CLSID-номер оснастки: {b05566ac-fe9c-4368-be02-7a4cbb7cbe11}
Библиотека: AuthFWSnapin.dll
Используется в стандартных консолях: secpol.msc, WF.msc

В операционной системе Windows Vista помимо стандартного диалога WINDOWS FIREWALL, который совершенно не изменился, присутствует новая оснастка WINDOWS FIREWALL WITH ADVANCED SECURITY. Возможности этой оснастки существенно превышают возможности диалога WINDOWS FIREWALL.

Сведения о работе стандартного брандмауэра операционной системы Windows Vista можно просмотреть при помощи счетчиков производительности объектов WFPv4 и WFPv6. Например, с их помощью можно узнать следующие сведения.

Количество отброшенных за последнюю секунду входящих и исходящих пакетов (счетчики Inbound Packets Discarded/sec и Outbound Packets Discarded/sec), а также общее количество отброшенных пакетов (счетчик Packets Discarded/sec).

Количество заблокированных за последнюю секунду входящих и исходящих соединений (счетчики Inbound Connections Blocked/sec и Outbound Connections Blocked/sec), а также количество разрешенных соединений (счетчики Inbound Connections Allowed/sec, Outbound Connections Allowed/sec).

Общее количество входящих и исходящих соединений (счетчики Inbound Connections и Outbound Connections), а также количество активных из них (счетчики Active Inbound Connections и Active Outbound Connections).

При загрузке оснастки WINDOWS FIREWALL WITH ADVANCED SECURITY нужно указать компьютер, параметры брандмауэра которого будут загружены в оснастку. Основное окно оснастки представлено на рисунке 4.18.

Рис. 4.18. Оснастка Windows Firewall on Local Computer

Основное окно оснастки состоит из следующих элементов.

Overview Отображает основные сведения о настройках брандмауэра: включен ли брандмауэр для доменного профиля (используется, если компьютер является частью домена Active Directory), частной сети и публичной сети (при создании сетевого подключения можно определить, это подключение является частным, то есть, локальным, или публичным, то есть, через интернет), настроены ли фильтры входящего и исходящего соединения. Кроме того, данное поле содержит в себе ссылку WINDOWS FIREWALL PROPERTIES, с помощью которой отображается основной диалог настройки брандмауэра.

Getting Start Данное поле содержит в себе четыре ссылки на подразделы оснастки WINDOWS FIREWALL WITH ADVANCED SECURITY: COMPUTER CONNECTION SECURITY, INBOUND RULES, OUTBOUND RULES и MONITORING.

Resources Содержит в себе ссылки на различные разделы справки операционной системы, описывающей те или иные аспекты работы с оснасткой WINDOWS FIREWALL WITH ADVANCED SECURITY.

Диалог Properties оснастки

Диалог настройки основных параметров работы брандмауэра можно отобразить как при помощи ссылки WINDOWS FIREWALL PROPERTIES основного окна оснастки, так и при помощи команды PROPERTIES контекстного меню подраздела оснастки. Данный диалог имеет четыре вкладки (рис. 4.19).

Рис. 4.19. Диалог Properties оснастки Windows Firewall with Advanced Security

Вкладки DOMAIN PROFILE, PRIVATE PROFILE и PUBLIC PROFILE имеют одни и те же возможности настройки, но настраивают, соответственно, работу доменного, частного и публичного профиля работы брандмауэра. Данные вкладки имеют следующие поля.

State С помощью данного поля можно включить или отключить работу брандмауэра для данного типа сетевых подключений (выпадающий список FIREWALL STATE), а также можно настроить действие по умолчанию для входящих и исходящих подключений (разрешены или не разрешены данные подключения).

