывает файл журнала (который после этого занимает место оригинального, самого старого файла) и начинает новый журнал.
Новая оснастка MMC
Windows Firewall берет «под свое крыло» как персональные компьютеры рядовых пользователей, так и рабочие станции крупных компаний, поддерживая, с одной стороны, централизованное администрирование продукта и, с другой, сохранив простоту его использования. На первый взгляд можно даже не заметить никаких отличий по сравнению с предыдущей версией брандмауэра, так как Microsoft упаковала все новые возможности в новую MMC-консоль, получившую название Windows Firewall with Advanced Security (см. экран 1). Некоторые параметры брандмауэра можно по-прежнему настроить централизованно через Group Policy или же настроить брандмауэр локально при помощи командной утилиты Netsh. Как и другие оснастки, Windows Firewall with Advanced Security поддерживает удаленный доступ, который позволяет управлять настройкой брандмауэра на удаленной станции.
Отметим, что, хотя правила, созданные в Control Panel, видны в новой оснастке, правила, измененные или созданные непосредственно в MMC, не всегда отображаются в Control Panel. Например, если новая оснастка используется для редактирования базового правила, первоначально созданного в Control Panel, то после завершения редактирования вы больше не увидите этого правила в Control Panel.
Начали!
Открываем приложение Windows Firewall в Control Panel. Сейчас, когда я пишу эту статью, диалоговое окно в версии XP SP2 все еще носит оригинальное название брандмауэра — Internet Connection Firewall. В окончательной версии SP2 диалоговые окна, возможно, будут выглядеть иначе, чем в приведенных в статье экранах. Во врезке «Пока готовился Windows Firewall» обсуждаются и другие, уже реализованные изменения. На вкладке General показан переключатель для двух режимов функционирования, On и Off. Установление режима Off для Windows Firewall означает отключение функции, и рабочая станция (и сеть) остается полностью открытой для атак. Выбор режима On активирует Windows Firewall. Windows Firewall является брандмауэром, анализирующим трафик, т. е. он отслеживает состояние всех TCP- и UDP-взаимодействий и может выявлять входящие пакеты, которые не являются частью регламентированного взаимодействия, инициированного рабочей станцией. Тем не менее в некоторых ситуациях может потребоваться разрешить запросы входящих подключений. Например, если рабочая станция подключена к LAN, возможно, администратор предпочтет разрешить соединения через порт 3389, который используется и службой Remote Assistance, и службой Remote Desktop. Если активируется Windows Firewall, он отключает все входящие подключения, кроме тех, что определены на вкладке Exceptions.
Для установления временной блокировки — когда, например, новый «червь» набирает обороты в сети, а поставщик антивирусов еще не выпустил обновление сигнатуры или когда не удается вовремя добраться до необходимого исправления, можно переключить рабочую станцию в режим Shielded на то время, пока на всех компьютерах не будут установлены исправления или пока не будет обновлен антивирусный продукт. Такая широкомасштабная конфигурация выполняется с использованием Group Policy. Следует иметь в виду, что во время блокировки этого типа службы, которые должны принимать входящие подключения (например, Windows Messenger), работать не будут. Подробнее о режиме Shielded можно узнать из врезки «Пока готовился Windows Firewall».
Интеграция с IPsec
Брандмауэр Vista содержит в своих правилах настройки IPSec. Microsoft в высшей степени заинтересована в продвижении IPSec, но, по моим наблюдениям, мало кто использует эту возможность. На пути распространения IPSec лежат реальные или считающиеся таковыми трудности — не так просто правильно настроить работу с использованием IPSec, есть риск закрыть доступ к компьютеру в случае неправильной настройки, нет возможности задействовать традиционный сетевой инструментарий для мониторинга или управления трафиком IPSec. Новый брандмауэр перечисленные риски не устраняет, хотя и упрощает процедуру настройки IPSec. Разработчики Microsoft переписали мастер настройки IPSec, чтобы упростить работу с эти протоколом.
Исключение из правил
Исключения (Exceptions) определяют, как Windows Firewall обрабатывает нежелательные входящие пакеты. Для того чтобы выполнить конфигурацию глобальных исключений, применяемых ко всем сетевым подключениям, в том числе к коммутируемым, LAN, VPN и WAN, нужно перейти на вкладку Exceptions приложения Windows Firewall, показанную на экране 1. Позже я покажу, как настраивать исключения, которые применяются к отдельным сетевым подключениям.
