что такое сетевой экран на компьютере как его настроить
Что такое Брандмауэр, зачем нужна защита компьютера и как ее настроить
Содержание
Содержание
Вопросы сетевой безопасности остро стоят не только в корпоративном секторе, но и среди обычных пользователей. Защитить компьютер от внешних вторжений позволяет не только антивирус — брандмауэр является мощным средством контроля трафика.
Что такое брандмауэр
Брандмауэр или фаерволл — это системная утилита (сетевой экран) для контроля и фильтрации входящего/исходящего трафика. Брандмауэр стал неотъемлемой частью операционных систем Windows, начиная с версии XP SP2. В более ранних системах использовался Internet Connection Firewall, который по умолчанию был отключен. Это привело к глобальным атакам червей, таких как Blaster и Sasser, которые суммарно заразили более 350 тысяч компьютеров по всему миру в 2003 и 2004 годах.
Брандмауэр может быть как для отдельного компьютера, так и для всей локальной сети. В общем случае брандмауэр выполняет следующие функции:
Брандмауэр есть не только в операционных системах. ПО маршрутизаторов также включает встроенный фаерволл, который обычно настраивается через веб-интерфейс.
Брандмауэр способен анализировать абсолютно весь исходящий и входящий трафик, а также динамически открывать порты для конкретных приложений. Что конкретно из трафика будет блокировать брандмауэр, зависит от пользовательских настроек, а также внутренней базы, которая позволяет идентифицировать потенциально нежелательное содержимое.
Фильтры работают на нескольких уровнях модели OSI. Например, брандмауэр способен выполнять фильтрацию пакетов (сетевой уровень), контролировать шлюзы (сеансовый и прикладной уровни). Для каждого уровня используется свой гибкий фильтр. Например, на сетевом уровне брандмауэр анализирует заголовок IP-пакета: адреса получателя и отправителя, информацию о протоколе и приложении, номера портов. Собранная информация сравнивается с таблицей правил, после чего принимается решение — пропустить или отбраковать пакет.
Модель OSI
Тип данных
Уровень
Функции
Доступ к сетевым службам
Представление и шифрование данных
Управление сеансом связи
Прямая связь между конечными пунктами
Определение маршрута и логическая адресация
Работа со средой передачи и двоичными данными
Например, известный вирус WannaCry атаковал TCP-порт 445, который на большинстве компьютеров был открыт.
От чего защищает брандмауэр, а с чем не поможет
Брандмауэр — это первая линия обороны вашего компьютера, которая позволяет с высокой эффективностью справиться со следующими видами угроз:
Брандмауэр не способен обеспечить полную защиту вашего компьютера. Есть ряд угроз, с которыми ему не справиться. Первое — вирусы и черви, которые уже попали на компьютер. Брандмауэр сканирует только сетевой трафик и не анализирует непосредственно файловую систему. Именно поэтому на компьютерах обязательно должен быть полноценный антивирус, который обнаруживает и удаляет уже действующие вирусы.
Брандмауэр не способен защитить вас от вредоносных ссылок, которые вы получаете через спам в электронной почте. Также компьютер может заразиться вредоносным ПО не через сеть — USB-накопители, оптические диски, карты памяти и так далее. Чтение и копирование файлов с этих носителей брандмауэр никак не контролирует.
Многие антивирусы также способны анализировать сетевой трафик, но обычно эта функция не главная.
Плюсы и минусы использования брандмауэра
Главный плюс использования — повышение безопасности. В корпоративном секторе это обязательная защита, которая предотвратит вторжения извне, ограничит доступ в интернет сотрудникам и сделает безопасным передачу файлов по FTP и другим протоколам. Для обычных пользователей брандмауэр уменьшит шанс заражения червями, а также ограничит деятельность «подозрительных» программ.
Использование брандмауэра в операционной системе сопряжено с несколькими минусами:
Если на компьютере множество программ, то пользователям придется добавлять десятки разнообразных правил, но это позволит исключить ложные срабатывания и всецело взять трафик под контроль.
Включение и отключение брандмауэра в разных ОС
Как правило, брандмауэр включен в системах автоматически. Если вам необходимо его временно отключить, то сделать это можно в настройках операционной системы.
Windows 7
Чтобы включить брандмауэр в «семерке», вам необходимо выполнить следующие действия:
Если вам нужно посмотреть или изменить действующие правила, то необходимо перейти из окна брандмауэра в «Дополнительные параметры». Там вы можете увидеть все ограничения на исходящий и входящий трафик, а также создавать собственные правила.
