Windows Firewall. Брандмауэр (Firewall) - это программа, которая находится между вашим компьютером и Интернетом, защищая вас от больших и злых дядек.
Содержание:
Windows Firewall
Входящий брандмауэр действует как гаишник, который пропускает на ваш компьютер только хорошее, а все плохое хранит в Интернете, где ему и место. Брандмауэр исходящего трафика предотвращает отправку с вашего компьютера данных в Интернет, например, когда ваш компьютер заражён вирусом или имеет другую проблему с безопасностью.
Windows включает в себя полезный брандмауэр для входящего трафика. А также грубый, трудно настраиваемый брандмауэр для исходящего трафика, который обладает всеми качествами собаки на сене. Если вы не знаете заклинаний, вы даже никогда не увидите исходящий брандмауэр, если не влезете в глубину Windows.
Без сомнения, всем нужен входящий брандмауэр. Но, у вас уже есть один в Windows 10, и вам не нужно ничего с ним делать.
Исходящие брандмауэры, как правило, немилосердно беспокоят вас непонятными предупреждениями о том, что неизвестные процессы пытаются отправить какие-то данные. Если вы просто нажмёте кнопку и позволите программе соединиться с домом, вы нарушите назначение брандмауэра исходящих сообщений. Ну а, если вы будете тратить время на отслеживание каждого предупреждения об исходящем событии, вы можете потратить полжизни на поиск уязвимостей брандмауэра.
Некоторые люди настаивают на использовании исходящего брандмауэра. Они единодушно рекомендуют брандмауэр Comodo, который доступен в бесплатной версии для личного использования по адресу http://personalfirewall.comodo.com .
Возможно исходящие брандмауэры - пустая трата времени. Хотя, некоторые люди были предупреждены об инфекциях Windows, когда их исходящий брандмауэр выходил из строя. В 99,99 процентах случаев, исходящие предупреждения - это просто шум. В любом случае, исходящие брандмауэры не улавливают самые умные вредоносные программы.
Аппаратные брандмауэры
Большинство современных маршрутизаторов и беспроводных точек доступа имеют значительные возможности брандмауэра. Это неотъемлемая часть того, как они работают, когда совместно используют подключение к Интернету между многими компьютерами.
Маршрутизаторы и точки беспроводного доступа добавляют дополнительный шаг между вашим компьютером и Интернетом. Этот дополнительный переход — преобразование именованных сетевых адресов — в сочетании с встроенным интеллектом маршрутизатора может обеспечить дополнительный уровень защиты, который работает независимо от брандмауэра, работающего на вашем компьютере, но в сочетании с ним.
Понимание основных функций Windows Firewall
Все версии Windows 10 поставляются с приличным и проверенным, но не очень надёжным брандмауэром с отслеживанием состояния под названием Windows Firewall (WF).
Входящий брандмауэр WF включён по умолчанию. Если вы ничего не измените, брандмауэр Windows будет включён для всех подключений на вашем компьютере. Например, если у вас есть кабель локальной сети, карта беспроводной сети и USB-карта 3G на определённом ПК, WF включён для всех них. Брандмауэр Windows отключается только в том случае, если вы намеренно отключаете его или если сетевой администратор вашей крупной корпоративной сети решает отключить его с помощью удалённого управления или установить пакеты обновления Windows с отключённым брандмауэром.
Предупреждение. В крайне необычных обстоятельствах известно, что вредоносные программы (вирусы, трояны и т. д.) отключают брандмауэр Windows. Если ваш брандмауэр отключится, Windows сообщит вам об этом громко и чётко с помощью уведомлений рядом с системными часами на рабочем столе, уведомлений тостера справа на начальном экране и крещендо от Ride of the Valkyries, звучащего в ваших динамиках.
Вы можете относительно легко изменить настройки WF для защиты от входящих сообщений. Когда вы вносите изменения, они применяются ко всем подключениям на вашем компьютере. С другой стороны, настройки WF для защиты исходящих сообщений делают правила крикета похожими на детскую игру. WF запускается до того, как компьютер будет подключён к сети. В не очень добрые старые времена многие компьютеры заражались в промежутке между подключением и включением брандмауэра.
Что такое брандмауэр с отслеживанием состояния
Немного упрощённо, брандмауэр с отслеживанием состояния - это запоминающий входящий брандмауэр. Брандмауэр с отслеживанием состояния отслеживает, выходящие из вашего компьютера, пакеты информации и то, куда они направляются. Когда пакет прибывает и пытается войти, входящий брандмауэр сопоставляет исходный адрес входящего пакета с журналом адресов исходящих пакетов, чтобы убедиться, что любой пакет, разрешенный через брандмауэр, поступает из ожидаемого местоположения.
Фильтрация пакетов с учётом состояния не является 100-процентно надёжной. И у вас должны быть некоторые исключения, чтобы могли проходить определённые неожиданные пакеты. Но брандмауэр с отслеживанием состояния - это быстрый и надёжный способ свести к минимуму воздействие потенциально разрушительных зондов из большого Интернета.
