Встроенный брандмауэр Windows XP часто считается бесполезным, но мощные функции текущего брандмауэра WIN7 также имеют «профессиональный» оттенок. Сегодня я научу вас пользоваться брандмауэром WIN7.
Как и в Vista, вы можете выполнить базовую настройку брандмауэра Windows 7, открыв программу «Панель управления». В отличие от Vista, вы также можете выполнить расширенную настройку (включая настройку фильтров исходящих подключений), открыв панель управления, вместо того, чтобы создавать пустую MMC и добавлять встроенную оснастку. Просто нажмите на дополнительные параметры конфигурации на левой панели.
Брандмауэр Vista позволяет вам выбирать, находиться ли в общедоступной ячеистой сети или в частной сети, а в Windows 7 у вас есть три варианта выбора: общедоступная сеть, домашняя сеть и офисная сеть. Последние два варианта являются усовершенствованием частных сетей.
Если вы выберете опцию «Домашняя сеть», вы сможете создать «Домашнюю группу». В этой среде Network Discovery запустится автоматически, и вы сможете видеть другие компьютеры и устройства в сети, а они смогут видеть ваш компьютер. Компьютеры, принадлежащие к «домашней группе», могут обмениваться изображениями, музыкой, видео, библиотеками документов и аппаратными устройствами, такими как принтеры. Если в библиотеке документов есть папки, к которым вы не хотите предоставлять общий доступ, вы также можете их исключить.
Если вы выберете «Рабочая сеть», «Обнаружение сети» также запустится автоматически, но вы не сможете создать «Домашнюю группу» или присоединиться к ней. Если ваш компьютер присоединяется к домену Windows (через «Панель управления» — «Система и безопасность» — «Система» — «Дополнительная конфигурация системы» — вкладка «Имя компьютера») и проходит проверку DC, брандмауэр автоматически определяет тип сети как сеть среды домена.
Тип «Общественная сеть» подходит для случаев, когда вы находитесь в аэропорту, отеле, кафе или используете мобильную широкополосную сеть для подключения к общедоступной сети Wi-Fi. «Обнаружение сети» по умолчанию отключено, поэтому компьютеры будут отключены. в других сетях ваши общие ресурсы не будут обнаружены, и вы не сможете создать домашнюю группу или присоединиться к ней.
Во всех сетевых режимах брандмауэр Windows 7 по умолчанию перехватывает любое соединение, отправляемое приложению, которого нет в белом списке. Windows 7 позволяет настраивать разные типы сетей отдельно.
Многоцелевая политика брандмауэра
В Vista у вас есть два профиля: общедоступный и частный, но в данный момент времени активен только один. Так что, если вашему компьютеру необходимо одновременно подключиться к двум разным сетям, вам не повезет. Самый ограничительный профиль будет использоваться для всех подключений, а это означает, что вы не сможете делать то, что хотите, в локальной (частной) сети, поскольку вы действуете в соответствии с правилами общедоступной сети. В Windows 7 (и Server 2008 R2) на разных сетевых адаптерах можно использовать разные файлы конфигурации. Это означает, что сетевые соединения между частными сетями регулируются правилами частной сети, а трафик в и из общедоступных сетей регулируется правилами общедоступной сети.
Маленькие, незаметные вещи имеют значение
Во многих случаях повышение удобства использования зачастую сводится к небольшим изменениям, и MS прислушалась к мнению пользователей и добавила в брандмауэр Windows 7 несколько «ненавязчивых, но эффективных мелочей». Например, когда вы создаете правило брандмауэра в Vista, вы должны указать каждый IP-адрес и порт отдельно. Теперь вам нужно только указать диапазон, что сокращает время, затрачиваемое на выполнение стандартных административных задач.
Вы также можете создать правила безопасности подключения в консоли брандмауэра, чтобы указать, какие порты или протоколы требуют IPsec, без необходимости использования команды netsh. Для тех, кто предпочитает графический интерфейс, это более удобное улучшение.
Правила безопасности подключения также поддерживают динамическое шифрование. Это означает, что если сервер получает незашифрованную (но проверенную) информацию от клиента, ассоциация безопасности потребует согласованного шифрования «на лету» для установления более безопасной связи.
Настройте файл конфигурации в «Дополнительных настройках».
С помощью панели управления «Дополнительные настройки» вы можете настроить профили для каждого типа сети.
Для файла конфигурации вы можете сделать следующие настройки:
* Включить/выключить брандмауэр
* (Блокировать, заблокировать все соединения или разрешить) входящие соединения
* (разрешить или заблокировать) исходящие соединения
* (Уведомлять ли вас после блокировки программы) Отображение уведомлений
* Разрешить одноадресную рассылку отвечать на многоадресную или широковещательную рассылку.
* Разрешить локальным администраторам создавать и применять локальные правила брандмауэра в дополнение к правилам брандмауэра групповой политики.
Об использовании netsh.exe для настройки системного брандмауэра
(1) Просмотр, включение или отключение системного брандмауэра.
Откройте командную строку, введите команду «netsh firewallshow state» и нажмите Enter, чтобы просмотреть состояние брандмауэра. Из отображаемых результатов вы можете увидеть отключение и включение каждого функционального модуля брандмауэра. Команда «netsh Firewall Set Opmode Disable» используется для отключения системного брандмауэра, а команда «netsh Firewall Set Opmode Enable» включает брандмауэр.
(2).Разрешить общий доступ к файлам и принтерам.
Общий доступ к файлам и принтерам обычно используется в локальных сетях. Если вы хотите разрешить клиентам доступ к общим файлам или принтерам на этом компьютере, вы можете ввести и выполнить следующие команды соответственно:
netsh firewall добавить открытие порта UDP 137 Netbios-ns
(Разрешает клиенту доступ к порту 137 протокола UDP сервера)
netsh firewall добавить открытие порта UDP 138 Netbios-dgm
(Разрешить доступ к порту 138 протокола UDP)
netsh firewall добавить открытие порта TCP 139 Netbios-ssn
(Разрешает доступ к порту 139 протокола TCP)
netsh firewall добавить открытие порта TCP 445 Netbios-ds
(Разрешает доступ к порту 445 протокола TCP)
После выполнения команды брандмауэр разрешает все порты, необходимые для совместного использования файлов и принтеров.
(3).Разрешить эхо ICMP.
По умолчанию Windows 7 не позволяет внешним хостам проверять ее связь по соображениям безопасности. Но в защищенной локальной сети тест Ping необходим администраторам для проведения сетевого тестирования. Как разрешить эхо-тестирование Windows 7?
Конечно, вы можете установить правило «Общий доступ к файлам и принтерам (эхо-запрос – ICMPv4-In)», чтобы разрешить его в «Правилах для входящего трафика» через консоль системного брандмауэра (если сеть использует IPv6, вы также должны разрешить правила ICMPv6-In). . Однако мы можем быстро реализовать это с помощью команды netsh в командной строке. Выполните команду «netsh firewall set icmpsetting 8», чтобы включить эхо ICMP, и наоборот, выполните команду «netsh firewall set icmpsetting 8 отключить», чтобы отключить эхо.