При первом запуске некоторых приложений, для которых в брандмауэре нет правил, вы получите всплывающее окно. В нем можно разрешить доступ программе в общественных или частных сетях.
Windows 10
Включение и отключение брандмауэра в «десятке» выполняется аналогичным способом — через панель управлении и соответствующий подпункт. Визуально интерфейс соответствует окнам из Windows 7.
В Windows 10 также появилась возможность более тонкой настройки работы брандмауэра. В «Защитнике Windows» вы можете настроить отдельно утилиту не только для частных и общественных сетей, но и для домена.
Если через стандартные настройки брандмауэр не отключается или не запускается, то стоит проверить работу службы. Открыть окно всех служб вы можете через команду «services.msc», которую следует набрать в строке поиска. В свойствах службы брандмауэра вы можете запустить или остановить ее.
MacOS
Несмотря на то, что MacOS является закрытой операционной системой, она также подвергается многочисленным угрозам со стороны злоумышленников. Компания AV-TEST провела исследование и выяснила, что в 2020 году для системы было создано более 670 тысяч разнообразных вирусов и червей. Как показывает график, число опасностей по сравнению с предыдущими годами растет многократно. Однако этот показатель не сравнится с числом вредоносного ПО для Windows — 91 миллион.
Использование брандмауэра в MacOS становится как никогда актуальным. Включить его на устройствах под управлением OS X V10.6 или новее вы можете следующим образом:
Во вкладке конфиденциальность выставляются запреты на отслеживание геолокации для конкретных программ.
Включение и отключение брандмауэра на Linux
Семейство систем Linux достаточно большое, поэтому мы расскажем о распространенном решении UFW (Uncomplicated Firewall). Это популярный инструмент командной строки для настройки и управления брандмауэром в дистрибутивах Ubuntu и Debian. Для работы вам необходимо писать все команды с правами суперпользователя (sudo).
Установка выполняется через команду sudo apt install ufw. Далее выполните действия:
По умолчанию брандмауэр отклоняет все входящие соединения и разрешает только исходящие подключения, поэтому первые придется разрешать вручную. Вы можете разрешить все входящие пакеты, но безопаснее всего сделать разрешения для каждой отдельной службы, используя команды: ufw allow имя_службы, ufw allow порт и ufw allow порт/протокол.
Альтернативы встроенному брандмауэру
Несмотря на высокую эффективность встроенного в Windows брандмауэра, многие компании предлагают свои альтернативы, начиная от домашнего софта и заканчивая корпоративными решениями.
Бесплатный брандмауэр от компании Comodo имеет интуитивно-понятный интерфейс и достаточный функционал для защиты домашних и корпоративных компьютеров. Comodo Firewall обеспечивает защиту от интернет-атак, переполнения буфера, несанкционированного доступа и не только. В программе имеется блокировщик рекламы и настраиваемые DNS-серверы.
TinyWall. Бесплатный домашний брандмауэр, который чаще всего используется для расширения возможностей стандартного защитника Windows. Софт имеет простой интерфейс, практически не нагружает систему, а также позволяет быстро добавлять различные исключения, включая списки портов и доменов. Если настройка в стандартном брандмауэре вам кажется слишком сложной, то стоит установить TinyWall. Софт переведен на русский.
PrivateFirewall. Бесплатный брандмауэр для Windows только на английском языке. Утилита позволяет выставить один из нескольких уровней безопасности, сканировать порты, защитить систему от вирусов, троянов, червей и других вредоносных программ. Несмотря на отсутствие русского языка, разобраться с программой не составит большого труда.
Обратите внимание, что большая часть брандмауэров после установки имеют минимальные правила блокировки, поэтому для лучшей защиты необходимо включить режим обучения или вручную выставить правила. Все представленные варианты отлично подходят для домашних ПК.
Брандмауэр в качестве межсетевого экрана также присутствует в крупных антивирусах, таких как Avira Internet Security, BitDefender Internet Security, Norton Security, Kaspersky Internet Security и других. Однако эти решения платные и часто имеют ограничение на количество устройств, поэтому они актуальны только для корпоративного сектора.
Что такое сетевой экран?
Что такое брандмауэр
Брандмауэр, или файервол, — это межсетевой экран, который последовательно фильтрует проходящие через него данные. С помощью определённых правил или шаблонов он анализирует трафик, который поступает со стороны Сети или от вашего компьютера. Если пакет не прошёл проверку, он не сможет пересечь брандмауэр и попасть из интернета на ваше устройство.