Settings Если вы нажмете на кнопку CUSTOMIZE…, тогда сможете настроить такие дополнительные параметры работы брандмауэра, как:

• выпадающий список DISPLAY A NOTIFICATION — позволяет определить, будет ли отображаться сообщение о том, что входящее подключение было заблокировано;
• выпадающий список ALLOW UNICAST RESPONSE — позволяет определить, разрешено ли отвечать направленными сообщениями на групповые и широковещательные сообщения;
• выпадающий список APPLY LOCAL FIREWALL RULES — позволяет определить, разрешено ли применять правила стандартного брандмауэра данного компьютера;
• выпадающий список APPLY LOCAL CONNECTION SECURITY RULES — позволяет определить, разрешено ли применять правила сетевых подключений данного компьютера.

Logging Если вы нажмете на кнопку CUSTOMIZE…, тогда сможете настроить такие параметры ведения лог-файла, как путь к нему, максимальный размер лог-файла, а также будут ли в лог-файле регистрироваться успешно установленные сетевые соединения и потерянные пакеты.

Также данный диалог содержит в себе вкладку IPSEC SETTINGS, на которой расположена кнопка CUSTOMIZE… и выпадающий список EXEMPT ICMP FROM IPSEC. При помощи выпадающего списка можно определить, будут ли пакеты протокола ICMP исключаться из IPSec трафика.

Если вы нажмете на кнопку CUSTOMIZE…, тогда отобразится диалог CUSTOMIZE IPSEC SETTINGS, позволяющий настроить следующие параметры работы протокола IPsec.

• KEY EXCHANGE. Позволяет изменить алгоритм шифрования, используемый при обмене ключами, алгоритм шифрования и проверки целостности передаваемых пакетов, а также время жизни ключа (как на основе количестве прошедшего времени, так и на основе количества созданных сессий).

  По умолчанию используется проверка целостности пакетов на основе алгоритма SHA1, но можно также использовать алгоритм MD5.

  По умолчанию используется шифрование пакетов с помощью алгоритма AES-128, но можно также использовать такие алгоритмы, как AES-256, AES-192, 3DES, DES (AES-256 обеспечивает самое надежное шифрование, а DES самое ненадежное, но быстрое).

  По умолчанию используется шифрование ключей при помощи алгоритма Диффи-Хелмана второй группы. Также можно использовать такие разновидности алгоритма Диффи-Хелмана, как алгоритм первой группы, четырнадцатой, а также алгоритм эллиптической кривой P-256 или P-384. Алгоритм первой группы обеспечивает наименьшую защиту ключа. Алгоритмы на основе эллиптической кривой обеспечивают самое надежное шифрование, однако, они поддерживаются только операционными системами Windows Vista.

• DATA PROTECTION. Также позволяет изменить алгоритмы, используемые для шифрования и проверки целостности пакетов. Кроме того, с помощью данного поля можно определить, какой протокол и в какой последовательности будет использоваться при подключении по протоколу Ipsec (протокол ESP (использует как проверку целостности пакетов, так и шифрование) или AH (использует только проверку целостности пакетов)).
• AUTHENTICATION METHOD. Позволяет изменить способ аутентификации пользователей при создании соединения на основе протокола Ipsec. При этом можно указать следующие методы аутентификации: аутентификация компьютера и пользователя на основе протокола Kerberos, аутентификация компьютера на основе протокола Kerberos, аутентификация пользователя на основе протокола Kerberos, использование сертификата пользователя для аутентификации, использование пароля.

Обратите также внимание на команду RESTORE DEFAULTS контекстного меню оснастки. С ее помощью можно изменить все настройки брандмауэра на стандартные, если созданные вами настройки не удовлетворяют вашим требованиям. Стандартные настройки брандмауэра хранятся в ветви реестра HKLM\System\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy. Текущие же параметры настройки брандмауэра хранятся в ветви реестра HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy. Данные ветви реестра содержат в себе одинаковые подразделы.

• DomainProfile, PublicProfile и StandardProfile. Содержит настройки данного профиля брандмауэра. Например, в нем содержатся такие параметры типа REG_DWORD, как EnableFirewall и DisableNotification. Кроме того, данный подраздел может содержать в себе дочерний подраздел Logging, хранящий настройки ведения лог-файла.
• FirewallRules. Содержит параметры строкового типа, каждый из которых определяет одно правило для брандмауэра.
• RestrictedServices. Содержит в себе сведения о службах, доступ к сети которых запрещен.

