Понятие брандмауэров. Необходимость использования брандмауэра или фаервола Объясняет назначение брандмауэра

16.05.2015

Информационная безопасность крайне важна для пользователя сетей интернет, поскольку он насыщен вирусами. Одним из отличных методов защиты является брандмауэр Windows.

Для того чтобы защитить операционную систему от хакерских атак, разработчики создали систему фильтрации входящих и исходящих соединений, которая называется брандмауэр или фаерволл. В Windows есть встроенная система безопасности, однако из-за того, что в предыдущих версиях ОС её практически не использовали и отключали, ей до сих пор мало кто пользуется.

Как работает брандмауэр Windows

Несмотря на то, что брандмауэр, встроенный в операционную систему, не заслужил популярности среди пользователей, и многие предпочитали пользоваться тем, что предоставляют антивирусные программы, разработчики Microsoft доработали его функциональность и улучшили производительность с выходом седьмой версии.

Для того чтобы разобраться в необходимости использования или отключения фаерволла, нужно понять, как он работает. Вся функциональность этой программы сводится к фильтрации сетевых потоков входящих и исходящих данных. Каждое приложение использует свои порты для передачи информации. Их и сканирует брандмауэр, обнаруживая запрещенные потоки, вызванные неизвестными ресурсами и процессами.

Работа фаерволла строится на правилах, разрешающих и запрещающих определенный трафик. Многие путают его работу с антивирусом, но на самом деле он только блокирует соединения, помогая от хакерских атак и пакетов с вирусным кодом. Однако это не единственное его назначение.

Если вирус уже пробрался на ваш компьютер, он может попытаться скачать другой, более серьезный код, или, собрав ваши данные, попробует отослать их своему разработчику. Брандмауэр Windows может заметить такие потоки и запретить их. Тоже самое происходит, когда какая-либо программа пытается получить несанкционированный доступ к обновлению или другому действию в сети.

Как настроить брандмауэр Windows

Настройка встроенного фаерволла обычно производится при помощи разрешений и запретов для соединений определенного типа сети. Предусматривается настройка трех профилей:

Для частных сетей;
Для работы в домене;
Для гостевых и общедоступных.

Использование двух профилей просто необходимо при работе с несколькими локальными или виртуальными подключениями, а также дополнительными соединениями, например, туннельными. Они позволяют создать правила и распределения разрешений для:

Портов;
Программ;
Исполняемых процессов операционной системы (операциям).

Можно также создать собственное правило с полным контролем над параметрами и исполняемыми опциями.

Для того чтобы настроить работу фаерволла, например, разрешить какой-либо программе использование трафика или соединения по порту, нужно выполнить следующие действия:

Зайти в «Панель управления», найти и запустить «Брандмауэр Windows». Также окно настроек можно вызвать командой «firewall.cpl» в меню «Выполнить»;

Далее в меню справа необходимо выбрать «Дополнительные параметры». Именно тут можно выбрать желаемый профиль для работы, а также отредактировать его настройки и разрешения;

Также можно задать разрешение всего потока трафика и пропуска его через фаерволл. Для этого необходимо выбрать соответствующее меню;

Из открывшегося списка выберите программу, службу или иной компонент и отредактируйте разрешения для него при помощи кнопки «Изменить параметры».

Выполнив необходимые настройки и отредактировав параметры, можно задать необходимые ограничения для программ. Фаерволл работает по принципу: что не разрешено, то запрещено. Поэтому если вы не дадите необходимых разрешений для отправки или получения пакетов несистемными приложениями, то они будут заблокированы.

Как отключить брандмауэр Windows

Если, несмотря на все возможности и настройки, встроенная защита вас не устраивает, или же ваш антивирус идет в составе с фаерволлом, возникает необходимость отключения брандмауэра Windows.

Большинство профессионалов в области ИТ и информационной безопасности рекомендуют использовать один из фаерволлов, точно так-же как и только один из антивирусов. Это обусловлено тем, что двойная фильтрация не имеет никакого смысла и не даст дополнительной защиты, в тоже время может замедлить работу веб-приложений и ресурсов, поскольку содержимое входящих/исходящих пакетов будет проверяться дважды. Кроме того, два фаерволла могут конфликтовать друг с другом, блокируя трафик к серверам обновления.

Использование двух фильтров необходимо только в случае большого количества разнообразных сетевых интерфейсов, если необходимо распределять множество разных правил для трафика разных соединений.

Встроенный фаерволл отключается в несколько этапов. Первым делом необходимо остановить программную часть. Для этого нужно выполнить следующие действия:

Зайти в панель управления и выбрать «Брандмауэр Windows»;
В меню вызова функций справа выбрать «Включение и отключение брандмауэра Windows»;
Отключить фаерволл для каждого используемого типа сетевого размещения, игнорируя то, что это не рекомендуется системой.