Слово «брандмауэр» (от немецкого brand — «гореть», mauer — «стена») позаимствовали у пожарных. Так называют преграду из огнеупорного материала, которая препятствует распространению пламени из одной части здания в другую. И это, в общем‑то, отражает назначение ПО: не пропускать трафик, который может навредить системе.
Межсетевые экраны устанавливают не только на компьютерах пользователей, но и на серверах или на маршрутизаторах между подсетями. Это нужно, чтобы подозрительный трафик не мог быстро распространиться по всей Сети.
Брандмауэры бывают программными (только софт) и программно‑аппаратными (ПО и устройство, на котором оно работает). Первые доступнее, но занимают часть ресурсов компьютера и не так надёжны. Для рядовых пользователей их вполне достаточно. Вторые — это обычно корпоративные решения, которые ставят в больших сетях с повышенными требованиями к безопасности.
Видео
Функции сетевых экранов
Настройка firewall в Windows
Самый популярный запрос в Google про Брандмауэр Windows — как его отключить. Это не наш метод! Возможно, интерфейс Брандмауэра Windows не самый дружелюбный, но мы попробуем с ним разобраться.
Если в системе установлены сторонние сетевые экраны, например Comodo Firewall или брандмауэр в составе антивируса Avast или Kaspersky, то встроенный Брандмауэр Windows работать не будет. Если же других сетевых экранов нет, то Брандмауэр должен быть обязательно включён.
Мы настроим Брандмауэр Windows в режиме повышенной безопасности.
Сначала нужно обязательно сделать бэкап политик (политика — набор правил для входящих и исходящих подключений): если что-то сломается, можно будет восстановить предыдущее состояние.
Делаем резервную копию, сохраняем политики.
Для входящих и исходящих подключений Брандмауэр Windows работает в одном из трёх режимов:
Предлагаем вам два варианта настройки на выбор: попроще и посложнее.
Попроще
Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать все подключения».
Теперь будут заблокированы все входящие подключения независимо от правил.
Посложнее
Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать (по умолчанию)».
При такой настройке будут блокироваться входящие подключения, для которых нет разрешающих правил.
Откройте вкладку «Правила для входящих подключений».
Оставьте только нужные разрешающие правила, либо удалите все. После этого брандмауэр будет запрашивать подтверждение, если какая-либо программа попытается открыть порт для входящих соединений.
Если вы уверены в приложении и знаете, что ему действительно необходим доступ к порту, то нажмите «Разрешить доступ», чтобы создать разрешающее правило. В противном случае нажмите «Отмена» — для приложения появится запрещающее правило.
Различные типы брандмауэров
Брандмауэры можно разделить на две группы: брандмауэры на базе хоста и сетевые брандмауэры. Хотя оба брандмауэра играют важную роль в обеспечении безопасности данных, каждый из них имеет свои преимущества и недостатки.
Основанные на хосте межсетевые экраны размещаются непосредственно на компьютере для управления пакетами данных, поступающими и выходящими из машины. Это может быть служба или программа, выполняющаяся в фоновом режиме как часть приложений агента или операционной системы.
Сетевые межсетевые экраны размещаются в локальных, глобальных сетях и интрасетях. Они фильтруют трафик между двумя или более сетями. Это могут быть аппаратные компьютерные устройства или программы, работающие на оборудовании общего назначения.
Существуют различные типы межсетевых экранов, которые обеспечивают разные уровни защиты для сетей и хост-компьютеров. Мы объяснили наиболее распространенные из них:
Добавление приложений в исключения
Родной файрвол иногда видит опасность там, где ее нет, блокируя прогу, в которой пользователь уверен на 100%. Ее нужно включить в перечень исключений.
Для этого в Windows 7,8 и 10:
Чтобы убрать приложение из исключений, нужно очистить все галочки напротив его названия.
Вам будет интересно: Установка и раздача вайфай на нетбуках и компьютере, настройки
Второй метод разрешения запуска проги через брандмауэр для более продвинутых юзеров:
Кроме блокировки приложений файрвол иногда мешает пользоваться Интернетом.
Какие брандмауэры встроены в ОС
Они стали частью операционных систем, чтобы защитить пользователей от кибератак.
Windows
Брандмауэр есть в ОС, начиная с версии Windows XP SP2. В Windows 7 он входит в состав Центра обеспечения безопасности Windows, в Windows 10 — Центра безопасности и обслуживания. Он поддерживает фильтрацию на уровне портов, пакетов, приложений и создание различных правил для разных типов сетей (частных, общественных и сетей домена), настройку профилей.
