blog.matajon.net

Windows XP obsahují od SP2 integrovaný firewall, ale o jeho užitečnosti a bezpečnosti by se dalo reálně pochybovat. Narozdíl od toho je ve Vistě standardně přítomná o hodně vylepšená verze integrovaného firewallu, nejenom že dokáže nově filtrovat i odchozí spojení (jaká to ale novinka ), ale už v základu máte například podporu IPSec, NAP nebo pomalu ale jistě nastupujícího IPv6.

Na úvod si je třeba uvědomit, jak jsou rozdělena síťová připojení ve Vistě. Každé připojení může mít přiřazen jeden z profilů - “Profil domény”, “Privátní profil” nebo “Veřejný profil”. Profil domény je automaticky nastaven, pokud se v dané síti vyskytuje doménový server a počítač se na něj přihlašuje -> je tedy součástí domény. Přiřazení privátního a veřejného profilu už je pak čistě ve vaší režii, ale mělo by platit, že privátní sítě jsou ty, kterým explicitně důvěřujete (například domácí síť za HW firewallem) a veřejné pak ty nedůvěryhodné (například hotspot v kavárně nebo na letišti, kde jste většinou připojen přímo k internetu a nemůžete se spolehnout na nějaké další zabezpečení).

Pro každý z těchto profilů je nyní možné nakonfigurovat počítač zvlášť, takže můžete mít notebook nastavený tak, že ve veřejných sítích se budou nepovolená příchozí spojení automaticky blokovat, ale na druhou stranu pokud příjdete domů a připojíte si do své domácí důvěryhodné sítě, tak se firewall vypne úplně, protože této síti důvěřujete a máte kvalitní HW firewall.

Nenechte se zmást nastavením firewallu v ovládacích panelech, protože tam je pouze základní verze administračního rozhraní. Pro pokročilá nastavení buď v poli hledat v nabídce Start zadejte “Brána firewall” a vyberte “Brána firewall systému Windows s vyspělým zabezpečením” nebo přímo spustte MMC snapin “wf.msc”. Po spuštění byste měli vidět okno podobné tomuto:

Pod položkou “Vlastnosti brány firewall” máte už možnost nastavit firewall pro jednotlivé profily, stejně tak nastavit IPSec. Pro každý profil (každý v samostatné záložce) máte několik položek, které můžete nastavit. První je “Stav brány firewall”, kde nastavíte, jestli má pro tento profil firewall vůbec běžet, či nikoliv. Dále nabídky “Příchozí připojení” a “Odchozí připojení” určují chování firewallu, pokud se uskutečňuje připojení, pro které není definované žádné pravidlo (viz dále). V položce “Nastavení” můžete dále nastavit, jestli má být uživateli zobrazeno upozornění, že byla zablokovaná nějaká komunikace, nebo nastavit jenosměrové odpovědi a dále jestli se budou aplikovat nastavení ze skupinovych politik (Group Policy). Pod položkou “Protokolování” se překvapivě nastavuje logování akcí firewallu.

Pro rozšíření IPSec můžete v příslušné záložce nastavit způsoby autentifikace nebo výměny klíčů, ale to není zase tak podstatné. Kdo už někdy používal IPSec, vyzná se v nastaveních sám

Když nyní ukončíte tento dialog, tak pod položkami “Příchozí pravidla” a “Odchozí pravidla” můžete zobrazit či upravovat již existující pravidla pro komunikaci. Přidávání pravidel je vcelku jednoduché a tak ani nebudu dělat ukázku, v praxi stačí nastavit program, protokol+porty a profil, kterému toto pravidlo přirazujete. Je zde více nastavení, ale ty při přidávání objevíte sami, když je budete potřebovat.

Zajímavější možnosti ovšem nabízí “Pravidla zabezpečení připojení”, kde můžete nastavovat například výjimky ověřování pro určitě počítače, povolit připojení pouze počítačům například v doméně, nebo dokonce díky NAP povolovat připojení pouze počítačům s dobrým “zdravotním stavem” (tzn. nainstalované aktualizace atd.). Stejně tak zde můžete nastavit propojení mezi dvěma počítači na základě autentifikace, či tunelování připojení. Zkusíme si nyní přidat výjimku v ověřování pro jiný počítač v naší soukromé sítí.

Přidáme nové pravidlo zabezpečení připojení, jako typ pravidla vybereme “Výjimka z ověření” a po potvrzení zadáme IP adresu vybraného počítače (nebo rozsah adres, případně také typ skupinu počítačů, jako třeba DHCP servery). V dalším kroku vybereme profily, ve kterém chceme pravidlo aplikovat, v našem případě jenom Privátní. A nakonec jenom zadáme název nového pravidla a potvrdíme.

Pod poslední položkou “Sledování” je možné sledovat aktuální stav firewallu, například zjistit aktuálně aktivovaný profil.

Nový integrovaný firewall je možné stejně jako v XP spravovat přes příkazovou řádku, a to díky utilitě netsh.exe, dodávané standardně s operačním systémem. Pro možnosti, které vám tato metoda poskytuje spusťte v příkazové řádce “netsh”, nebo přesněji “netsh advfirewall”

Tags: Firewall, Microsoft, Windows, Windows Vista

This entry was posted on Monday, November 26th, 2007 at 3:27 pm and is filed under Windows Vista. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.