Windows Server 2008 Firewall с расширенной безопасностью - Создание правила брандмауэра

ОГЛАВЛЕНИЕ

Создание правила брандмауэра

Вы можете создавать правила брандмауэра, чтобы дополнять правила, которые настраиваются автоматически менеджером Server Manager, когда вы устанавливаете серверы и службы на машине. Чтобы начать, нажмите по ссылке Новое правило в правой панели консоли Windows Firewall with Advanced Security. Это вызовет Мастера создания новых входящих правил.

Первая страница мастера – это страница Тип правила. Здесь вы настраиваете правило, что применить к одному из следующих компонентов:

  • Программа. Это позволяет вам контролировать доступ к и с определенной программы. Обратите внимание, что когда вы пытаетесь применить правила брандмауэра к программам и службам, программа или служба должна быть записана в интерфейс Winsock, чтобы требования порта могли быть переданы на брандмауэр Windows
  • Порт. Это позволяет настраивать правило на основе номера порта TCP или UDP.
  • Предопределенные. Брандмауэр Windows можно настроить на использование предопределенного набора протоколов или служб и применения к ним правила
  • Выборочные. Эта опция позволяет вам более четко настраивать ваше правило вне параметров, доступных в других опциях.

Давайте выберем опцию Выборочные, чтобы посмотреть все опции настройки.

 
Рисунок 11

На второй странице мастера у вас есть три опции:

  • Все программы. Правило будет применяться ко всем программам, которые соответствуют элементам правила.
  • Путь программы. Это позволяет вам настраивать правило на использование определенных программ и применять его только к тем соединениям, которые подключаются к или с этих программ.
  • Службы. Некоторые программы служат в качестве 'контейнера' для нескольких программ, например services.exe и lssas.exe программы, которые мы рассмотрели ранее. Когда вы выбираете одну из этих программ, вы можете ограничить службы, к которым правило будет применимо, путем нажатия кнопки Настроить и выбора программы.
 
 
Рисунок 12

Когда вы нажимаете кнопку Настроить, у вас открывается диалоговое окно Настроить параметры службы. Здесь у вас есть возможности:

  • Применить ко всем программам и службам. Используйте эту опцию, когда хотите применить правило ко всем программам и службам, содержащимся в выбранном вами .exe файле, для которого применимо правило
  • Применить только к службам. В этом случае правило будет применимо только к службам, содержащимся в выбранном вами .exe файле
  • Применить к этой службе. Когда вы выбираете эту опцию, вы можете выбирать определенную службу, содержащуюся в .exe файле
 
 
Рисунок 13

На следующей странице мастера вы можете указывать протокол, к которому хотите применить правило. Обратите внимание на то, что когда вы выбираете программу, вам не придется настраивать протокол вручную, поскольку брандмауэр Windows сможет получить информацию о протоколе с интерфейса Winsock. Однако если вы не выбираете программу, вам нужно будет настроить протокол, к которому будет применяться правило.

Здесь у вас есть следующие опции:

  • Тип протокола. Здесь вы указываете тип протокола, на который распространяется это правило. На рисунке ниже показано, что брандмауэр Windows поддерживает большое количество различных типов протоколов.
  • Номер протокола. Для расширенного контроля над протоколами, например IPsec, вам потребуется выбрать номер протокола.
  • Локальный порт. Это тот порт сервера, к которому будет применяться правило. Локальный порт – это порт, к которому в случае входящего подключения пытается подключиться клиентский компьютер, и порт источника для исходящего подключения в сценарии исходящих соединений.
  • Удаленный порт. Это порт на другой машине. Удаленный порт – это порт, к которому сервер пытается подключиться в случае исходящего соединения, или порт источника компьютера, пытающегося подключиться к серверу в случае входящего соединения.
  • Параметры протокола Internet Control Message Protocol (ICMP). Если вы настраиваете протоколы ICMP, вы можете указать тип и код здесь.
 
 
Рисунок 14

На рисунке ниже видно, что я создал протокол управления IMAP4. Я выбрал TCP в качестве типа протокола, а номер был введен автоматически. Локальный порт, являющийся портом, к которому клиенты IMAP4 подключаются, - 143. Удаленный порт имеет параметр «Все порты», так как IMAP4 серверам все равно, каков порт источника подключаемого клиента.

 
Рисунок 15

На странице Границы вы можете устанавливать локальный и удаленный IP адреса, к которым применяется это правило. Вы можете выбрать Любой IP адрес или Эти IP адреса. Эта опция дает вам некоторые меры контроля над тем, какие машины могут подключаться к серверу и к каким машинам может подключаться сервер, когда подключение соответствует другим элементам правила.

У вас также есть возможность применить эти границы к определенному интерфейсу, как показано на рисунке ниже. Вы видите диалоговое окно Настроить типы интерфейса, когда нажимаете кнопку Настроить.

 
Рисунок 16

На странице Действия вы выбираете то, что должно произойти, когда подключение соответствует элементам правила брандмауэра. Здесь есть следующие опции:

  • Разрешить подключение. Это делает данное правило разрешающим правилом
  • Разрешить подключение, если оно безопасное. Это разрешает подключение, если есть IPsec политика, позволяющая двум конечным точкам создавать безопасное подключение. У вас также есть возможность зашифровать сеанс между двумя конечными точками, поставив флажок в строке Требовать шифрования подключений. Если вы хотите, чтобы это правило отменяло другое правило, которое блокирует подключение, вы можете выбрать опцию Отменять правило блокирования.
  • Блокировать подключение. Это делает данное правило запрещающим правилом.
 
 
Рисунок 17

На странице Пользователи и компьютеры вы можете выбирать, какие пользователи и компьютеры могут подключаться к серверу. Чтобы эта опция работала, обе конечные точки должны принадлежать одному домену Active Directory, а также должна существовать IPsec политика, чтобы создавать IPsec соединение между двумя конечными точками. В брандмауэре Windows с расширенной безопасностью политики IPsec называются Правилами безопасности подключений. Я расскажу о правилах безопасности подключения в следующей статье.

Поставьте галочку напротив опции Позволять подключения только с этих компьютеров, если хотите разрешить подключения только с определенных компьютеров. Поставьте галочку напротив опции Разрешать подключения только для этих пользователей, если хотите ограничить доступ определенным пользователям или группам пользователей. Помните, что эти параметры будут работать только в том случае, если машины принадлежат к одному домену, и если вы настроили IPsec подключение между ними.

 
Рисунок 18

На странице Профиль вы указываете, к каким профилям вы хотите применить правило. В большинстве случаев только профиль домена можно применить на сервере, поэтому прочие профили практически никогда не активируются. Однако их активация не составляет никакого труда.

 
Рисунок 19

На последней странице мастера вы указываете имя правила. Нажмите Завершить, чтобы создать правило.

 
Рисунок 20

Итак, на этом закончим! Есть также вкладка Мониторинг для правил брандмауэра, но она дает лишь информацию о том, какие правила активированы. В ней нет информации относительно того, какие правила могут включаться в определенное время, что было бы неплохой чертой и, возможно, команда Windows возьмет ее на заметку в будущих обновлениях брандмауэра Windows с расширенной безопасностью.