Чтобы проверить состояние защиты в Windows 10, введите слово «брандмауэр» в панели поиска.
Другой вариант: меню «Пуск» — «Параметры» — «Обновление и безопасность» — «Безопасность Windows» — «Брандмауэр и защита сети». Здесь вы также увидите, включён ли файервол для различных типов сетей, и сможете его настроить.
В Windows 7 откройте меню «Пуск» — «Панель управления» — «Система и безопасность» — «Брандмауэр Windows» — «Проверка состояния брандмауэра». Настраивается он в пункте «Изменение параметров уведомлений».
macOS
В этой ОС, начиная с OS X 10.5.1, можно управлять подключениями на уровне приложений, а не портов. Таким образом, потенциально опасные приложения не смогут получить доступ к данным через порты, которые используют «хорошие» программы.
Чтобы проверить параметры файервола, перейдите в меню «Системные настройки» — «Безопасность» (или «Конфиденциальность и безопасность» в более новых версиях ОС), затем на вкладку «Брандмауэр», кликните по значку замка в левом нижнем углу и введите имя и пароль администратора — это разблокирует панель. Затем нажмите кнопку «Включить брандмауэр» или «Запустить». Кнопка «Дополнительно» позволит настроить параметры межсетевого экрана.
Linux
В ядро Linux встроен фильтр пакетов. Начиная с версии ядра 2.4 в качестве брандмауэра используется утилита iptables. Она может защитить от атак на отказ, IP‑спуфинга, фрагментации пакетов и DDoS.
В Ubuntu для iptables есть оболочка UTF (Uncomplicated Firewall — «несложный файервол»). Установить утилиту можно командой apt install ufw в терминале. Чтобы проверить её статус, введите ufw status verbose (по умолчанию защита неактивна). А чтобы посмотреть список правил — ufw status numbered.
Типичные возможности
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Как его отключить или полностью удалить
Если брандмауэр мешает работе и создает сложности, его можно отключить. Но следует позаботиться о другой защите компьютера.
Для отключения нужно:
Но в работе еще остается служба брандмауэра, отвечающая за сетевую фильтрацию, поэтому процесс останется запущенным, занимая ресурсы оперативки и вызывая конфликты с посторонними защитными приложениями.
Как остановить службу:
Удалить стандартный брандмауэр невозможно. Можно удалить только службу, чтобы навсегда завершить работу файрвола.
Восстановить службу непросто, а уничтожение защитного механизма вредит безопасности системы, поэтому нужно позаботиться о другом файрволе или хотя бы поставить хороший антивирус.
Как работает межсетевой экран
Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.
Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.
Как исправить заблокирован входящий трафик на Hamachi
После того, как я пояснил, что такое «Заблокирован входящий трафик в Hamachi», перейдём к вопросу о том, как избавиться от ошибки «Заблокирован входящий трафик, проверьте настройки сетевого экрана»». Рекомендую сделать следующее:
Временно отключите ваш брандмауэр
Исправляем проблемы с «Hamachi» на вашем ПК
Появление проблемы «Hamachi: Заблокирован входящий трафик» обычно вызвано функционалом брандмауэра и антивирусной программы, блокирующих входящее сетевое соединение пользовательского ПК. Чтобы исправить проблему «Заблокирован входящий трафик» в «Hamachi» рекомендую временно отключить ваш брандмауэр и антивирус, а если это не поможет – использовать альтернативные советы, предложенные мной выше. Обычно это позволяет нормализовать работу указанной программы, и далее наслаждаться стабильным функционалом «Hamachi» на вашем ПК.
С выходом новой ОС от Microsoft остро возник вопрос о защите. Старые фаерволы требуют доработки, либо вообще не работают. Особенно если у Вас установлена 64 битная версия. К счастью в Windows Vista и Windows 7 есть свой собственный firewall.
В новой операционной системе Microsoft учла ошибки прошлых лет и доработала свой встроенный фаерволл, но добратся к нему не так легко. Стандартно открывается убожество, которое мы видели еще в ХР.
Чтобы попасть в продвинутые настройки, необходимо залезть в закладку администрирование:
Тут необходимо выбрать “Windows Firewall with Advanced Security”. Это так-же работает в Windows 7.