Теперь, когда программа отключена, лучше перезапустить операционную систему. Однако в работе остается служба, которая отвечает за сетевую фильтрацию. Это означает, что процесс останется запущенным в системе и будет занимать ресурсы оперативной памяти, а также может вызвать конфликты с другим защитным ПО.

Чтобы остановить службу, необходимо выполнить следующие действия:

Зайти в панель управления и выбрать пункт «Администрирование»;

Открыть управление службами;

Найти «Брандмауэр Windows» и, дважды нажав на нее, открыть меню управления. Остановить службу и выбрать для нее статус «Отключена».

Многим пользователям может понадобиться перенастройка или остановка фаерволла для нормального предоставления доступа к своему компьютеру по сети. Чтобы каждый раз не отключать/включать брандмауэр, при этом сохранить безопасность сетевых соединений и разрешить некоторые из них, нужно воспользоваться настройками портов и распределением доступа программ.

Итог:

Начиная с седьмой версии Windows, встроенный фильтр для защиты от хакерских атак обладает широкими возможностями и гибкими настройками. Благодаря нему, можно штатными средствами обеспечить полную безопасность системы.

Однако далеко не все пользователи доверяют встроенному программному обеспечению, поскольку не знают, как его правильно настроить, что может создавать проблемы с доступами, дополнительными подключениями, туннелями и соединениями. В свою очередь это может вызвать проблемы в онлайн играх, p2p сетях или файлообменных программах.

Прежде чем звонить провайдеру при отсутствии доступа к тому или иному компьютеру своей сети, нужно проверить настройки брандмауэра. Теперь вы знаете, как это сделать.

Internet, как и любое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети Internet что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра - оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Многие традиционные компании и центры обработки данных разработали правила и принципы компьютерной безопасности, которым надо следовать. Если правила работы компании указывают, как необходимо защищать данные, брандмауэр становится особенно важным, становясь частью корпоративной системы безопасности. Зачастую при подключении большой компании к сети Internet самым трудным является не обоснование того, что это выгодно или полезно, а объяснение руководству, что это вполне безопасно. Брандмауэр не только обеспечивает реальную защиту, он часто играет существенную роль гаранта безопасности для руководства.

Наконец, брандмауэр может служить корпоративным "посланником" ("лицом") в Internet. Многие компании используют системы брандмауэров для предоставления широкой общественности информации о продукции и услугах компании, в качестве хранилища файлов для загрузки, источника исправленных версий программ и т.д. Некоторые из этих систем стали важной составляющей спектра услуг сети Internet (например, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), что положительно сказалось на имидже их организаторов.

Некоторые брандмауэры пропускают только сообщения электронной почты, тем самым защищая сеть от любых атак, кроме атак на почтовую службу. Другие брандмауэры обеспечивают менее строгую защиту и блокируют лишь службы, определенно угрожающие безопасности.

Обычно брандмауэры конфигурируются для защиты от неавторизованной интерактивной регистрации из "внешнего" мира. Именно это, больше, чем все остальное, помогает предотвратить проникновение вандалов в машины вашей сети. Более развитые брандмауэры блокируют передачу информации извне в защищаемую сеть, разрешая при этом внутренним пользователям свободно взаимодействовать с внешним миром. При правильной настройке брандмауэр может защитить от любого типа сетевой атаки.

Брандмауэры также важны, поскольку позволяют создать единую "уязвимую точку" ("choke point"), где можно организовать защиту и аудит. В отличие от ситуации, когда компьютерная система атакуется извне путем дозвона по модему, брандмауэр может служить эффективным средством "прослушивания" и регистрации подключений. Брандмауэры обеспечивают важные функции журнализации и аудита; часто они позволяют администраторам получать отчеты о типах и объемах переданной через них информации, о количестве попыток взлома и т.п.

Важно, что создание такой "уязвимой точки" может служить в сети той же цели, что и ворота с охраной возле здания фирмы. Тем самым, при изменении "зон" или уровней защищенности имеет смысл создавать такую "проходную". Редко когда в здании фирмы есть только ворота для выезда транспорта и нет дежурного или охранников, проверяющих пропуска у входящих. Если в офисе есть различные уровни доступа, логичным будет и создание нескольких уровней защиты в офисной сети.

Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. К несчастью для них, магнитную ленту использовать для передачи данных ничуть не сложнее. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Смешно устанавливать стальную дверь двухметровой толщины в деревянном доме, но многие организации покупают дорогие брандмауэры и игнорирую другие многочисленные лазейки в корпоративную сеть. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом. Например, для систем с совершенно секретными или конфиденциальными данными брандмауэр вообще не нужен - их просто не надо подключать к Internet, или же надо изолировать системы с действительно секретными данными от остальной части корпоративной сети.

