sobota, 27 lipca 2013

Ruch wychodzący i przychodzący oparty na regułach w zaporze sieciowej Windows 7


Standardowo zapora sieciowa w systemie Windows jest ustawiona tak że połączenia przychodzące jeśli nie pasują do ustawionych reguł zezwalających są blokowane, natomiast połączenia wychodzące są całkowicie dozwolone. Aby mieć pełną kontrolę nad tym jakie programu będą łączyć się z siecią musi ustawić zaporę tak żeby ruch odbywał się zgodnie z ustalonymi regułami, reszta- niezgoda z regułami będzie automatycznie blokowana. Firewall w Windows 7/Vista jest całkiem dobrą zaporą- wbrew temu co niektórzy twierdzą. Jak każda zapora i ta obsługuje kontrole nad połączeniami przychodzącymi i wychodzącymi. Natomiast wiele do życzenia pozastawia komfort i wygoda użytkowania, a także intuicyjność.
W tej części pokażemy jak skonfigurować zaporę do takiej formy kontroli, jak i jej używania, natomiast ze względu na to że tak skonfigurowany firewall jest mało przyjazny w obsłudze- w kilku kolejnych częściach zaprezentuję kilka aplikacji które ułatwią i usprawnią pracę z systemowym firewallem.

Zmiana zachowania dla każdego z profili.

Zapora systemowa posiada trzy profile działania:
Domena - zestaw ustawień zapory niezbędnych w sytuacji, gdy komputer został podłączony do sieci zawierającej kontrolery domeny organizacji. Profil zawiera  wyjątki dla aplikacji wymaganych przez zarządzany komputer np. w sieci firmowej,
Prywatny - komputer pracuje w zaufanej sieci LAN, np. w sieci domowej,
Publiczny - komputer łączy się bezpośrednio z internetem np. w sieciach publicznych, łącznie w niezaufanej sieci LAN.
W każdym z tych profili połączenia wychodzące są domyślnie ustawione na zezwalaj, w ten sposób każdy program może łączyć się z siecią bez żadnych przeszkód.

Aby temu zaradzić otwieramy ustawienia zaawansowane zapory sieciowej:

Panel Sterowania-> Zapora Systemu Windows-> Ustawienia Zaawansowane

Ustawienia zaawansowane zapory sieciowej.
Następnie klikamy w
Właściwości Zapory Systemu Windows

W każdym z profili przy połączenia wychodzące zmieniamy i z listy wybieramy zablokuj:


Następnie w każdym profilu klikamy w Dostosuj przy ustawieniach i ustawiamy tak:



W tym momencie cały ruch wychodzący jest zablokowany. Aby wszystkie programy i funkcje systemu, które chcemy żeby miały dostęp do sieci działały musimy do każdej z nich utworzyć osobną regułę. Na tym właśnie polega mała funkcjonalność tej zapory- wszystko musimy robić ręcznie (pomocne aplikacje w następnych częściach).

Teraz przechodzimy do tworzenia reguł, pierwszą regułą jaką musimy utworzyć jest reguła dla Windows Update, potrzeba do prawidłowego działania tej usługi.

Tworzenie reguł.

W tym celu w ustawieniach zaawansowanych klikamy na Reguły wychodzące:

Z dostępnych akcji wybieramy Nowa reguła:

Typ reguły wybieramy Program:

W kolejnym kroku wybieramy Ta ścieżka i podajemy ścieżkę do pliku svchost:
W komunikacie klikamy TAK:

Jako akcję wybieramy Zezwalaj na połączenie:

Profil - zaznaczamy działanie reguły we wszystkich profilach:

Nazwa - ustawiamy sobie nazwę reguły, taką która będzie nam sugerowała do czego jest dana reguła:
Klikamy na Zakończ - reguła jest utworzona, ale nie do końca- musimy określić jaka usługa korzystająca z procesu svchost może łączyć się z siecią w tym przypadku chodzi o Windows Update.

Klikamy 2xLPM na utworzoną wcześniej regułę, w otworzonym okienku wybieramy zakładkę Programy i usługi, klikamy na Ustawienia i z opcji Zastosuj tą regułę do następujący sposób wybieramy Zastosuj do tej usługi. Z listy wybieramy usługę Windows Update:


Gotowe reguła działa i nasz komputer będzie się aktualizował.

Drugą usługą którą musimy dopuścić do sieci jest usługa Czas systemu Windows, powtarzamy cały proces jak w poprzedniej regule, tylko w ostatnim kroku wybieramy z listy Usługa czas systemu Windows:


Gdy to już mamy za sobą musimy utworzyć reguły dla wszystkich aplikacji które chcemy aby łączyły się z siecią np. przeglądarki, komunikatory, klienty poczty itp. Musimy dodać także te programy które chcemy aby np. sprawdzały dostępność aktualizacji.

Tworzenie reguły dla wybranego programu na przykładzie klienta poczty The Bat.

Klikamy Nowa reguła-> Program.
Wybieramy Ta ścieżka do programu i ustawiamy ścieżkę do pliku wykonywalnego The Bat:

W dalszej części kreatora wybieramy Zezwalaj na połączenie-> Zaznaczamy wszystkie profile-> Wpisujemy nazwę reguły.

Musimy tak postąpić z każdą aplikacja która ma się łączyć z internetem, także z tym programami które od tej pory będziemy instalować.

Możemy tez utworzyć Regułę uprzednio zdefiniowaną, np. dla drukarki. W tym celu klikamy na Nową regułę i wybieramy Uprzednio zdefiniowana. Z rozwijanej listy



Jako Regułę wstępną wybieramy:


Akcja-> Zezwalaj na połączenie.

I tak dobrnęliśmy do końca, zapora działa w trybie blokuj, a ruch wychodzący i przychodzący oparty jest na naszych regułach.
Jak widać nie jest to szczególnie wygodne w codziennej obsłudze, dlatego w kolejnych postach przedstawię kilka aplikacji które ułatwią i uprzyjemnią nam pracę z Zaporą Systemową.

Brak komentarzy:

Prześlij komentarz