Брандмауэр подключения к Интернету (Internet Connection Firewall)
С целью обеспечения безопасной работы в открытых сетях, таких как Интернет, в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешённые TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или атак из открытых сетей, сохраняя при этом возможность работы с требуемой информацией.
Как правило, целесообразно активизировать встроенный брандмауэр для подключения к открытой сети. Например, его можно активизировать на компьютере, предоставляющем общий доступ к Интернету (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.
Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок "Protect my computer and network by limiting or preventing access to this computer from the Internet" (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).
Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешён для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в таблице ниже. Администратор может добавить другие службы, используемые в сети. Чтобы разрешить службу, установите флажок перед её названием, например, для FTP- или WWW-сервера.
Рис. 12.33. Активизация встроенного брандмауэра
Таблица 12.6. Сетевые службы, работающие через встроенный брандмауэр
Название службы | Описание параметра |
---|---|
FTP Server | Разрешает доступ внешних пользователей к корпоративному FTP-серверу, для обмена файлами |
Incoming Connection VPN (L2TP) | Разрешает входящие подключения, защищённые туннелированием L2TP |
Incoming Connection VPN (PPTP) | Разрешает входящие подключения, защищённые туннелированием PPTP |
Internet Mail Access Protocol Version 3 (IMAP3) | Разрешает доступ к почтовому серверу через протокол IMAP3 |
Internet Mail Access Protocol Version 4 (IMAP4) | Разрешает доступ к почтовому серверу через протокол IMAP4 |
Internet Mail Server (SMTP) | Доступ к почтовому серверу через SMTP для обмена сообщениями |
IP Security (IKE) | Обеспечивает защищённый трафик с шифрованием через IP Security |
Post-Office Protocol Version 3 (POP3) | Доступ к почтовому серверу через протокол POP3 |
Remote Desktop | Доступ к удалённому управлению системой через службу Remote Desktop |
Secure Web Server (HTTPS) | Обеспечивает защищённый доступ к веб-серверу через HTTPS |
Telnet Server | Доступ к службе Telnet для удалённого управления системой |
Web Server (HTTP) | Доступ к веб-серверу через HTTP |
Рис. 12.34. Разрешение служб, доступных через встроенный брандмауэр
Выбрав службу и нажав кнопку Edit (Изменить), администратор может настроить параметры службы, указав адрес компьютера и порты TCP/IP, используемые этой службой (рис. 12.35).
Рис. 12.35. Определение параметров сетевой службы
Не рекомендуется активизировать брандмауэр на локальных и VPN-подключениях, так как это может нарушить доступ к общим ресурсам.
Вкладка Security Logging (Ведение журнала безопасности) позволяет задавать параметры журналов, фиксирующих события доступа внешних пользователей к службам локальной сети.
Протокол Internet Control Message Protocol (ICMP) передаёт управляющую информацию в сети TCP/IP и используется диагностической утилитой ping. По умолчанию встроенный брандмауэр блокирует ICMP-трафик, что может препятствовать ping-запросам к вашему компьютеру. Блокировка ICMP иногда может привести к разрыву связи с интернет-провайдером. При необходимости на вкладке ICMP (рис. 12.36) можно разрешить определённые виды ICMP-сообщений, проконсультировавшись с провайдером.
Рис. 12.36. Управление ICMP-трафиком через брандмауэр