Подраздел Inbound Rules оснастки

Данный подраздел оснастки содержит в себе список всех правил для входящих подключений операционной системы. Он содержит в себе множество стандартных правил, однако не все из них включены. Если напротив названия правила установлен значок, изображающий галочку, тогда данное правило используется. Если же напротив правила изображен значок со стрелкой вниз, тогда данное правило не используется. Чтобы включить или выключить использование данного правила, нужно в контекстном меню правила выбрать, соответственно, команду ENABLE RULE или DISABLE RULE. Также можно изменить параметры созданного правила. Для этого используется команда PROPERTIES контекстного меню правила. После ее выбора отобразится диалог, содержащий в себе следующие вкладки.

• General. Позволяет настроить имя правила и его описание, а также действие, которое будет выполнено при удовлетворении данного правила. В качестве действия могут использоваться следующие возможности: разрешить все подключения, удовлетворяющие данному правилу, разрешить только подключения на основе протокола Ipsec (также можно дополнительно определить, должен ли при подключении использоваться протокол ESP), заблокировать все подключения, удовлетворяющие данному правилу.
• Programs and Services. Позволяет указать программы и службы, подключения которых подпадают под данное правило. По умолчанию правило создается для любых программ.
• Users and Computers. Позволяет определить компьютеры и пользователей, соединения которых будут всегда разрешены.
• Protocols and Ports. Позволяет настроить локальный и удаленный порт, а также протокол, который должен использоваться при соединении, чтобы оно удовлетворяло данному правилу. Также с помощью кнопки SETTINGS… для некоторых протоколов можно определить конкретные типы пакетов данного протокола, на которые будет распространяться правило.
• Scope. Позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Advanced. Позволяет настроить дополнительные параметры работы правила. В частности, можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение).

Конечно, по умолчанию присутствует довольно много правил для входящих подключений, но часто необходимо создать свое собственное правило. Для этого применяется команда NEW RULE… контекстного меню подраздела Inbound Rules. После выбора данной команды отобразится мастер создания нового правила, который состоит из пяти шагов. На первом шаге нужно указать, на основе каких данных будет определяться работа правила (на основе названия программы, на основе службы, на основе определенного порта и протокола, или на основе нескольких типов данных). После этого необходимо указать действие при удовлетворении сетевого подключения правилу, профиль сети, для которого будет применяться правило, имя правила и т.д. Все возможности настройки правила, которые предоставляет мастер, были описаны выше, при описании диалога настройки правила.

Когда созданных правил для входящих подключений станет очень много, тогда вам могут потребоваться такие команды контекстного меню подраздела Inbound Rules, как FILTER BY PROFILE, FILTER BY STATE и FILTER BY GROUP, которые позволят отобразить только те правила, которые удовлетворяют фильтру.

Все описанные выше возможности подраздела Inbound Rules присутствуют и в подразделе Outbound Rules. Данный подраздел определяет правила для исходящих подключений.

Подраздел Computer Connection Security оснастки

С помощью данного подраздела можно создать правила для сетевых подключений между двумя компьютерами на основе протокола Ipsec. С помощью этих правил можно определить параметры работы протокола Ipsec для подключений между двумя определенными компьютерами сети. По умолчанию в данном подразделе не существует ни одного правила.

Как и в предыдущих подразделах, чтобы создать новое правило IPSec, нужно воспользоваться командой NEW RULE… контекстного меню подраздела Computer Connection Security. После этого отобразится мастер создания правила, который позволяет создать следующие правила:

• ISOLATION. Создать правило, запрещающее соединения на основе таких критериев аутентификации, как членство в домене.
• AUTHENTICATION EXEMPTION. Создать правило, при котором соединение с определенным компьютером не будет требовать аутентификации.
• SERVER TO SERVER. Создать правило аутентификации между двумя определенными компьютерами.
• TUNNEL. Создать правило аутентификации между шлюзами компьютеров.
• CUSTOM. Создать составное правило.

