Дополнительные параметры брандмауэра
В окне настроек брандмауэра в закладке Дополнительно находятся некоторые важные настройки (рис.10).
Первая группа элементов управления Параметры сетевого подключения позволяют избирательно использовать брандмауэр для сетевых интерфейсов системы. Сетевой фильтр включен только для интерфейсов, отмеченных флажками в списке Службы (рис.10.). Кнопка Параметры вызывает окно для настройки доступа сетевых пользователей к сетевым сервисам для выбранного сетевого соединения. Сетевыми сервисами называют программное обеспечение, запросы на обработку к которому поступают по сети. В этом случае компьютеры, от которых поступают запросы, называются клиентами, а компьютеры, которые их обрабатывают – серверами.
По умолчанию в окне представлено несколько наиболее часто используемых в Интернете сервисов. В случае их использования можно разрешить к ним доступ сетевых пользователей. Например, если используется в системе FTP- или Web-сервер, то можно разрешить к ним доступ пользователей из сети. Для этого необходимо установить флажки в режимах, соответственно, с FTP-сервер и Веб-сервер (HTTP) (рис.10.).
После установки флажка в любом из пунктов появится диалоговое окно, в котором система поинтересуется, на каком компьютере установлен сервис, к которому нужно разрешить доступ. По умолчанию предлагается адрес системы, на которой осуществляется настройка брандмауэра (рис.11.).
В поле ввода Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например, 192.168.Х.Х) нужно ввести адрес компьютера, на котором расположен сервис (если он отличается от адреса системы с настраиваемым брандмауэром). Нажатие кнопки ОК приводит к закрытию окна Параметры службы, а в окне Дополнительные параметры (рис.10.) рядом с соответствующим пунктом появляется флажок. Кнопки Добавить и Изменить в окне Дополнительные параметры (рис.10.) приводят, соответственно к добавлению или редактированию существующего сервиса (рис.11.)
Рисунок 10. Закладка Дополнительно и окно выбора дополнительных параметров сетевого подключения
Рисунок 11. Установка адреса системы, на которой расположен сервис, доступ к которому открывается для сетевых пользователей
Закладка ICMP окна Дополнительные параметры позволяет установить доступность сетевых сервисов, выполняющих служебные функции (рис. 12.). ICMP (Internet Control and Message Protocol) означает отношение приведенных в окне Дополнительные параметры – закладка ICMP сервисов к протоколу обмена контрольной информацией в Интернете. Данный протокол предназначен для технических целей и поддерживает корректную работу компьютерной сети, а также может использоваться при поиске неисправности, неизбежно возникающих в сложных сетевых вычислительных структурах. Он реализован с помощью ряда программных сервисов, которые перечислены в списке данного окна.
Вышеперечисленные сервисы предназначены для решения только технических задач. Но существует, как минимум, два пути нарушения нормальной работы системы или причинения ей значительного вреда, если указанные сервисы не будут установлены.
Рисунок 12. Закладка ICMP
Во-первых, возможен запрос взломщиков со стороны сети на выполнение системой различных действий для достижения определенных технических целей. Например, они могут послать системе запрос о ее существовании на определенный сетевой адрес. Если система находится по указанному адресу и функционирует нормально, то она может ответить на запрос. Взломщики могут послать множество таких запросов. Система будет отвечать на них, в результате чего ее производительность для полезных задач резко упадет, т.о. достигается атака Отказ в обслуживании (DoS, Denied of Service).
Также существуют методы посылки специфических запросов, которые будут вынуждать ОС расточительно использовать свои системные ресурсы, вследствие чего наступит момент, когда система перестанет функционировать и ее придется перезагружать.
Во-вторых, возможна атака, целью которой является получение контроля над системой. Она может иметь самые различные алгоритмы. Наиболее вероятным сценарием взлома является посылка специфического запроса системе, который не может быть корректно обработан и вызовет запуск определенной программы, содержащейся в нем (запросе). Эта программа может что-нибудь уничтожить в системе или открыть к ней доступ из Интернета для взломщиков.
Вышеприведенные ситуации говорят о том, что нужно очень осторожно относиться ко всей информации, приходящей из сети, даже если она содержится в служебных запросах. Поэтому все служебные сервисы по умолчанию заблокированы сетевым экраном.
Второй раздел элемента управления Ведение журнала безопасности вкладки Дополнительно (рис.10.) позволяет задавать настройки, позволяющие отслеживать и сохранять в файле состояние сетевого экрана. При нажатии кнопки Параметры появится окно настроек протоколирования работы брандмауэра (рис.13.).
Рис.13. Окно настроек протоколирования работы сетевого экрана
Режим Записывать пропущенные пакеты в случае установки флажка позволяет системе сохранять в файле C:\WINDOWS\pfirewall.log все пакеты, отклоненные системой, что необходимо для просмотра возможных атак из сети или запрещенных адресов.
Режим Записывать успешные подключения в случае установки флажка, позволяет производить запись всех удачных соединений, произведенных с системой.
В разделе Параметры файла журнала находятся опции, в которых указывается имя файла для протоколирования действий брандмауэра и его максимальный размер. При указании пути и имени этого файла в поле ввода Имя следует учесть, чтобы данный файл не был доступен простым пользователям, которые могут использовать его по своему усмотрению. Поле Предельный размер (КБ) позволяет указать максимальный размер этого файла в килобайтах, по умолчанию установлен размер четыре мегабайта. Нажатие кнопки ОК сохраняет внесенные изменения и приводит к закрытию окна.
Третий раздел элемента управления Протокол ICMP (рис.13.) задает настройки, позволяющие отслеживать обработку системой ICMP-запросов сети. При нажатии кнопки Параметры появится диалоговое окно Параметры ICMP. Рекомендуется разрешать работу для сетевых пользователей только необходимых сервисов. По умолчанию разработчиками системы заданы настройки, подходящие для большинства пользователей.
Для восстановления принятых по умолчанию параметров брандмауэра предлагается нажать кнопку По умолчанию (рис. 13.).
Рис.13. Окно настроек Протокола ICMP