Брандмауэр практически не может защитить вас и от саботажников или идиотов внутри сети. Хотя агент, занимающийся промышленным шпионажем, может передавать информацию через ваш брандмауэр, он точно так же может предавать ее по телефону, по факсу или на дискете. Дискеты - куда более вероятные каналы утечки информации из компании, чем брандмауэр! Брандмауэры также не могут защитить от глупости. Пользователи, предоставляющие важную информацию по телефону, - хорошая цель для обработки психологически подготовленным злоумышленником. Он может взломать сеть, полностью обойдя брандмауэр, если сможет найти "полезного" сотрудника в организации, которого сможет обманом заставить дать доступ к модемному пулу. Прежде чем решить, что в вашей организации такой проблемы не существует, спросите себя, насколько сложно представителю организации-партнера получить доступ в сеть, или будет ли трудно пользователю, забывшему пароль, добиться его сброса. Если сотрудники справочной службы считают, что им звонят только из вашего офиса, у вас определенно есть проблема.

Наконец, брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр - не панацея, и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто, и это можно легко продемонстрировать. Защита - это не то, что можно "сделать и забыть".

Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки на базе данных, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.

Организации, серьезно обеспокоенные проблемой вирусов, должны применять специальные меры для контроля распространения вирусов в масштабе всей организации. Вместо того, чтобы пытаться оградить сеть от вирусов с помощью брандмауэра, проверьте, что каждое уязвимое рабочее место оснащено программами сканирования вирусов, запускаемыми при перезагрузке машины. Оснащение сети программами сканирования вирусов защитит ее от вирусов, полученных с дискет, через модемы и по сети Internet. Попытка заблокировать вирусы на брандмауэре защитит только от попадания вирусов из Internet, а подавляющее большинство вирусов переносится как раз на дискетах.

Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows-Intel или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.

Мощный брандмауэр не заменяет чувствительного программного обеспечения, знающего природу обрабатываемых данных - ненадежных и поступивших из не обладающего доверием источника, - и обрабатывающего их соответствующим образом. Не думайте, что вы в безопасности, раз "все" используют некую почтовую программу, произведенную гигантской транснациональной компанией.

Брандмауэр Windows - это программный комплекс, через который проходит весь сетевой трафик. Но основное назначение Брандмауэра Windows не в том, чтобы быть проводником трафика. Основное назначение Брандмауэра Windows в проверке этого самого трафика. И в зависимости от результатов проверки, трафик либо пропускается, либо отвергается. В основном, Брандмауэр Windows настроен таким образом, чтобы отбрасывать вредоносный трафик и пропускать «чистый». Вдобавок, Брандмауэр по умолчанию закрывает некоторые уязвимые к места, например, некоторые порты. Но все эти правила, на основании которых и работает Брандмауэр, настраиваемые. Пользователь сам волен выбирать какой трафик пропускать, а какой нет, какой порт открыть, а какой закрыть. Но всё это будет описано позже, а сейчас нужно знать то, что Брандмауэр Windows защищает компьютер от проникновения и различных вредоносных программ.

Что нового в Брандмауэре в Windows 7?

В отличие от Брандмауэра в предыдущих операционных системах, в Брандмауэре Windows 7 появились несколько дополнительных функций, среди которых особое место играют три, которые перечислены ниже:

Запрет на создание отпечатка операционной системы . Что такое отпечаток операционной системы? Отпечаток ОС - это техника, с помощью которой можно узнать версию операционной системы удаленной машины. Хакеру намного проще будет взломать компьютер, если он будет знать с какой операционной системой имеет дело. Именно поэтому, Брандмауэр Windows 7 использует функцию полного сокрытия, благодаря которому создание отпечатка операционной системы внешними хостами невозможно.
Функция фильтрации во время загрузки обеспечивает защиту компьютера с того самого момента, как только активизируются сетевые интерфейсы. А вот в Windows XP Брандмауэр включался только через некоторое время после активизации сетевой карты, что приводило к тому, что компьютер оставался некоторое время незащищенным.
Брандмауэр Windows 7 блокирует большую часть исходящего трафика. Благодаря этому, вредоносный трафик не выйдет за пределы зараженного компьютера(в теории). В предыдущих версиях Брандмауэр работал только с входящим трафиком, никак не защищая компьютеры вокруг.

Вот три самых серьезных и достойных внимания изменения, которые ставят Брандмауэр в операционной системе Windows 7 выше своих предыдущих версий. Так же это говорит о том, что операционная система Windows 7 стала намного безопаснее, чем его предки. Об этом я уже писал в статье

Если вы пользовались Интернетом некоторое время, а тем более если работаете в большой компании и использование Всемирной паутины входит в ваши служебные обязанности, то, наверное, слышали термин "Брандмауэр". Например, от сотрудников можно часто услышать фразы такого типа: "Не могу пользоваться этим сайтом, поскольку меня не пропускает брандмауэр".

Если у вас дома есть высокоскоростное подключение к Интернету (подключение с помощью DSL либо кабельного модема), то, скорее всего, вам говорили также о необходимости использования брандмауэра в домашней сети. Оказывается, что домашние сети сталкиваются со многими проблемами безопасности, встречающимися также в больших сетях предприятий. Брандмауэр можно использовать для защиты домашней сети и членов своей семьи от соединения с нежелательными веб-узлами и от возможных атак злоумышленников.

По сути, брандмауэр представляет собой барьер, не подпускающий различные деструктивные силы к вашей собственности. Поэтому его и называют брандмауэром. Он выполняет такие же функции, что и физический брандмауэр, изготовляемый из кирпича и предназначенный для недопущения распространения пожара из одной части дома в другую. В этой статье подробно рассказано о работе брандмауэра, а также о том, от каких угроз он может защитить.

Какие функции выполняет брандмауэр

Брандмауэр – программа или устройство, предназначенное для фильтрации информации, поступающей в вашу частную сеть или компьютерную систему через подключение к Интернету. Если входящий информационный пакет помечен фильтрами, он не будет пропущен в систему через брандмауэр.

Прочитав статью о том, как работают веб-серверы, вы узнаете, как данные передаются по Интернету и сможете легко понять, как брандмауэр помогает защитить компьютеры большой компании. Допустим, вы работаете в компании, насчитывающей 500 сотрудников. Причем в компании имеются сотни компьютеров, снабженных сетевыми адаптерами для обеспечения обмена информацией между этими компьютерами. Допустим также, что компания располагает одним или несколькими подключениями к Интернету, к примеру, линиями T1 или T3. Без брандмауэра к любому их этих сотен компьютеров может получить прямой доступ любой пользователь Интернета. Человек, обладающий знаниями и опытом в этой области, получает возможность зондировать эти компьютеры, пробовать установить с ними сеансы FTP и Telnet и проводить другие подобные манипуляции. Если работник компании вследствие ошибки оставляет брешь в системе безопасности, злоумышленники могут воспользоваться этой брешью и получить доступ к машине.

Если используется брандмауэр, ситуация совсем иная. Компания может установить брандмауэр на каждом подключении к Интернету (например, на каждой линии T1, по которой компания осуществляет связь с внешним миром). В брандмауэре можно вводить правила безопасности. Например, одно из правил безопасности, используемое внутри компании, может предусматривать следующее:

Из 500 компьютеров компании только одному разрешается получать приходящий извне трафик FTP. И только этому одному компьютеру разрешается проводить FTP-сеансы. Компания может устанавливать подобные правила для FTP-серверов, Web-серверов, Telnet-серверов и т. п. Кроме того, с помощью брандмауэра можно контролировать возможности персонала, связанные с подключением к веб-узлам, разрешать или запрещать отправку тех или иных файлов за пределы компании и тому подобное. Брандмауэр является мощным инструментом по обеспечению контроля над действиями персонала во Всемирной сети.

Для контроля входящего и исходящего трафика используют от одного до трех различных методов:

Фильтрация пакетов – пакеты (небольшие фрагменты данных) анализируются с использованием набора фильтров. Пропущенные фильтрами пакеты отправляются к системе, которая их запрашивала, а все остальные – задерживаются.

Функция посредника (proxy service) – поступившая из Интернета информация принимается брандмауэром и лишь затем поступает на запрашивающую систему; аналогично производится и передача информации.

Проверка с отслеживанием состояния – новейший метод, при котором не проверяется содержимое каждого пакета, а производится сравнение определенных ключевых элементов пакета с базой данных надежной информации. Брандмауэром отслеживаются отличительные характеристики исходящей информации, после чего на соответствие этим характеристикам проверяется входящая информация. Если сравнение выявляет достаточную степень соответствия, получаемая информация пропускается. В противном случае она не пропускается.

Определение брандмауэра.

Основы технологии брандмауэров.

Брандмауэр (межсетевой экран) - это система или группа систем, реализующих правила управления доступом между двумя сетями. Фактические средства, с помощью которых это достигается, весьма различны, но в принципе брандмауэр можно рассматривать как пару механизмов: один для блокирования передачи информации, а другой, - для пропуска информации. Некоторые брандмауэры уделяют больше внимания блокировке передачи информации, другие - ее пропуску. Вероятно главное, что нужно знать о брандмауэрах, это что они реализуют правила управления доступом. Если не вполне понятно, какого рода доступ необходимо обеспечить или запретить, брандмауэр вам ничем не поможет. Также важно понимать, что конфигурация брандмауэра, как механизма обеспечения выполнения определенных правил, определяет правила для всех систем, которые он защищает. Поэтому на администраторов брандмауэров, управляющих доступом к большому количеству хостов, возлагается большая ответственность.