Как и раньше, для настройки правила все-таки лучше воспользоваться диалогом PROPERTIES данного правила. Для правил Ipsec данный диалог поддерживает следующие возможности.

• GENERAL. Как и раньше, позволяет изменить имя правила и его описание, однако, с помощью данной вкладки нельзя изменить действие правила, ведь для правил Ipsec такого понятия вообще не существует. Также с помощью данной вкладки можно включить или отключить правило.
• COMPUTERS. Позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• AUTHENTICATION. Позволяет указать способ аутентификации, который должен применяться при соединении указанных на вкладке COMPUTERS компьютеров.
• ADVANCED. С помощью данной вкладки можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение). Кроме того, с ее помощью можно определить параметры создаваемого между двумя компьютерами туннеля (IP-адреса двух компьютеров).

Подраздел Monitoring

С помощью данного подраздела можно просмотреть список правил, применяемых в данный момент. Он содержит в себе следующие дочерние подразделы.

• Firewall. Отображает список правил для подключений на основе протокола IP. Чтобы определить, используется ли данное правило для входящего или исходящего подключения, нужно посмотреть на поле DIRECTION правила. С помощью диалога PROPERTIES определенного правила можно просмотреть такие сведения о работе правила, как протокол, порты, локальные и удаленные адреса, приложения и службы, тип интерфейса, для которого применяется данное правило.
• Connection Security Rules. Этот подраздел определяет применяемые в данный момент правила для подключений на основе протокола Ipsec.
• Security Associations. Содержит список сетевых подключений на основе протокола Ipsec, установленных в данный момент.

Также не стоит забывать и о самом подразделе MONITORING. После его выбора перед вами отобразятся текущие настройки профилей стандартного брандмауэра Windows: включен ли данный профиль, блокируются ли по умолчанию входящие и исходящие подключения, какие параметры ведения лог-файла используются и т.д. Все эти параметры изменялись при помощи диалога PROPERTIES подраздела WINDOWS FIREWALL WITH ADVANCED SECURITY и были рассмотрены нами ранее.

Диалог Windows Firewall Settings

Несмотря на то, что операционная система Windows Vista обзавелась новой оснасткой для работы со стандартным брандмауэром, диалог WINDOWS FIREWALL, известный вам по предыдущим версиям операционной системы Windows, никуда не исчез. Однако теперь доступ непосредственно к нему можно получить не при помощи одноименного значка папки CONTROL PANEL, а с помощью программы FirewallSettings.exe. И теперь он называется WINDOWS FIREWALL SETTINGS. Что же касается возможностей данного диалога, они совершенно не изменились.

Также диалог Windows Firewall Settings можно отобразить при помощи команды rundll32.exe firewall.cpl, ShowControlPanel.

Диалог WINDOWS FIREWALL SETTINGS представляет собой более простой способ изменения некоторых параметров работы публичного профиля стандартного брандмауэра Windows Vista. Он содержит следующие вкладки.

General Позволяет включить или отключить публичный профиль брандмауэра Windows Vista, а также определить, будет ли разрешено указывать исключения, на которые настройки брандмауэра действовать не будут.

Exceptions Позволяет определить исключения, на которые настройки брандмауэра действовать не будут (исключения представляют собой правила оснастки WINDOWS FIREWALL WITH ADVANCED SECURITY). Если напротив программы из списка данной вкладки установлен флажок, тогда пакеты соответствующей программы или службы будут пропускаться брандмауэром. С помощью данной вкладки вы можете указать как новую программу и порт, так и изменить параметры уже указанных программ. Также с помощью флажка TELL ME WHEN WINDOWS FIREWALL BLOCKS A PROGRAM данной вкладки можно определить, будет ли выдаваться сообщение о блокировании пакетов программ, не входящих в список исключений. С помощью данного диалога можно добавить указанную программу в список исключений.