Заметим, что Windows Firewall не накладывает никаких ограничений на исходящие пакеты. В идеале брандмауэр рабочей станции, такой как Windows Firewall, должен также контролировать исходящие пакеты. Без такого контроля невозможно будет оградить другие компьютеры сети от атак, исходящих от рабочих станций злоумышленников и программистов. Хотя на самом деле контроль исходящего трафика осуществлять намного сложнее, чем контроль входящего трафика, поскольку отличить исходящее подключение злоумышленника довольно трудно.
Windows Firewall выпускается со стандартной конфигурацией, в которой несколько компонентов Programs and Services определены как исключения, при этом можно добавлять другие. Каждое исключение определяется на основе конкретного TCP- или UDP-порта или по имени исполняемого файла. Классический метод задания регламента поведения защитного экрана состоит в использовании номеров портов, но утилиты несанкционированного управления и троянские программы доказали, что номера портов не являются надежным способом оценки входящих пакетов. Успешно установившаяся на компьютере утилита несанкционированного управления открывает порт и ждет подключения хакера. Некоторые из этих утилит открывают порты, используемые легитимными программами; другие несанкционированные утилиты управления располагаются между легитимной программой и ее портом, исследуют входящий трафик и перехватывают входящие запросы к утилите (эти запросы выдаются за запросы к легитимной программе). Для отражения действий несанкционированных утилит управления обоих типов Windows Firewall также позволяет ограничивать круг программ, которым разрешено открывать порты. Рассмотрим два предустановленных исключения Windows Firewall, которые иллюстрируют подходы к ограничению на основе портов и на основе программ.
Блокировка входящих и исходящих подключений
Брандмауэр Windows Vista блокирует входящий трафик по умолчанию, так что необходимо сразу же настроить список Exceptions, если планируется работать с сетевым приложением. Exceptions — это то, что Microsoft называет правилами (rules), а более точно, списки ACL.
Во многих случаях хост-брандмауэры, написанные независимыми разработчиками, выдают предупреждения при попытке установить исходящее соединение и запрашивают разрешение у пользователя. На основе полученного ответа брандмауэр может даже создать правило реагирования на такие события в будущем. Брандмауэр Windows Vista поступает иначе — весь исходящий трафик по умолчанию разрешен. Создание исключений для исходящего трафика — процедура несложная, но она требует использования новой оснастки. Большинство пользователей об этом даже и не вспомнит, но администраторы систем должны как следует разобраться во всех обязательных настройках Windows Firewall with Advanced Security.
Determine Ports to Allow for ExcelliPrint
You can configure the software to listen on multiple TCP ports simultaneously. First, you need to determine which ports your print host uses, then create an exception for each port in the Windows Firewall.
To determine the ports in use, follow these instructions.
Firewall Port Exceptions
Adding Port Exceptions
Now that you have determined which port numbers need to be allowed, add an exception to the Windows Firewall for each port. To add the firewall exceptions, follow these instructions.
- Open the Control Panel. In Category view. Next, click System and Security. Then, beneath Windows Defender Firewall, click Check Firewall Status.
- Determine the status of the Windows Firewall. If the Windows Firewall is off, then it is not blocking connections from your host system. It may still be good to add the port exceptions if you turn the firewall on later.
- Click the "Allow another app. " button. In the "Add an App" dialog, enter a port number (i.e. ) to allow data in the Port Number field and provide a name for the exception. We suggest using a descriptive name such as the one shown in the graphic. In this case, is the protocol, and is the program requiring the exception. Repeat this step to add an exception for each port is configured to use.
- If not found, click the "Allow another app. " button. Then, click Browse in the "Add an App" dialog and locate the executable you wish to allow. By default, the RPM program is RpmSrv.exe in C:\Program Files\Brooks Internet Software\RPM for RPM and C:\Program Files\Brooks Internet Software\ExcelliPrint\EPrintSrv.exe for ExcelliPrint. Click Add.
- Verify all exceptions are listed in the Programs and Services list and press the OK button to accept the changes and dismiss the dialog. Press OK on the network connection's "Properties" dialog to apply the changes.
Note: Do not make any changes to the existing exceptions.
Your new firewall exceptions will take effect immediately.
