них мереж можуть мінімізувати ці ризики, застосовуючи на мережевих комп'ютерах користувачів персональні брандмауери, такі як брандмауер Windows. Персональний брандмауер працює на нижчому рівні стека протоколів, ніж прикладні програми і перевіряє звістка вхідний і вихідний трафік на комп'ютері, на якому він встановлений.
Як і інші брандмауери мережевого рівня, брандмауер Windows перевіряє весь вхідний трафік і блокує весь трафік, що не запитаний користувачем і не дозволений списками доступу ACL. Брандмауера Windows використовує технологію визначення стану підключення для визначення запитаного трафіку. При Web-серфінгу брандмауер запам'ятовує з'єднання браузера і динамічно відкриває порт для отримання даних на локальному комп'ютері. Після закриття з'єднання брандмауер автоматично закриває порт.
Використання персональних брандмауерів типу брандмауера Windows на настільних комп'ютерах на додаток до загальної захисту периметра мережі дозволяє досягти більш високого ступеня безпеки корпоративної мережі. Нерідким є сценарій, коли черв'як заражає ноутбук мобільного користувача через незахищене з'єднання, а потім ноутбук підключається до корпоративної мережі, і черв'як поширюється з корпоративної мережі, захищеної тільки по зовнішньому периметру. Персональні брандмауери, встановлені на настільних системах, дозволяють запобігти поширенню шкідливих програм і мінімізувати можливий збиток.
Використання персональних брандмауерів в корпоративній мережі вимагає значних зусиль з боку ІТ-персоналу, оскільки вимагає встановлення і налаштування на кожному окремому комп'ютері в мережі. ICF вимагає індивідуального налаштування брандмауера для кожного мережевого адаптера, що робить розгортання захисту досить трудомістким процесом. Брандмауер Windows дозволяє скоротити трудовитрати, захищаючи комп'ютер в цілому і використовуючи централізоване управління параметрами захисту. Крім того, брандмауер Windows є чутливим до стану підключення, тобто коли комп'ютер підключений до корпоративної мережі, можна використовувати більш м'які правила захисту, ніж коли комп'ютер підключений до Internet і необхідна максимальна захист. Захист брандмауера Windows слід включити навіть у випадку підключення до локальної корпоративної мережі, щоб виключити поширення хробаків, які використовують для поширення підключення до випадкових портів або сканування портів. Необхідно налаштувати брандмауер Windows таким чином, щоб дозволити роботу легальних програм, як-віддалений моніторинг і управління, спільний доступу до файлів і інші служби, використовувані в корпоративній мережі.
5 Windows XP SP 2
У Windows XP з'явився вбудований файрвол, який повинен був захищати підключення до мережі комп'ютера від несанкціонованого доступу і зараження деякими типами вірусів. За Типово вбудований файрвол був відключений і це послужило однією з причин того, що вірусні епідемії вражали комп'ютери з Windows XP, не дивлячись на те, що операційна система мала інструмент, який повинен був запобігти зараженню. Microsoft відреагувала на цю обставину, випустивши новий пакет виправлень для Windows XP, якій, у тому числі, оновлював вбудований файрвол, надаючи в розпорядження користувача нову функціональність, і включав файрвол для всіх з'єднань з мережею. Тепер у користувача є можливість налаштувати файрвол під свої потреби і коригувати його поведінка при спробах виходу в мережу програмного забезпечення. З'явилася можливість задавати винятки з правил, надаючи можливість певному програмному забезпеченню отримувати доступ в мережу, минаючи забороняють правила файрвола. Типово, файрвол включений для всіх з'єднань з мережею, але за бажанням користувача, для деяких сполук він може бути вимкнено. Якщо на комп'ютері використовується файрвол стороннього виробника, то вбудований файрвол повинен бути відключений.
В
Доступ до налаштувань файрволу (брандмауера) Windows XP Service Pack 2 можна отримати за допомогою Пуск - Панель управління - брандмауер Windows. Приклад вікна з настройками файрволу зображений на малюнку справа. p> У цьому вікні можна включити або виключити файрвол для всіх з'єднань з сетью. Пункт Не дозволяти винятку включає режим роботи файрволу, при якому файрвол не виводить на екран сповіщень про блокування і відключає список винятків, який можна задати на наступній вкладці вікна управління файрволом.
Файрвол дозволяє вхідні підключення для додатків, перерахованих у цьому списку, якщо вони відзначені прапорцем. Можна дозволити вхідні підключення на певний локальний порт, створивши відповідне правило. На наступній вкладці вікна налаштувань файрвола зібрані додаткові налаштування.
Можна відключити файрвол для певного підключення або налаштувати додаткові параметри фільтрації для кожного з підключень за допомогою кнопки Параметри. У ц...