Жаргон вашего брандмауэра
Теперь, чтобы вы могли взять под контроль брандмауэр Windows, нужно поговорить о жаргонизмах. Концепции не так уж сложны, хотя терминология звучит так, будто её изобрёл студент-первокурсник по рекламе.
Как вы понимаете, объем данных, которые могут быть отправлены с одного компьютера на другой по сети, может быть как крошечным так и огромным. Компьютеры общаются друг с другом, разбивая данные на пакеты (или небольшие фрагменты данных с оболочкой, которая определяет, откуда пришли данные и куда они направляются).
В Интернете пакеты могут быть отправлены двумя способами:
- Протокол пользовательских дейтаграмм User Datagram Protocol (UDP): UDP работает быстро, и, ненадёжно. Отправляющий пакеты, компьютер, не отслеживает, какие пакеты были отправлены, а, получающий пакеты, компьютер не предпринимает никаких попыток заставить отправителя повторно отправлять пакеты, которые таинственным образом исчезают в недрах Интернета. UDP - это протокол (метод передачи), который может работать с прямыми трансляциями, где короткие промежутки не будут такими разрушительными.
- Протокол управления передачей Transmission Control Protocol (TCP): Протокол TCP является методичным и полным. Отправляющий компьютер отслеживает, какие пакеты он отправил. Если принимающий компьютер не получает пакет, он уведомляет отправляющий компьютер, который повторно отправляет пакет. В наши дни, почти вся связь через Интернет осуществляется по протоколу TCP.
Каждый компьютер в сети имеет IP-адрес, который представляет собой набор из четырёх групп чисел, каждый из которых находится в диапазоне от 0 до 255. Например, 192.168.0.2 является общим IP-адресом для компьютеров, подключённых к локальной сети. Вы можете рассматривать IP-адрес как аналог телефонного номера.
Заглядываем в свой Windows Firewall
Когда вы используете брандмауэр — а вы должны это делать, — вы меняете способ взаимодействия вашего компьютера с другими компьютерами в Интернете.
Когда два компьютера обмениваются данными, им нужен не только IP—адрес друг друга, но и определённая точка входа, называемая портом — думайте об этом как о дополнительном телефонном номере. Например, большинство веб-сайтов отвечают на запросы, отправленные на порт 80. В числе 80 нет ничего волшебного - это просто номер порта, который люди согласились использовать при попытке попасть на компьютер веб-сайта.
Брандмауэр Windows работает, выполняя все эти функции одновременно:
- Он отслеживает исходящие пакеты и позволяет входящим пакетам проходить через брандмауэр, если они могут быть сопоставлены с исходящим пакетом. Другими словами, WF работает как входящий брандмауэр с отслеживанием состояния.
- Если ваш компьютер подключён к частной сети, брандмауэр Windows позволяет пакетам приходить и уходить через порты 139 и 445, но только в том случае, если они пришли с другого компьютера в вашей локальной сети и только если они используют TCP. Брандмауэр Windows должен открыть эти порты для общего доступа к файлам и принтерам. WF также открывает несколько портов для проигрывателя Windows Media, если вы решили поделиться своими медиафайлами, как, например, в домашней группе.
- Аналогично, если ваш компьютер подключён к частной сети, брандмауэр Windows автоматически открывает порты 137, 138 и 5355 для UDP, но только для пакетов, исходящих из вашей локальной сети.
- Если вы специально указали брандмауэру Windows, что хотите, чтобы он разрешал поступление пакетов на определённый порт, а флажок "Блокировать все входящие подключения" не установлен, WF следует вашим указаниям. Вам может потребоваться открыть порт таким образом, например, для онлайн-игр.
- Брандмауэр Windows позволяет пакетам поступать на ваш компьютер, если они отправляются в программу удалённой помощи. Это при условии, что вы создали запрос на удалённую помощь на этом компьютере и указали Windows открыть брандмауэр. Удалённая помощь (Remote Assistance) позволяет другим пользователям управлять вашим компьютером, но у неё есть свои собственные настройки безопасности и надёжная защита паролем. Тем не менее, это известная дыра в безопасности, которая включается при создании запроса.
- Вы можете указать брандмауэру Windows принимать пакеты, предназначенные для определённых программ. Обычно, любая компания, создающая программу, предназначенную для прослушивания входящего интернет-трафика (Skype является ярким примером, как и любые программы обмена мгновенными сообщениями), при её установке, добавляет свою программу в список определённых исключений.
- Если входящий пакет не соответствует одному из предыдущих критериев, он просто игнорируется. Брандмауэр Windows поглощает его без промедления. И наоборот, если вы что-то не изменили, весь исходящий трафик проходит беспрепятственно.
Создание исключений для входящих событий
Брандмауэры могут выводить из себя. У вас может быть программа, которая сотню лет работала на всех типах компьютеров, но в ту минуту, когда вы устанавливаете её на компьютер с Windows 10 с работающим брандмауэром, она просто перестаёт работать без всякой видимой причины.