По умолчанию установлены следующие исключения.

• FILE AND PRINTER SHARING. Предоставляет доступ к расшаренным ресурсам компьютера.
• REMOTE ASSISTANCE. Позволяет получить доступ к вашему компьютеру удаленному помощнику. Работа с удаленным помощником будет описана далее в этой книге.
• REMOTE DESKTOP. Предоставляет удаленный доступ к компьютеру при помощи служб терминалов.
• ROUTING AND REMOTE ACCESS SERVICE. Предоставляет доступ службе ROUTING AND REMOTE ACCESS.
• WINDOWS MOBILE-BASED DEVICE CONNECTIVITY. Открывает порт 990 протокола TCP для взаимодействия компьютера и таких устройств, как, например, коммуникаторы.

Advanced Позволяет настроить параметры ведения лог-файла для публичного профиля, указать пакеты ICMP, которые брандмауэру разрешено пропускать, указать сетевые соединения, для которых брандмауэр включен, а также восстановить настройки брандмауэра по умолчанию.

Диалог Windows Firewall

Также получить доступ к стандартному брандмауэру операционной системы можно при помощи диалога WINDOWS FIREWALL, который отображается после нажатия на одноименный значок папки CONTROL PANEL.

Сведения о диагностике работы диалога Windows Firewall заносятся в журнал Applications and Services/Microsoft/Windows/Firewall-CPL.

Также можно просмотреть различные сведения о диавгностике работы службы Windows Firewall. Для этого применяются журналы разделов MPS-CLNT, MPS-DRV, MPS-SRV подраздела Applications and Services/Microsoft/Windows.

По сути, диалог WINDOWS FIREWALL является чем-то вроде набора ссылок для запуска диалога WINDOWS FIREWALL SETTINGS, рассмотренного нами выше. Данный диалог содержит в себе сведения о том, активен ли в данный момент брандмауэер Windows, отображаются ли уведомления при блокировании подключения, а также, какой сетевой профиль используется для подключения к локальной сети (публичный или частный). Кроме предоставления сведений диалог WINDOWS FIREWALL содержит в себе несколько ссылок, однак все они отображают диалог WINDOWS FIREWALL SETTINGS, рассмотренный нами выше.

Настройка брандмауэра при помощи программы netsh.exe

Также настроить работу стандартного брандмауэра операционной системы можно при помощи команд программы командной строки netsh.exe. Данная программа поддерживает две команды, предназначенные для настройки брандмауэра: firewall и advfirewall. Первая из этих команд присутствовала и в операционной системе Windows XP, вторая же является нововведением Windows Vista.

Команда firewall Данная команда позволяет управлять возможностями, предоставляемыми стандартным диалогом операционной системы WINDOWS FIREWALL. Для этого команда поддерживает следующие дочерние команды.

• Show. Позволяет просмотреть сведения о текущих настройках брандмауэра. Данная команда поддерживает следующие дочерние команды.
  • Allowedprogram. Отображает список программ-исключений, работа которых в сети блокироваться не будет.
  • Config. Отображает все настройки брандмауэра (все остальные дочерние команды команды show отображают лишь определенную часть настроек, которые отображаются командой config).
  • Currentprofile. Отображает профиль брандмауэра, используемый в данный момент.
  • Icmpsetting. Отображает параметры блокирования пакетов протокола ICMP (какие типы пакетов брандмауэр будет игнорировать, а какие — блокировать).
  • Logging. Отображает параметры ведения лог-файла (путь к нему, его максимальный размер, какие сведения будут заноситься в лог-файл).

    В лог-файл брандмауэра помещается следующая информация: время поступления пакета, действие брандмауэра (блокировка пакета или его игнорирование), протокол, используемый для передачи пакета, исходный IP-адрес (и порт) и IP-адрес назначения (и порт), размер пакета, контрольные флаги протокола TCP.