Исходящие соединения
Брандмауэр в Vista позволяет настраивать исходящие соединения примерно по тем же принципам, что и входящий трафик. Возможность распознать и отфильтровать исходящие подключения — это одна из сильных сторон брандмауэра, так как с ее помощью можно управлять работой компьютера в сети самым детальным образом. Исходящие исключения (outbound exceptions) — этот тот механизм, который разрешает сетевой доступ таким приложениям, как Microsoft Internet Explorer (IE), Outlook, и другим известным сетевым программам и одновременно отключает оставшийся исходящий трафик.
Например, если компании необходим proxy-сервер с аутентификацией подключений, использующий порт TCP 8080 по умолчанию, вы можете регистрировать и блокировать весь исходящий трафик по порту TCP 80 (стандартный порт TCP), чтобы закрыть «чужим» программам возможность обхода proxy в попытках установить подключение с внешним Web-сервером. Очень часто пользователи непреднамеренно устанавливают у себя шпионское и прочее несанкционированное программное обеспечение, которое пытается пробиться в Internet, а упомянутые исключения блокируют такие попытки.
В отличие от брандмауэров других фирм, рассчитанных на установку на хосте клиента, бета-версия Windows Firewall, не выдает предупреждения при блокировке исходящего подключения. Но если настроить журнал брандмауэра, то заблокированные подключения можно увидеть в файле журнала.
В составе Windows Firewall есть несколько исходящих фильтров удаленных подключений, и, воспользовавшись ими, можно в удаленном режиме заблокировать подозрительные компьютеры, — возможно, они инфицированы вирусом или «червем». Напомню, что в подобных случаях единственная возможность, доступная в ранних версиях Windows Firewall — выключить станцию или отсоединить ее от сети. Брандмауэр Vista позволяет удаленно подключиться к подозрительному компьютеру через консоль MMC, включить блокировку исходящего трафика и активировать функцию журналирования брандмауэра, разрешив обмен данными через сетевой порт только заданному множеству компьютеров. Это позволяет ограничить масштаб бедствия и сохранить возможность удаленного управления станцией.
Также Microsoft добавила для Windows Firewall новый контекст в Netsh для учета новых функций брандмауэра, таких как правила для исходящего трафика. Можно запустить команду Netsh в интерактивном режиме или увязать ее вместе с другими командами и субконтекстами. Например, команда:
netsh advfirewall outbound show all
запускает Netsh, изменяет контекст на advfirewall и исходящий субконтекст, после чего запускается команда Show All. Результатом работы этой конструкции будет отображение на экране исходящих исключений (outbound exceptions), настроенных на брандмауэре. В любой команде можно указать символ «?» для перечисления поддерживаемых команд и субконтекстов. Netsh позволяет экспортировать конфигурации и копировать их на другие компьютеры или использовать сценарии для добавления новых правил с командной строки. Для получения списка имеющихся правил следует использовать команду Show и Add для создания нового правила.
Журналирование
Как и предыдущие версии Windows Firewall, брандмауэр Vista поддерживает ведение журнала брандмауэра (по умолчанию это файл c:windowspfirewall.log). Регистрацию заблокированных пакетов и успешных подключений также можно настроить.
Подключения — в порядке
Порты. Для того чтобы увидеть текущую конфигурацию на основе портов, следует установить флажок Remote Assistance and Remote Desktop в разделе Programs and Services на вкладке Exceptions и открыть диалоговое окно Exceptions. На экране 2 показано, что это предустановленное исключение выделяет TCP порт 3389, используемый протоколом Remote Desktop Protocol (RDP), через который осуществляется взаимодействие служб Remote Assistance и Remote Desktop.
В нижней части диалогового окна Exceptions расположены два варианта для диапазона Scope: можно открыть указанный порт для всех адресов (All IP addresses) (т. е. для всех систем в локальной сети и всего Internet) или открыть порт только для локальной подсети (Local Subnet Only). Вариант Local Subnet Only предназначен для небольших и средних компаний, имеющих только одну подсеть, и для организаций, в которых пользователи и программы, имеющие доступ к данной рабочей станции, заведомо находятся в той же подсети, что и рабочая станция. Для компаний, в которых имеется более одной подсети, варианты выбора диапазона Scope почти бесполезны. Если используются программы управления системами, такие как Microsoft Systems Management Server (SMS), или администраторам нужен сетевой доступ к рабочим станциям в нескольких подсетях, у вас нет другого выбора, кроме как установить значение All IP addresses. Альтернативой использованию Scope является применение встроенной в XP поддержки IP Security (IPSec). С помощью политик IPSec можно задать правила Allow и Deny для нескольких IP-подсетей, чтобы компьютеры за пределами диапазонов адресов подсетей не имели возможности подключаться к портам, которые приходится оставлять открытыми, настраивая Windows Firewall. Для упрощения применения политик IPSec можно задействовать тот объект групповой политики (GPO), который использовался при работе с Windows Firewall.