Попадаем мы в такое замечательное окошко:
Тут все довольно просто:
Нажав пункт мониторинг, получаем замечательную картину происходящего. Стандартно Windows имеет 3 профиля работы с сетью. Установив новое соединение, мы отвечаем на вопрос, какой является наша новая сеть, но не зная что стоит за этими названиями, мы выбираем кота в мешке.
К сожалению Microsoft не дало нам возможности самим создавать профили, так что придется выкручиваться тем что есть.
Лично я вижу 2 развития событий:Если у Вас стационарный компьютер, то можно обойтись 2-мя профилями:
Если у Вас ноутбук или много разных соединений.
Рассмотрим настройку фаервола, на основе публичного профиля.
Первое что бросается в глаза:
Тут мы видим что профиль активен. Фаервол включен, неизвестные входящие соединения запрещены, а исходящие разрешены всем. Но это не есть гуд, ведь вы хотите знать что у вас и куда ломится.
Для этого заходим в настройки фаервола:
Перед нами появляется окошко, в котором мы выбираем нужный профиль и запрещаем неизвестные подключения:
Теперь соединение к интернету доступно только разрешенным приложениям, но как узнать кому не дали интернет? Для этого нужно настроить логирование соединений:
Здесь мы можек указать путь к логу. Ограничить размер и самое главное включить логирование отмененных соединений:
Теперь мы должны разрешить соединение с остальным миром программам, которым мы доверяем:
Создадим новое правило на примере IM Miranda:
Тип правила выберем для приложения(Programm). Тем самым мы даем выбраной программе полную свободу действий. Это полезно, когда у Вас нет времени “тонко” настроить правило и Вы доверяете приложению.
Правило для портов(Port) позволяет открыть один, или несколько входящих портов вашего копмьютера.
Далее будет описано создание более сложных правил.
Тут выбираем действие: разрешить/запретить.
Здесь мы выбираем профиль, для которого действительно это правило.
Например мы можем запретить всякие программы качалки и обновления, если соединение происходит через “дорогой профиль”.
Ну и последним штрих: описание профиля.
Этой последовательностью действий мы разрешили одной програме получать доступ в сеть интернет. Проделав эти действия для других программ мы можем быть уверены, что выход в интернет имеют только доверенные приложения.
Создание более сложных правил
Для примера давайте создадим правило, которое позволит любому приложению на нашем компьютере соединение с 80-м портом удаленного сервера(обычно этот порт используется для WEB-серверов). Это позволит просматривать обычные сайты любой программой(этот порт могут использовать так-же и некоторые вирусы, я вообще не советую создавать глобальные правила)
Следующим шагом мы выбираем к какому приложению применять данное правило, либо сделать это правило глобальны для всех приложений:
Мы выбираем “All Programs”
Следующий шаг это выбор протокола и портов:
Выбираем тип протокола
Local Port:All Ports (мы ведь заранее не знаем какой порт откроет программа для соединения с сервером)
Remote Port: Specific Ports (А вот стандартный порт для Web сервера мы знаем, можно также указать 443 порт для SSL соединений. Порты можно перечислять через запятую, но нельзя указать промежуток портов от и до)
Этот пунк дает широкие возможности по настройке. Здесь Вы можете указать свой IP адресс(например если Вы хотите сделать разные правила для внутренего адреса и для внешнего)
Customise the interface types which this rules applies to(Выбрать типы интерфейсов к которым применяется это правило)
Здесь мы можем выбрать все интерфейсы, либо один из трех типов:Local Area Network(Ваше соединение непосредственно через сетевую карту), Remote Acess(Это соединение через VPN, либо через Dial-up), Wireless(это соединение через беспроводной интерфейс)
Удаленные IP адреса. Мы можем создать правило, которое будет управлять соединением к одному или нескольким удаленным компьютерам. Это будет полезно, если вы хотите ограничить доступ известному злоумышленику.
В этом пункте мы выбираем что делает правило: пропускает или блокирует трафик.
Выбираем к какому профилю принадлежит правило.
В последнем пункте указываем имя правила и описание(опционально)
Безопасность — один из основных критериев качества работы в сети. Непосредственной составляющей её обеспечения является правильная настройка сетевого экрана (файервола) операционной системы, который на компьютерах линейки Windows называется брандмауэром. Давайте выясним, как оптимально настроить это средство защиты на ПК с Виндовс 7.
Недостатки
Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.
Кроме того, некоторые сетевые экраны могут случайно заблокировать легитимные сайты, но это можно исправить, если добавить их в список сайтов-исключений на панели управления сервиса.