Вы можете злиться на Microsoft и кричать на Windows Firewall, но когда вы это сделаете, поймите, что, по крайней мере, часть проблемы заключается в том, как брандмауэр должен работать. Он должен блокировать пакеты, которые пытаются проникнуть, если вы явно не укажете брандмауэру разрешить им вход.
Пожалуй, самое досадное, что WF блокирует эти пакеты, просто поглощая их, а не уведомляя компьютер, отправивший пакет. Брандмауэр Windows должен оставаться незаметным, потому что, если он отправляет обратно пакет, в котором говорится: «Эй, я получил ваш пакет, но я не могу его пропустить», плохие парни получат подтверждение, что ваш компьютер существует, они, вероятно, смогут выяснить какой брандмауэр вы используете, и смогут объединить эти две части информации, чтобы вызвать у вас головную боль. Гораздо лучше, чтобы брандмауэр Windows действовал как чёрная дыра.
Некоторым программам необходимо прослушивать входящий трафик из Интернета. Они ждут, пока с ними свяжутся, а затем отвечают. Обычно вы знаете, есть ли у вас программа этого типа, потому что установщик сообщает вам, что вам нужно указать на неё брандмауэру.
Подсказка. Если у вас есть программа, которая не протыкает (или не может) пробить себе брешь в брандмауэре Windows, вы можете указать WF разрешить пакеты, предназначенные для этой конкретной программы - и только этой программы - проходить через брандмауэр. Вы можете сделать это, например, с игрой, которая должна принимать входящий трафик, или с программой расширения Outlook, которая взаимодействует с мобильными телефонами.
Чтобы проделать дыру во входящем брандмауэре Windows для конкретной программы:
- Убедитесь, что программа, которую вы хотите разрешить через брандмауэр, установлена.
- В поле поиска рядом с кнопкой «Пуск» введите firewall. Выберите "Разрешить приложение через брандмауэр Windows". Брандмауэр Windows представляет вам длинный список программ, которые вы можете разрешить: если флажок установлен, брандмауэр Windows разрешает нежелательные входящие пакеты данных, направляемые только этой программе и только этой программе, а столбец сообщает вам, разрешено ли соединение для частных или общедоступных подключений.
Эти настройки не применяются к входящим пакетам данных, полученным в ответ на запрос с вашего компьютера. Они применяются только тогда, когда пакет данных появляется на пороге вашего брандмауэра без приглашения. На рисунке выше мозаичному приложению Weather разрешено получать входящие пакеты независимо от того, подключены ли вы к частной или общедоступной сети. Windows Media Player, с другой стороны, может принимать не запрошенные входящие данные с других компьютеров, только если вы подключены к частной сети: если вы подключены к общедоступной сети, входящие пакеты, направляемые в Windows Media Player, поглощаются Windows Firewall. Чёрная дыра.
- Выполните одно из следующих действий.
• Если вы нашли программу, которую вы хотите провести через брандмауэр, перечисленной в списке «Разрешить программы», установите флажки в соответствии тому, хотите ли вы разрешить нежелательные входящие данные при подключении к домашней или рабочей сети и хотите ли вы разрешить входящие пакеты при подключении к общедоступной сети. Действительно, редко когда вы разрешаете доступ при подключении к общедоступной сети, но не к домашней или рабочей сети.
• Если вы не можете найти программу, которую хотите провести через брандмауэр, вам нужно пойти и поискать её. Щёлкните вверху кнопку "Изменить параметры", а затем внизу щёлкните кнопку "Разрешить другое приложение". Сначала вам нужно щёлкнуть кнопку "Изменить настройки", а затем "Разрешить другую программу". Это своего рода двойная функция защиты, которая гарантирует, что вы случайно ничего не измените.
Брандмауэр Windows выходит во все распространённые программы, добавьте список приложений. Это может занять некоторое время.
- Выберите программу, которую хотите добавить, а затем щёлкните кнопку "Добавить". Осознайте, что вы открываете потенциальную, хотя и небольшую, дыру в безопасности. Выбранная вами программа должна быть вполне способна обрабатывать пакеты из неизвестных источников. Если вы разрешите программе-ренегату принимать входящие пакеты, плохая программа может впустить лису в курятник. Вы вернётесь в список разрешённых приложений брандмауэра Windows, и ваша недавно выбранная программа станет доступной.
- Установите флажки, чтобы разрешить программе прямого доступа принимать входящие данные, когда вы подключены к частной или общедоступной сети. Нажмите OK. Ваша программа может немедленно начать обработку входящих данных.
Во многих случаях проникновение через Windows Firewall не решает всей проблемы. Возможно, вам также придётся проткнуть свой модем или маршрутизатор — не запрошенные пакеты, которые поступают на маршрутизатор, могут быть отброшены в соответствии с правилами маршрутизатора, даже если Windows позволит им войти. К сожалению, каждый маршрутизатор и метод поиска дыр во входящем межсетевом экране маршрутизатора различаются. Посетите сайт www.portforward.com/routers.htm для получения огромного количества информации о том, как проникать через маршрутизаторы.