Программы. Теперь посмотрим на исключения на основе программ. Следует щелкнуть Cancel в диалоговом окне Exceptions, чтобы закрыть окно, затем установить флажок Windows Messenger, чтобы открыть новое диалоговое окно Exceptions. Как показано на экране 3, это исключение привязывается к определенному программному файлу (%ProgramFiles%Messengermsmsgs.exe), а не к номеру порта. Некоторые программы, например Windows Messenger, не используют заранее заданных номеров портов.
Windows Firewall выпускается с несколькими предустановленными исключениями, но только три из них — Files and Settings Transfer Wizard (%windir%system32usmtmigwiz.exe), NetMeeting (%ProgramFiles%NetMeetingconf.exe) и Windows Messenger (%ProgramFiles%Messengermsmsgs.exe) — включены по умолчанию. Чтобы активировать другие предустановленные исключения, следует установить соответствующие флажки на вкладке Exceptions. Для задания исключения по другой программе или порту нужно щелкнуть Add, затем ввести подходящую информацию о программе или порте.
Возникает вопрос: как исключения, сделанные для портов на основе сетевых подключений, соотносятся с исключениями глобального типа, которые были сделаны, когда создавались исключения на основе портов? Лучше всего показать это на примере. Предположим, у нас есть два сетевых адаптера, NIC1 и NIC2. Нам нужно открыть порт 3389 на обоих адаптерах и порт 80 — на адаптере NIC1, но не на адаптере NIC2. В этом случае можно задать исключение, открывающее порт 3389, затем в диалоговом окне Network Connections Advanced Settings добавить настройку, открывающую порт 80 на адаптере NIC1.
Изменения в процессе подготовки Windows Firewall
Ранее я уже рассматривал изменения, которые вносит пакет Service Pack 2 (SP2) во встроенный брандмауэр Windows XP. Еще раз подчеркну, что в процессе подготовки статей я был вынужден основываться на предварительных версиях SP2, поэтому не исключено, что окончательный продукт будет отличаться от моих описаний. Действительно, сейчас уже известно, что в финальной версии SP2 используются термины и синтаксис, отличные от тех, что использовал я. Вот небольшой обзор этих изменений.
Названия профилей
Можно настроить брандмауэр так, чтобы он вел себя определенным образом, когда находится внутри частной сети, и по-другому, когда находится снаружи, в Internet. Эти два способа поведения называются профилями и в финальной версии SP2 они называются доменным (domain) и стандартным (standard). В предыдущих версиях они назывались domain и mobile или corporate и other. Командная строка и Group Policy взаимодействуют с этими профилями по тем же названиям, в отличие от предыдущих версий. Можно запросить брандмауэр, какой профиль он в данный момент использует, набрав в командной строке.
netsh firewall show state
On/off-режимы
В ранних версиях SP2 предлагалось три основных режима функционирования брандмауэра: On, Off и Shielded. On означал, что брандмауэр включен, но позволяет открывать отдельные порты, разрешая компьютеру с XP, например, отвечать на запросы готовности, запросы главных файловых и принт-серверов и быть управляемым дистанционно. Shielded означал, что брандмауэр включен, а ни один порт для входящих соединений не активизирован. Режим предназначался для ситуации, когда сеть атакована «червем» и администратору нужно запретить весь незатребованный входящий трафик. В финальной версии графического интерфейса SP2 сохранилось только два режима функционирования, On и Off. В командной строке и в Group Policy эти режимы называются Enabled и Disabled. Вместо режима Shielded брандмауэр SP2 называет все открытые порты исключениями (Exceptions) и содержит настройку для разрешения (Allow exceptions) и запрета (Disallow exceptions) исключений. Через графический интерфейс, из командной строки или через Group Policy можно создать режим Shielded, включив брандмауэр и установив настройку Disallow exceptions.
