|
Strona 1 z 3 Wśród nowości oferowanych użytkownikom systemu Windows Vista, część budzi pewne obawy, część nadzieje, a część po prostu powątpiewanie. To ostatnie zazwyczaj bierze się stąd, że Microsoft zapowiadając nowe funkcjonalności, często zachowuje się w sposób, który z tajemniczych przyczyn powoduje wątpliwości wśród fachowców. Jedną z takich nie do końca godnych zaufania nowinek jest wbudowany w Windows Vista firewall. Z jednej strony dobrze, że jest. Z drugiej – profesjonalistom trudno uwierzyć, że uda się go zmusić do pracy zgodnej z oczekiwaniami.
Tymczasem sytuacja wcale nie wygląda najgorzej i niniejszy artykuł powinien wszystkich przekonać, że nie warto z góry zakładać, że na pewno się nie uda. Oczywiście istnieją pewne sytuacje, w których firewall nie zaspokoi wszystkich potrzeb administratora, ale wskazane jest, aby wniosek taki został wyciągnięty na podstawie dobrej znajomości rozwiązania a nie uprzedzeń.
Zwiększenie możliwości zarządzania
Ustawienia firewalla w końcu wychodzą poza znany z XP schemat add program/add port/change scope i pozwalają na bardzo precyzyjne ustalenie, jaki ruch ma mieć miejsce, a jaki będzie niedozwolony.
Firewall w Windows Vista zakłada istnienie reguł, w których opisane są:
| • |
Aplikacje, których dotyczy reguła
|
| • |
Kierunek działania reguły
|
| • |
Protokoły i porty
|
| • |
Zakres obowiązywania
|
| • |
Typ interfejsu
|
| • |
Sposób działania reguły
|
| • |
Profil
|
Aplikacje
Podobnie jak w Windows XP, dla potrzeb firewalla zdefiniować można, jakie aplikacje będą dopuszczane lub blokowane. Poza konkretną ścieżką do aplikacji, podać można również ścieżkę zawierającą zmienne systemowe (np. %ProgramFiles%). Ustawienie takie przydaje się w sytuacji, kiedy konfiguracja definiowana jest centralnie, a następnie powielana na stacje robocze, na których ścieżki do plików mogą się różnić. Ciekawym ustawieniem jest powiązanie reguł nie z aplikacjami, ale z konkretnymi usługami systemowymi. Regułę można stworzyć dla konkretnej usługi (wybierając z listy lub poprzez podanie skróconej nazwy) lub hurtem, dla wszystkich usług równocześnie. Reguła taka dotyczy wtedy tylko usług systemowych, a nie aplikacji.
Kierunek działania
Projektując Windows Vista, ktoś doszedł do słusznego wniosku, że ważne są nie tylko pakiety wchodzące, ale i te wychodzące. W systemowym firewallu jednoznacznie rozdzielono filtry na „inbound” i „outbound”. Wystarczy pierwszy rzut oka na interfejs, żeby zorientować się, że istnieją dwa zestawy reguł dostosowane właśnie do kierunku ruchu.
Wiedząc, że istnieją reguły dla połączeń wychodzących, można przykładowo w prosty sposób zabronić połączeń z usługami pocztowymi innymi, niż zdefiniowane w danym środowisku.
Protokoły i porty
Funkcjonalnością, bez której działanie firewalli trudno sobie wyobrazić, jest ustawianie reguł dla konkretnych usług TCP/IP. Firewall w Windows Vista nie jest tu wyjątkiem. Opcje dostępne w Windows XP zostały tu rozwinięte, dzięki czemu określić można praktycznie dowolne protokoły enkapsulowane w IP. Poza zdefiniowanymi TCP, UDP, ICMP, GRE, IPv6 czy kilkunastoma innymi, dodać można dowolny własny, zgodnie z numerami protokołów (j.ang.). Jeżeli jednak ustawienie to budzi jakąkolwiek wątpliwość, lepiej doczytać o protokołach TCP/IP albo ograniczyć się do wyboru TCP lub UDP… .
W przypadku TCP i UDP określić można port, którego dotyczy dana reguła. Port określa się przez numer (nie ma predefiniowanych list portów), ale pomocą zawsze może służyć lista portów (j.ang.). Porty podaje się w postaci listy rozdzielonej przecinkami i nie istnieje możliwość wpisania ich zakresu. Oznacza to, że nie wolno napisać 5550-5559, tylko trzeba wklepać 5550, 5551, 5552, itd. Z jednej strony może to utrudnić tworzenie reguł, z drugiej jednak pohamuje szalonego administratora, który jedną nieprzemyślaną regułą wpuści do systemu wszystko, co przypomina datagram.
Dla ICMP i ICMPv6 podać można dowolny typ i kod zgodnie z RFC 792 i RFC 2463. W typ przypadku istnieją predefiniowane listy kilkunastu standardowych typów, jednak można je dowolnie rozszerzać o własne charakterystyki pakietów.
Ciekawostką jest, że dostępne podczas tworzenia reguły opcje zmieniają się znacząco w zależności od tego, w jaki sposób otworzy się okno konfiguracji. Przy wybraniu „Port” nie pojawia się możliwość definiowania protokołów. Dlatego dla pełnej funkcjonalności lepiej wybrać opcję „Custom”. W już utworzonych regułach różnica taka nie występuje.
Zakres obowiązywania
Zakres obowiązywania (po ludzku „scope”) określa z kim powinno być nawiązane połączenie, aby dana reguła miała zastosowanie.
Określić można listy adresów na obu końcach połączenia. Adresy mogą zostać podane w kilku formach:
| • |
Poprzez adres IP lub dane podsieci. Przykładowo można podać 192.168.0.100 lub 10.1.0.1/24. Dozwolone są też wpisy takie, jak fe80::b17c:546a:1e58:a40d:0/112 ponieważ firewall obsługuje również IPv6.
|
| • |
Poprzez podanie zakresu. Na przykład 192.168.0.1-192.168.0.50.
|
| • |
Poprzez podanie predefiniowanego zakresu. Do znanej z Windows XP opcji „lokalna podsieć” dołączyły domyślna brama, serwery DNS, serwery WINS oraz serwery DHCP.
|
Fakt, że zdefiniować można zakresy tak po stronie zdalnej, jak i lokalnej pozwala na stworzenie specjalnych reguł w sytuacji, kiedy chroniony firewallem komputer ma kilka adresów IP, do których powinny być stosowane różne reguły.
|
