Брандмауэр подключения к Интернету (Internet Connection Firewall)

С целью обеспечения безопасной работы в открытых сетях, таких как Интернет, в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешённые TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или атак из открытых сетей, сохраняя при этом возможность работы с требуемой информацией.

Как правило, целесообразно активизировать встроенный брандмауэр для подключения к открытой сети. Например, его можно активизировать на компьютере, предоставляющем общий доступ к Интернету (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.

Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок "Protect my computer and network by limiting or preventing access to this computer from the Internet" (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).

Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешён для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в таблице ниже. Администратор может добавить другие службы, используемые в сети. Чтобы разрешить службу, установите флажок перед её названием, например, для FTP- или WWW-сервера.

Активизация встроенного брандмауэра

Рис. 12.33. Активизация встроенного брандмауэра

Таблица 12.6. Сетевые службы, работающие через встроенный брандмауэр

Название службы Описание параметра
FTP Server Разрешает доступ внешних пользователей к корпоративному FTP-серверу, для обмена файлами
Incoming Connection VPN (L2TP) Разрешает входящие подключения, защищённые туннелированием L2TP
Incoming Connection VPN (PPTP) Разрешает входящие подключения, защищённые туннелированием PPTP
Internet Mail Access Protocol Version 3 (IMAP3) Разрешает доступ к почтовому серверу через протокол IMAP3
Internet Mail Access Protocol Version 4 (IMAP4) Разрешает доступ к почтовому серверу через протокол IMAP4
Internet Mail Server (SMTP) Доступ к почтовому серверу через SMTP для обмена сообщениями
IP Security (IKE) Обеспечивает защищённый трафик с шифрованием через IP Security
Post-Office Protocol Version 3 (POP3) Доступ к почтовому серверу через протокол POP3
Remote Desktop Доступ к удалённому управлению системой через службу Remote Desktop
Secure Web Server (HTTPS) Обеспечивает защищённый доступ к веб-серверу через HTTPS
Telnet Server Доступ к службе Telnet для удалённого управления системой
Web Server (HTTP) Доступ к веб-серверу через HTTP

Разрешение служб, доступных через встроенный брандмауэр

Рис. 12.34. Разрешение служб, доступных через встроенный брандмауэр

Выбрав службу и нажав кнопку Edit (Изменить), администратор может настроить параметры службы, указав адрес компьютера и порты TCP/IP, используемые этой службой (рис. 12.35).

Определение параметров сетевой службы

Рис. 12.35. Определение параметров сетевой службы

Не рекомендуется активизировать брандмауэр на локальных и VPN-подключениях, так как это может нарушить доступ к общим ресурсам.

Вкладка Security Logging (Ведение журнала безопасности) позволяет задавать параметры журналов, фиксирующих события доступа внешних пользователей к службам локальной сети.

Протокол Internet Control Message Protocol (ICMP) передаёт управляющую информацию в сети TCP/IP и используется диагностической утилитой ping. По умолчанию встроенный брандмауэр блокирует ICMP-трафик, что может препятствовать ping-запросам к вашему компьютеру. Блокировка ICMP иногда может привести к разрыву связи с интернет-провайдером. При необходимости на вкладке ICMP (рис. 12.36) можно разрешить определённые виды ICMP-сообщений, проконсультировавшись с провайдером.

Управление ICMP-трафиком через брандмауэр

Рис. 12.36. Управление ICMP-трафиком через брандмауэр