Настройки Group Policy
Ранее я рассказывал о девяти настройках Group Policy, позволяющих контролировать Windows Firewall. Финальная версия SP2 содержит несколько больше — 14, но все они интуитивно понятны.
Командная строка
В финальной версии SP2 обновлен синтаксис командной строки и предлагается более высокий уровень управления по сравнению с предыдущими версиями. Самое значительное изменение касается управления диапазоном адресов. Теперь можно открыть определенный порт только для систем, внесенных в список IP-адресов. Раньше, открывая порт, нужно было выбирать между локальной подсетью и Internet целиком. Все команды начинаются с Netsh Firewall, а не с Netsh Firewall Ipv4. Основная часть команды для включения или отключения брандмауэра выглядит так:
netsh firewall set opmode
В ней mode и exceptions имеют значение либо включено (enable), либо отключено (disable), а profile либо domain, либо standard. Неуказание параметра profile устанавливает, что поведение брандмауэра должно соответствовать обоим профилям, а неуказание exceptions сохраняет действие имеющихся исключений. Например, чтобы включить брандмауэр со стандартным профилем и разрешить исключения, следует ввести
netsh firewall set opmode enable
enable standard
Иначе можно добавить параметры mode=, exceptions= и profile=, как в следующей команде:
netsh firewall set opmode mode=enable
exceptions=enable profile=standard
Можно добавить параметр interface=, чтобы сделанные настройки применялись только к одному сетевому адаптеру, но я по опыту знаю, что это работает, только если не устанавливать exceptions и profile. Например, команда
netsh firewall set opmode mode=enable
interface=»Local Area Connection»
включит брандмауэр для сетевого адаптера с именем Local Area Connection.
Объем статьи не позволяет охватить все команды, но я могу привести несколько примеров. Например, чтобы разрешить работу Ping (т. е. включить все эхо-команды протокола Internet Control Message Protocol, ICMP), следует ввести
netsh firewall set icmpsetting type 8
Чтобы разрешить доступ к Microsoft SQL Server посредством открытия порта 1433 только для локальной подсети, нужно ввести
netsh firewall add portopening tcp
1433 sql enable subnet
А чтобы открыть порт 1433 только для сетей C-класса, начинающихся с 4.0.0.0, подсетей B-класса, начинающихся с 10.0.0.0, и локальной подсети, требуется ввести
netsh firewall add portopening tcp 1433 sql enable custom 4.0.0.0/24, 10.0.0.1/255.255.0.0,subnet
Как я уже говорил, SP2 несколько расширяет список текущих дел. Но в конечном счете это ценное изменение.
За последние несколько лет вопросы информационной безопасности все чаще становятся объектом всеобщего внимания. Это произошло после целого ряда получивших широкую огласку атак на информационные системы, начиная от грубых взломов и заканчивая замаскированным запуском вредоносных программ при помощи электронной почты. В недавнем прошлом хакеры, как правило, использовали специфические лазейки в программном обеспечении, причем для вторжения требовался удаленный доступ к уязвимой системе. Правильно настроенные брандмауэры сетевого периметра помогали отразить большинство атак, исходящих из Internet.
Что изменилось в Windows Firewall
Сегодня же атаки все чаще зарождаются внутри самой организации. При этом сотрудникам компании вовсе не обязательно становиться хакерами; речь идет скорее об инфицировании (например, через вложения электронной почты), казалось бы, надежных, заслуживающих доверия компьютеров, подключенных к локальной сети. Хакеры проявляют большую находчивость, сочетая приемы социального инжиниринга и технологические ухищрения, обманным путем вынуждая легкомысленных пользователей устанавливать шпионское программное обеспечение, «троянцев» или «червей». Достаточно один раз установить такую разрушительную программу, и она начинает самостоятельно и очень быстро распространяться по всей сети. Настроив индивидуальный брандмауэр на персональном компьютере, можно заблокировать неизвестный или подозрительный трафик, направленный в вашу сторону со стороны компьютеров локальной сети компании.