  • Opmode. Отображает режимы работы брандмауэра, которые разрешены операционной системой.
  • Portopening. Отображает список портов-исключений, работа с сетью через которые не будет блокироваться брандмауэром.
  • Service. Отображает список служб-исключений, работа с сетью которых не будет блокироваться брандмауэром.
  • State. Отображает сведения о текущем состоянии брандмауэра (объединяет команды Portopening, Opmode, multicastbroadcastresponse и notifications).
  • Multicastbroadcastresponse. Определяет, разрешен ли режим однонаправленного ответа на широковещательные запросы.
  • Notifications. Определяет, будут ли отображаться уведомления о том, что брандмауэр заблокировал работу определенной программы.

  При помощи счетчикорв производительности вы можете просмотреть информацию о получении и отправке пакетов ICMP разных типов. Для этого применяются счетчики объекта ICMP (или объекта ICMPv6). Например, при помощи данных счетчиков можно узнать следующее.

  Количество отправленных пакетов типа Destination Unreachable (место назначения недостижимо), Time Exceeded (истечение допустимого на передачу времени), Source Quench (принимающий узел не успевает обработать получаемые сообщения), Parameter Problem (параметры принятого сообщения ошибочны), Redirect (перенаправление), Echo Reply (эхо-ответов), Timestamp Reply (запрос на получение штампа времени), Address Mask (запрос на получение маски адреса). Соответсвенно, для этого применяются счетчики Sent Destination Unreachable, Sent Time Exceeded, Sent Source Quench, Sent Parameter Problem, Sent Redirect/sec, Sent Echo Reply/sec, Sent Timestamp Reply/sec, Sent Address Mask.

  Количество полученных пакетов типа Destination Unreachable, Time Exceeded, Source Quench, Parameter Problem, Redirect, Echo Reply, Timestamp Reply, Address Mask.

  Общее количество отправленных и полученных сообщений (счетчики Messages/sec, Messages Received/sec, Messages Sent/sec), а также количество отправленных и полученных сообщений, которые не были обработаны из-за ошибки (счетчики Messages Received Errors, Messages Outbound Errors).

• Add. Позволяет добавить программу или порт, работа через который не будет блокироваться брандмауэром. Данная команда поддерживает следующие дочерние команды.
  • Allowedprogram. Добавить программу-исключение.
  • Portopening. Добавить порт-исключение.
• Set. Позволяет настроить параметры работы стандартного брандмауэра. Данная команда поддерживает следующие дочерние команды.
  • Allowedprogram. Позволяет изменить настройки определенной программы-исключения.
  • Icmpsetting. Позволяет настроить параметры блокирования пакетов ICMP.
  • Logging. Позволяет настроить параметры ведения лог-файла.
  • Opmode. Позволяет настроить режим работы брандмауэра (глобальный или для отдельного сетевого интерфейса).
  • Portopening. Позволяет изменить настройки определенного порта-исключения.
  • Service. Позволяет разрешить или запретить блокирование определенной службы. С помощью данной команды можно управлять только определенными службами (ключевые слова, определяющие службы, FILEANDPRINT, REMOTEADMIN, REMOTEDESKTOP, UPNP, ALL).
  • Notifications. Позволяет настроить параметры отображения уведомлений при блокировании работы программы с сетью.
  • Multicastbroadcastresponse. Позволяет определить, разрешен ли режим однонаправленного ответа на широковещательные запросы.
• Delete. Позволяет удалить программу или порт, работа через который ранее не блокировалась брандмауэром. Данная команда поддерживает следующие дочерние команды.
  • Allowedprogram. Удалить программу-исключение.
  • Portopening. Удалить порт-исключение.
• Reset. Установить все настройки стандартного брандмауэра по умолчанию.

Команда advfirewall С помощью данной команды вы можете управлять новым стандартным брандмауэром операционной системы Windows Vista (реализованным в оснастке WINDOWS FIREWALL WITH ADVANCED SECURITY). Возможности данной команды будут описаны вглаве этой книги, посвященной сетевым функциям операционной системы.

Продолжение следует