В состав операционной системы Windows XP разработчики Microsoft включили базовый брандмауэр, первоначально получивший название Internet Connection Firewall и недавно переименованный в Windows Firewall. Уже первая версия Windows Firewall позволяла очень много сделать в плане защиты от взлома, например настраиваться как с помощью Group Policy Object (GPO) так и из командной строки. Однако возможностей защиты явно не хватало в таких областях, как настройка правил доступа и фильтрация исходящего трафика. Версия Windows Firewall, которая будет поставляться вместе с Windows Vista, позволит наложить ограничения на используемые службы и настроить безопасные внешние подключения. В этой статье читателям предлагается обзор основных улучшений, выполненных Microsoft в Windows Firewall по состоянию на февраль 2006 года в версии February 2006 Community Technology Preview (CTP) Windows Vista. Естественно, некоторые возможности продукта к моменту выхода готового релиза Vista могут быть изменены.
Determine Ports to Allow for RPM
While this is a more involved process, you may wish to use port exceptions instead. If so, delete the auto-created program exception and follow the instructions below.
- In RPM, choose General Settings from the View menu. Click Ports.
- Note the port number for each entry in the list, especially telnet and LPD ports. Usually, this will include 515 and possibly 9100. This is because RPM uses RPC ports only for the service and UI to communicate with each other. Therefore, you should only include RPC ports if you use the UI on a remote computer.
Первое знакомство
Для того чтобы начать осваивать Windows Firewall, я предлагаю вручную установить SP2 на тестовую систему XP. После установки SP2 Windows Firewall активируется автоматически. Брандмауэр вмещает два конфигурационных профиля — доменный и стандартный — для систем, являющихся членами домена. Windows Firewall задействует доменный профиль, когда рабочая станция подключена к внутренней локальной сети; в противном случае применяется стандартный профиль. Для конфигурирования этой двойственной возможности необходимо использовать Group Policy. Однако в данном случае мы будем предполагать, что тестовая система не является членом домена. Поэтому мы задействуем только один профиль, который будет использоваться как при подключении компьютера к внутренней сети, так и при подключении к Internet. Мы рассмотрим реальный механизм развертывания Windows Firewall на примере пошаговой ручной настройки брандмауэра через панель управления на выделенном тестовом сервере.
Доступ к новым возможностям брандмауэра
Большинство новых функций рассматриваемого брандмауэра появилось в декабрьской версии December 2005 Vista CTP, хотя Microsoft в February CTP Microsoft внесла некоторые незначительные улучшения. В процессе знакомства с Windows Firewall with Advanced Security добавления их легко заметить. Следует щелкнуть на значке Start, набрать
в поле поиска и нажать Enter. В ответ на появившийся запрос нужно нажать Allow, чтобы позволить MMC работать в привилегированном режиме. В меню File требуется щелкнуть Add/Remove Snap-in, выбрать Windows Firewall with Advanced Security и щелкнуть Add. Выберите компьютер для управления, нажмите Finish и ОК.
Новая оснастка позволяет настроить все функции брандмауэра. В левой панели можно выбрать Inbound Exceptions, Outbound Exceptions, Computer Connection Security или Firewall Monitoring, дважды щелкнуть по выбранному элементу — узлу структуры — и увидеть дополнительные настройки в центральной панели. На правой панели располагается список всех доступных действий для выбранного узла. Такое построение консоли делает процесс настройки брандмауэра интуитивно понятной процедурой; например, если нужно включить или отключить правило, достаточно щелкнуть правой кнопкой мыши, вызвав контекстное меню, или же на правой панели выбрать требуемое действие. Большинство действий вступает в силу немедленно, что упрощает отладку при настройке брандмауэра. Чтобы просмотреть и задать свойства брандмауэра, необходимо открыть контекстное меню Windows Firewall with Advanced Security в левой панели и выбрать Properties.
Те, кто хорошо знаком с предыдущими версиями Windows Firewall, заметят, что в новой версии сохранена концепция доменного и стандартного профилей. Можно настроить индивидуальные правила для каждого профиля, и Windows автоматически определит, какой профиль надлежит использовать в каждом конкретном случае. Профиль домена применяется при подключении компьютера к сети, в которой используется домен, например к локальной сети компании. Стандартный профиль используется во всех остальных случаях, когда компьютер подключен к внешней сети. Свойства брандмауэра можно настроить по-разному для доменного и стандартного профиля — например, можно создать правило, которое разрешит входящий трафик для доступа к компьютеру при подключении к локальной сети, и запретить доступ к станции, если вы путешествуете. Кроме того, можно настроить действия по умолчанию (например, блокировку или разрешение на установку входящих и исходящих подключений) и настройки IPSec (такие, как обмен ключами, используемые алгоритмы шифрования и дешифрации, методы аутентификации).
Читайте также: