Ugniasienė(ugniasienė arba ugniasienė) „Windows“ nekelia pagarbos. Šiek tiek pakeistas iš XP į Vista, jis puikiai atlieka savo paprastą darbą, tačiau jai trūksta ambicijų būti geriausia asmenine užkarda. Tačiau nepaisant to, kad Windows 7 ugniasienė gavo keletą naujų funkcijų, ji vis tiek negavo to, ko tikėjausi joje pamatyti.

„Hangout“ su namų grupe

Per Windows instaliacijos 7 siūlo sukurti „namų grupę“. Kadangi tinkle aptinkami kiti „Windows 7“ kompiuteriai, jie taip pat kviečiami prisijungti prie grupės. Ir viskas, ko jiems reikia, yra slaptažodis. Tačiau turėdamas vieną kompiuterį, kuriame veikia „Windows 7“, nemačiau prisijungimo prie kitų kompiuterių grupės, nors pranešimas apie tai nepakenktų. Tačiau nors bet kuris kompiuteris, kuriame veikia „Windows 7“, gali prisijungti prie namų grupės, kompiuteriai, kuriuose veikia „Windows 7 Home Basic“ ir „Windows 7 Starter“, jų sukurti negali.

Toje pačioje namų grupėje esantys kompiuteriai gali bendrinti (arba, kaip sakoma, „bendrinti“) spausdintuvus ir konkrečias failų bibliotekas. Pagal numatytuosius nustatymus nuotraukų, muzikos, vaizdo įrašų ir dokumentų bibliotekos yra bendrinamos, tačiau vartotojas gali jas apriboti savo nuožiūra. Operacinės sistemos žinyne pateikiami aiškūs paaiškinimai, kaip neleisti bendrinti failo ar aplanko arba kaip padaryti jį tik skaitymą arba kaip apriboti prieigą prie jo.

Jo namų tinklas vartotojas gali dalytis savo turiniu su kitais kompiuteriais ir įrenginiais ir net kompiuteriais, kuriuose neveikia „Windows 7“ ir net visai ne kompiuteriais. Visų pirma, „Microsoft“ parodė pavyzdžius, kaip galite bendrinti turinį „Xbox 360“. Tačiau bendrovė nesiūlo prijungti „Wii“ prie tinklo. Deja, bendrovė „Wii“ nepripažino srautinės medijos įrenginiu.

Taigi, kiek saugesnis yra jūsų namų tinklas sistemoje „Windows 7“? Paprastai vartotojai, kuriems nepavyksta bendrinti failų ir aplankų, pradeda išjungti viską aplinkui, įskaitant failų sienelę, antivirusinę ir kt., o tai, jų nuomone, gali trukdyti šiam procesui. Tuo pačiu metu, jei dalijimąsi supaprastinsite, galite išvengti visko, kas yra aplink jus.

Jei Vista padalija tinklus į viešąjį (viešąjį) ir privatųjį (privatųjį), tai Windows 7 padalija privatų tinklą į namų (Home) ir darbo (Work). Namų grupė(HomeGroup) galima tik pasirinkus namų tinklą. Tačiau net ir darbo tinklas kompiuteris vis tiek gali matyti kitus jame esančius įrenginius ir prie jų prisijungti. Savo ruožtu viešajame tinkle (pvz., belaidžiame interneto kavinėje) „Windows 7“ blokuoja prieigą prie jūsų ir iš jūsų kitų įrenginių, kad būtų užtikrintas jūsų saugumas. Tai nedidelė, bet graži galimybė.

Dviejų režimų ugniasienė

„Vista“ ir „XP“ užkardą valdyti taip paprasta, kaip ją įjungti ir išjungti. Tuo pačiu „Windows“ laikas 7 siūlo vartotojui įvairius privataus (namų ir darbo) ir viešųjų tinklų konfigūracijos nustatymus. Tuo pačiu metu vartotojui nereikia įvesti ugniasienės nustatymų, kad galėtų dirbti, tarkime, vietinėje kavinėje. Jam tereikia pasirinkti viešąjį tinklą, o pati užkarda pritaikys visą ribojančių parametrų rinkinį. Labiausiai tikėtina, kad vartotojai sukonfigūruos viešąjį tinklą, kad blokuotų visus gaunamus ryšius. „Vista“ to negalima padaryti nenutraukus viso įeinančio srauto paties vartotojo tinkle.

Kai kurie vartotojai nesupranta, kam reikalinga ugniasienė. Jei UAC veikia, ar ugniasienė nepersistengia? Tiesą sakant, šios programos turi visiškai skirtingus tikslus. UAC stebi programas ir jų veikimą vietinėje sistemoje. Ugniasienė atidžiai žiūri į gaunamus ir išsiunčiamus duomenis. Jei įsivaizduojate šias dvi programas kaip du herojus, stovinčius nugara ir atmušančius zombių atakas, tuomet, galima sakyti, vargu ar suklysite.

Iš pradžių buvau sužavėtas nauja galimybė„Praneškite man, kada Windows ugniasienė blokai nauja programa“ Ar tai ženklas, kad „Windows“ ugniasienė įgijo programų kontrolę ir tapo tikra dvipuse užkarda? Mane apėmė noras išjungti šią funkciją. Dėl to „Windows“ ugniasienė nesulaukė daugiau pagarbos, nei buvo.

Jau dešimt metų, kai „ZoneLabs“ išpopuliarino dvipusę asmeninę užkardą. Jos programa „ZoneAlarm“ paslėpė visus kompiuterio prievadus (ką gali padaryti „Windows Firewall“) ir taip pat leido valdyti programų prieigą prie interneto (to Windows ugniasienė vis dar negali padaryti). Man nereikia protingo programos elgesio stebėjimo, pvz., „Norton“. interneto apsauga 2010 ir kitose pakuotėse. Tačiau tikiuosi, kad išleisdama „Windows 8“, „Microsoft“ vis tiek į savo užkardą įtrauks dešimties metų senumo „ZoneAlarm“ galimybių rinkinį.

„Microsoft“ puikiai žino, kad daugelis vartotojų įdiegia trečiųjų šalių užkardas ir saugos paketus ir tiesiog išjungia „Windows“ užkardą. Anksčiau daugelis trečiųjų šalių saugos programų automatiškai išjungdavo Windows ugniasienę, kad būtų išvengta konfliktų. „Windows 7“ operacinėje sistemoje „Microsoft“ tai padarė pati. Įdiegdama jai žinomą užkardą, operacinė sistema išjungia savo integruotą užkardą ir praneša, kad „užkardos nustatymus valdo tokia ir tokia tokio ir tokio gamintojo programa“.

Nesvarbu, ar naudojate ją, ar ne, „Windows“ ugniasienė yra visose „Windows 7“ su tvirta integracija Operacinė sistema. Taigi ar nebūtų geriau, jei trečiųjų šalių saugos programos galėtų naudoti Windows failų sienelę savo tikslams? Tai yra programavimo sąsajos, vadinamos „Windows“ filtravimo platforma, idėja. Bet ar kūrėjai juo pasinaudos? Daugiau apie tai kitoje dalyje.

„Windows 7“ sauga: „Windows“ filtravimo platforma

Ugniasienės turi veikti su „Windows 7“ labai žemu lygiu, ko „Microsoft“ programuotojai visiškai nekenčia. Kai kurios „Microsoft“ technologijos, pvz., „PatchGuard“, pateikiamos 64 bitų „Windows 7“ leidimuose (64 bitų „Windows 7“ turi daug saugumo pranašumų, palyginti su 32 bitų „Windows 7“), blokuoja užpuolikus ir taip pat apsaugo branduolį nuo prieigos prie jo. Vis dėlto „Microsoft“ nesuteikia tokio saugumo lygio kaip trečiųjų šalių programos. Taigi ką daryti?

Šios problemos sprendimas yra „Windows“ filtravimo platforma (WFP). Pastarasis, pasak „Microsoft“, leidžia trečiųjų šalių ugniasienes kurti pagal raktą „Windows“ galimybės Ugniasienė – leidžia prie jų pridėti pasirinktinių galimybių ir pasirinktinai įjungti bei išjungti „Windows“ užkardos dalis. Dėl to vartotojas gali pasirinkti užkardą, kuri egzistuos kartu su „Windows“ užkarda.

Tačiau kiek tai naudinga saugos kūrėjams? Ar jie juo naudosis? Paklausiau kelių žmonių ir gavau daugybę atsakymų.

BitDefender LLC

Produktų plėtros vadovas Iulianas Costache teigė, kad jo įmonė šiuo metu naudoja šią platformą „Windows 7“. Tačiau jie susidūrė su dideliais atminties nutekėjimais. Klaida yra „Microsoft“ pusėje, kurią jau patvirtino didžiausias programinės įrangos milžinas. Tačiau Julianas nežino, kada tai bus išspręsta. Tuo tarpu jie laikinai pakeisti naujas vairuotojas WFP senoje TDI.

Check Point Software Technologies Ltd

„Check Point Software Technologies Ltd“ viešųjų ryšių vadovė Mirka Janus teigė, kad jo įmonė WFP naudoja nuo Vista. Jie taip pat naudoja platformą sistemoje „Windows 7“. Tai gera, palaikoma sąsaja, tačiau bet kokia kenkėjiška programa ar nesuderinama tvarkyklė gali būti pavojinga ja pagrįstam saugos produktui. ZoneAlarm visada rėmėsi dviem sluoksniais – sluoksniais tinklo jungtys Ir paketo lygis. Pradedant nuo Vista, Microsoft pasiūlė WFP kaip palaikomą būdą filtruoti tinklo ryšius. Pradedant nuo „Windows 7 SP1“, „Microsoft“ turi išmokyti WFP įjungti paketų filtravimą.

„Palaikomų API naudojimas reiškia geresnį stabilumą ir mažiau BSOD. Galima užregistruoti daug tvarkyklių ir kiekvienam tvarkyklių kūrėjui nereikia jaudintis dėl suderinamumo su kitais. Jei kuris nors vairuotojas, tarkime, užblokuotas, joks kitas registruotas vairuotojas negali apeiti šio blokavimo. Kita vertus, problema gali tapti nesuderinama tvarkyklė, aplenkianti visas kitas registruotas. Siekdami tinklo saugumo nepasitikime vien WFP.

„F-Secure Corporation“.

Vyresnysis „F-Secure Corporation“ tyrėjas Mikko Hypponen teigė, kad WFP dėl tam tikrų priežasčių niekada nebuvo populiarus tarp saugos programinės įrangos kūrėjų. Tuo pačiu metu jo įmonė gana ilgą laiką naudojo WFP ir buvo tuo patenkinta.

McAfee, Inc.

Savo ruožtu „McAfee“ pagrindinis architektas Ahmedas Sallamas teigė, kad WFP yra galingesnė ir lankstesnė tinklo filtravimo sąsaja nei ankstesnė NDIS pagrįsta sąsaja. „McAfee“ savo saugos produktuose aktyviai naudoja WFP.

Tuo pačiu metu, nepaisant to, kad WFP turi teigiamų galimybių, kibernetiniai nusikaltėliai taip pat gali pasinaudoti platformos pranašumais. Platforma gali leisti kenkėjiškoms programoms patekti į „Windows“ branduolio lygio tinklo krūvą. Todėl 64 bitų Windows tvarkyklės branduolio lygis turi turėti skaitmeninius parašus, kad apsaugotų branduolį nuo įkėlimo į jį kenkėjiška programa. Tačiau 32 bitų versijose skaitmeniniai parašai nereikalingi.

Taip, teoriškai skaitmeniniai parašai yra pagrįstas apsaugos mechanizmas, tačiau iš tikrųjų kenkėjiškų programų autoriai vis tiek gali juos įsigyti patys.

Panda Security

„Panda Security“ atstovas Pedro Bustamante sakė, kad jo įmonė stebi WFP platformą, tačiau šiuo metu jos nenaudoja. Pagrindiniais WFP trūkumais bendrovė laiko, visų pirma, nesugebėjimą sukurti technologijos, kuri derintų įvairias technologijas, kad būtų maksimaliai padidinta apsauga. Technologijos yra nenaudingos, jei įmonė negali peržiūrėti paketų, patenkančių į mašiną ir iš jos. Jis taip pat turėtų veikti kaip kitų saugumo technologijų jutiklis. Nė vienos iš šių funkcijų WFP neteikia. Antra, WFP palaiko tik Vista ir naujesnės operacinės sistemos. Platforma nėra suderinama atgal. Ir trečia, WFP yra gana nauja platforma, o įmonė nori pasikliauti senesnėmis ir patikrintomis technologijomis.

Symantec Corp.

Danas Nadiras, „Symantec“ plataus vartojimo produktų valdymo direktorius, teigė, kad WFP jų produktuose dar nenaudojamas dėl santykinio naujumo. Tačiau laikui bėgant įmonė planuoja prie jos pereiti, nes... senos sąsajos, kuriomis jie šiuo metu remiasi, negalės užtikrinti visų joms reikalingų funkcijų. Jie mano, kad WFP yra gera platforma, nes... ji buvo specialiai sukurta siekiant užtikrinti įvairių trečiųjų šalių programų sąveiką. Iš esmės ateityje platforma turėtų turėti dar mažiau suderinamumo problemų. WFP taip pat puikus, nes yra integruotas su „Microsoft Network Diagnostic Framework“. Tai labai naudinga, nes... labai palengvina konkrečių programų, kurios yra kliūtis, paiešką tinklo srautą. Galiausiai, WFP turėtų pagerinti operacinės sistemos veikimą ir stabilumą, nes... Platforma išvengia emuliacijos ir problemų dėl vairuotojų konfliktų ar stabilumo.

Tačiau, kita vertus, anot Nadiro, WFP gali sukurti tam tikrų problemų, kurios egzistuoja bet kurioje struktūroje – WFP besiremiantys kūrėjai negali uždaryti pažeidžiamumų pačioje WFP, taip pat negali išplėsti specifinių WFP siūlomų galimybių. Be to, jei daugelis programų remiasi WFP, kenkėjiškų programų kūrėjai teoriškai gali bandyti atakuoti patį WFP.

„Trend Micro Inc.

„Trend Micro Inc.“ tyrimų direktorius. Dale Liao teigė, kad didžiausias platformos privalumas yra jos suderinamumas su operacine sistema. Be to, dabar tapo naudinga standartinė ugniasienė. Taigi dabar jie gali sutelkti dėmesį į tai, kas iš tikrųjų svarbu vartotojui. Blogas dalykas WFP yra tas, kad kai platformoje aptinkama klaida, įmonė turi laukti, kol ją ištaisys „Microsoft“.

WFP: išvada

Todėl dauguma mano kalbintų saugos kūrėjų jau naudoja WFP. Tiesa, kai kurios lygiagrečiai su kitomis technologijomis. Jie mėgsta sąveikumą, pavyzdžiui, platformos dokumentaciją ir formalumą, taip pat suvokiamą jos veikimo stabilumą. Kita vertus, jei visi kūrėjai pasikliauja WFP, platforma gali tapti silpna vieta visiems. Ir jie turės pasikliauti „Microsoft“, kad tai išspręstų. Be to, platforma dar nesiūlo paketų lygio filtravimo.

Kitas didelis WFP trūkumas yra tai, kad jis nepasiekiamas „Windows XP“. Todėl kūrėjai, norintys palaikyti XP, turės vykdyti du lygiagrečius projektus. Tačiau, XP pasitraukus iš rinkos, manau, kad WFP taps populiaresnis tarp kūrėjų.

Pradedant nuo „Server 2008“ ir „Vista“, WFP mechanizmas buvo integruotas į „Windows“,
kuri yra API ir sistemos paslaugų rinkinys. Su jo pagalba tai tapo įmanoma
uždrausti ir leisti ryšius, valdyti atskirus paketus. Šie
naujovėmis buvo siekiama supaprastinti įvairių kūrėjų gyvenimą
apsauga Tinklo architektūros pakeitimai paveikė tiek branduolio režimą, tiek
ir vartotojo režimo sistemos dalys. Pirmuoju atveju eksportuojamos reikalingos funkcijos
fwpkclnt.sys, antroje - fwpuclnt.dll (raidės "k" ir "u" bibliotekų pavadinimuose
reiškia branduolį ir vartotoją). Šiame straipsnyje mes kalbėsime apie programą
WFP srautui perimti ir filtruoti bei susipažinus su pagrindiniais
Naudodamiesi WFP apibrėžimais ir galimybėmis, parašysime savo paprastą filtrą.

Pagrindinės sąvokos

Prieš pradedant kodavimą, būtina susipažinti su terminologija
Microsoft - ir papildoma literatūra bus naudinga norint suprasti straipsnį
Bus lengviau skaityti :). Taigi, eime.

klasifikacija– nustatymo, ką daryti su paketu, procesas.
Galimi veiksmai: leisti, blokuoti arba išnaša.

Figūrinės išnašos yra visuma vairuotojo funkcijų, kurios atlieka patikrinimą
paketus. Jie turi specialią funkciją, kuri atlieka paketų klasifikavimą. Tai
funkcija gali nuspręsti:

• leisti (FWP_ACTION_PERMIT);
• blokas(FWP_ACTION_BLOCK);
• tęsti apdorojimą;
• prašyti daugiau duomenų;
• nutraukti ryšį.

Filtrai- taisyklės, nurodančios, kokiais atvejais tai vadinama
tą ar kitą išnašą. Vienas vairuotojas gali turėti keletą išnašų ir
Šiame straipsnyje mes sukursime tvarkyklę su išnaša. Beje, colautas
Taip pat yra įmontuotų, pavyzdžiui, NAT išnaša.

Sluoksnis- tai ženklas, pagal kurį sujungiami įvairūs filtrai (arba,
kaip sakoma MSDN, „konteineris“).

Tiesą sakant, „Microsoft“ dokumentai kol kas atrodo gana neaiškūs
negalite žiūrėti į WDK pavyzdžius. Todėl jei staiga nuspręsite ką nors plėtoti
rimta, būtinai reikia su jais susipažinti. Na, dabar viskas sklandžiai
Pereikime prie praktikos. Norint sėkmingai kompiliuoti ir atlikti bandymus, jums reikės WDK („Windows
tvarkyklės rinkinys), „VmWare“, Virtuali mašina su įdiegta Vista ir WinDbg derinimo programa.
Kalbant apie WDK, aš asmeniškai turiu įdiegtą 7600.16385.0 versiją - viskas yra
reikalingos libs (kadangi kursime tvarkyklę, mums reikia tik
fwpkclnt.lib ir ntoskrnl.lib) ir WFP naudojimo pavyzdžiai. Nuorodos į visus
Priemonės jau buvo pristatytos keletą kartų, todėl jų nekartosime.

Kodavimas

Norėdami inicijuoti figūrinę išnašą, parašiau funkciją BlInitialize. Bendras algoritmas
figūrinės išnašos kūrimas ir filtro pridėjimas yra taip:

1. FWPMENGINEOPEN0 atidaro sesiją;
2. FWPMTRANSACTIONBEGIN0- darbo su WFP pradžia;
3. FWPSCALLOUTREGISTER0- sukurti naują figūrinę išnašą;
4. FWPMCALLOUTADD0- išnašos objekto įtraukimas į sistemą;
5. FWPMFILTERADD0- pridėti naują (-us) filtrą (-us);
6. FWPMTRANSACTIONCOMMIT0- išsaugoti pakeitimus (pridėta
   filtrai).

Atminkite, kad funkcijos baigiasi skaičiumi 0. „Windows 7“ kai kurios iš jų
funkcijos buvo pakeistos, pavyzdžiui, pasirodė FwpsCalloutRegister1 (su
išsaugojo FwpsCalloutRegister0). Jie skiriasi argumentais ir dėl to
funkcijų klasifikavimo prototipai, bet mums tai dabar nėra svarbu – 0-funkcijos
Universalus.

FwpmEngineOpen0 ir FwpmTransactionBegin0 mums nėra ypač įdomūs – tai
paruošiamasis etapas. Linksmybės prasideda nuo funkcijos
FwpsCalloutRegister0:

FwpsCalloutRegister0 prototipas

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *figūrinė išnaša,
__out_opt UINT32 *calloutId
);

Jau sakiau, kad išnaša yra funkcijų rinkinys, dabar atėjo laikas
papasakok daugiau apie tai. FWPS_CALLOUT0 struktūroje yra nuorodų į tris
funkcijos – klasifikavimo (classifyFn) ir dvi pranešimo (apie
filtro pridėjimas / pašalinimas (notifyFn) ir apdoroto srauto uždarymas (flowDeleteFn)).
Pirmosios dvi funkcijos yra privalomos, paskutinė reikalinga tik tuo atveju, jei
norite stebėti pačius paketus, o ne tik ryšius. Taip pat struktūroje
yra unikalus identifikatorius, figūrinės išnašos GUID (calloutKey).

Išnašos registracijos kodas

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// klasifikavimo funkcija
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funkcija, pranešanti apie filtro pridėjimą / pašalinimą
// sukurti naują figūrinę išnašą
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__HANDLE variklyjeHandle,
__in const FWPM_CALLOUT0 *figūrinė išnaša,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struktūra FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // figūrinės išnašos aprašymas
UINT32 vėliavėlės;
GUID *providerKey;
FWP_BYTE_BLOB teikėjo duomenys;
GUID taikomas sluoksnis;
UINT32 calloutId;
) FWPM_CALLOUT0;

FWPM_CALLOUT0 struktūroje mus domina taikomas sluoksnis – unikalus
Lygio, prie kurio pridedama figūrinė išnaša, ID. Mūsų atveju taip yra
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4“ identifikatoriaus pavadinime reiškia versiją
Ipv4 protokolas, taip pat yra FWPM_LAYER_ALE_AUTH_CONNECT_V6, skirtas Ipv6. Atsižvelgiant į
mažas IPv6 paplitimas šiuo metu, dirbsime tik su
IPv4. CONNECT pavadinime reiškia, kad mes kontroliuojame tik diegimą
ryšius, nėra kalbos apie paketus, gaunamus ar išsiunčiamus šiuo adresu! Iš viso
Be to, kurį naudojome, yra daug lygių – jie deklaruojami antraštės faile
fwpmk.h iš WDK.

Išnašos objekto įtraukimas į sistemą

// figūrinės išnašos pavadinimas
displayData.name = L"Blokavimo išnaša";
displayData.description = L"Blokavimo išnaša";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// figūrinės išnašos aprašymas
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Taigi, sėkmingai įtraukus išnašą į sistemą, reikia sukurti
filtras, tai yra, nurodykite, kokiais atvejais bus vadinama mūsų figūrinė išnaša, būtent
- jo klasifikavimo funkcija. FwpmFilterAdd0 funkcija sukuria naują filtrą,
kuris perduoda FWPM_FILTER0 struktūrą kaip argumentą.

FWPM_FILTER0 turi vieną ar daugiau FWPM_FILTER_CONDITION0 struktūrų (jų
skaičius nustatomas pagal lauką numFilterConditions). Laukas layerKey užpildytas GUID
sluoksnis, prie kurio norime prisijungti. Šiuo atveju nurodome
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Dabar atidžiau pažvelkime į FWPM_FILTER_CONDITION0 užpildymą. Pirma, į
„fieldKey“ turi būti aiškiai nurodyta, ką norime valdyti – prievadą, adresą,
programa ar kažkas kita. Šiuo atveju WPM_CONDITION_IP_REMOTE_ADDRESS
rodo sistemai, kad mus domina IP adresas. LaukoKey reikšmė nustato, ar
kokio tipo reikšmės bus įtrauktos į FWP_CONDITION_VALUE struktūrą
FWPM_FILTER_CONDITION0. Šiuo atveju jame yra ipv4 adresas. Eime
toliau. Lauke matchType nustatoma, kaip bus lyginamas
FWP_CONDITION_VALUE vertės su tuo, kas buvo per tinklą. Čia yra daug variantų:
galite nurodyti FWP_MATCH_EQUAL, o tai reikš visišką sąlygos įvykdymą ir
galite - FWP_MATCH_NOT_EQUAL, tai yra, iš tikrųjų mes galime tai pridėti
taigi neįtraukiamas filtravimas (adresas, kurio ryšys nėra stebimas).
Taip pat yra parinkčių FWP_MATCH_GREATER, FWP_MATCH_LESS ir kitos (žr. sąrašą
FWP_MATCH_TYPE). Šiuo atveju turime FWP_MATCH_EQUAL.

Per daug nesivarginau ir tiesiog parašiau blokavimo sąlygą
vieną pasirinktą IP adresą. Jei kuri nors programa bando
užmegzti ryšį su pasirinktu adresu, bus iškviestas klasifikatorius
mūsų figūrinės išnašos funkcija. Galite peržiūrėti kodą, apibendrinantį tai, kas buvo pasakyta
Žr. šoninę juostą „Filtro pridėjimas prie sistemos“.

Filtro pridėjimas prie sistemos

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blokavimo išnaša";
filter.displayData.description = L"Blokavimo išnaša";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// vieno filtro sąlyga
filtras.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filtras.svoris.type = FWP_EMPTY; // automatinis svoris.
// pridėti filtrą prie nuotolinio adreso
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// pridėti filtrą
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Apskritai, žinoma, gali būti daug filtravimo sąlygų. Pavyzdžiui, galite
nurodykite jungčių blokavimą prie konkretaus nuotolinio arba vietinio prievado (FWPM_CONDITION_IP_REMOTE_PORT
ir FWPM_CONDITION_IP_LOCAL_PORT). Galite sugauti visus paketus
konkretus protokolas arba konkreti programa. Ir tai dar ne viskas! Gali,
pavyzdžiui, blokuoti konkretaus vartotojo srautą. Apskritai, yra kur
pasivaikščioti.

Tačiau grįžkime prie filtro. Klasifikavimo funkcija mūsų atveju yra paprasta
blokuoja ryšį nurodytu adresu (BLOCKED_IP_ADDRESS), grįždamas
FWP_ACTION_BLOCK:

Mūsų klasifikavimo funkcijos kodas

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* paketas, IN const FWPS_FILTER* filtras,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// užpildykite struktūrą FWPS_CLASSIFY_OUT0
if(classifyOut)( // blokuoti paketą
classifyOut->actionType =
FWP_ACTION_BLOCK;
// blokuojant jums reikalingą paketą
iš naujo nustatyti FWPS_RIGHT_ACTION_WRITE
classifyOut->teisės&=~FWPS_RIGHT_ACTION_WRITE;
}
}

Praktiškai klasifikavimo funkcija taip pat gali nustatyti FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE ir kt.

Ir galiausiai, iškraunant tvarkyklę, reikia pašalinti visus įdiegtus
išnašos (atspėk, kas nutiks, jei sistema bandys iškviesti išnašą
iškrautas vairuotojas? Teisingai, BSOD). Tam yra funkcija
FwpsCalloutUnregisterById. Kaip parametras perduodamas 32 bitų
išnašos identifikatorius, kurį grąžino funkcija FwpsCalloutRegister.

Išnašos nutraukimas

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
grįžti ns;
}

Kaip matote, WFP filtro programavimas nėra tokia sudėtinga užduotis
MS suteikė mums labai patogią API. Beje, mūsų atveju mes įdiegėme
filtras tvarkyklėje, bet tai galima padaryti ir naudojant usermod! Pavyzdžiui, pavyzdys iš wdk
msnmntr (MSN Messenger eismo monitorius) tai daro – tai leidžia to nedaryti
perkraukite branduolio režimo filtro dalį.

Jūsų GUID

Norint užregistruoti figūrinę išnašą, jai reikia unikalaus identifikatoriaus. Tam, kad
gaukite savo GUID (pasaulinį unikalų identifikatorių), naudokite įtrauktą guidgen.exe
Visual Studio. Įrankis yra (VS_Path)\Common7\Tools. Susidūrimo tikimybė
yra labai mažas, nes GUID ilgis yra 128 bitai ir iš viso yra 2^128
identifikatoriai.

Filtro derinimas

Malkoms derinti patogu naudoti Windbg+VmWare derinį. Tam jums reikia
sukonfigūruoti ir svečių sistemą (tai yra Vista), ir derintuvą
WinDbg. Jei WinXP turėjote redaguoti boot.ini nuotoliniam derinimui, tada
„Vista+“ yra konsolės įrankis, vadinamas bcdedit. Kaip įprasta, turite įjungti derinimą:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ĮJUNGTA (arba BCDedit / set debug ON)

Dabar viskas paruošta! Paleidžiame paketinį failą su toliau pateiktu tekstu:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

ir žiūrėkite derinimo išvestį windbg lange (žr. paveikslėlį).

Išvada

Kaip matote, WFP taikymo sritis yra gana plati. Jūs turite nuspręsti, kaip
pritaikyk šias žinias – blogiui ar gėriui :)

OS valdymo konsolės (MMC) papildinys Windows Vista™ yra tinklo jutimo užkarda, skirta darbo stotims, filtruojanti įeinančius ir išeinančius ryšius pagal duotus nustatymus. Dabar galite konfigūruoti ugniasienės nustatymus ir IPsec protokolas su vienu įrankiu. Šiame straipsnyje aprašoma, kaip veikia Windows ugniasienė su išplėstine sauga, dažniausiai pasitaikančios problemos ir sprendimai.

Kaip veikia „Windows“ ugniasienė su išplėstine sauga

„Windows“ ugniasienė su išplėstine sauga yra tinklo būsenos registravimo užkarda, skirta darbo stotims. Skirtingai nuo maršruto parinktuvų ugniasienės, kurios įdiegtos vartuose tarp vietinio tinklo ir interneto, Windows ugniasienė skirta veikti atskiruose kompiuteriuose. Jis stebi tik darbo vietos srautą: srautą, įeinantį į to kompiuterio IP adresą, ir srautą, išeinantį iš paties kompiuterio. „Windows“ ugniasienė su išplėstine sauga atlieka šias pagrindines operacijas:

Įeinantis paketas patikrinamas ir lyginamas su leistino srauto sąrašu. Jei paketas atitinka vieną iš sąrašo reikšmių, Windows ugniasienė perduoda paketą TCP/IP tolesniam apdorojimui. Jei paketas neatitinka nė vienos iš sąrašo reikšmių, „Windows“ ugniasienė blokuoja paketą ir, jei įjungtas registravimas, sukuria įrašą žurnalo faile.

Leidžiamo eismo sąrašas sudaromas dviem būdais:

Kai „Windows“ ugniasienės valdomas ryšys su išplėstine sauga siunčia paketą, užkarda sąraše sukuria reikšmę, leidžiančią priimti grįžtamąjį srautą. Atitinkamam įeinančiam srautui reikės papildomo leidimo.

Kai sukuriate Windows ugniasienės su išplėstine sauga leidimo taisyklę, srautas, kuriam sukūrėte taisyklę, bus leidžiamas kompiuteryje, kuriame veikia Windows ugniasienė. Šis kompiuteris priims aiškiai leistiną įeinantį srautą, kai veiks kaip serveris, kliento kompiuteris arba lygiaverčio tinklo priegloba.

Pirmasis žingsnis sprendžiant problemas, susijusias su Windows ugniasienė, yra patikrinti, kuris profilis yra aktyvus. „Windows“ ugniasienė su išplėstine sauga yra programa, kuri stebi jūsų tinklo aplinką. „Windows“ ugniasienės profilis keičiasi keičiantis tinklo aplinkai. Profilis yra nustatymų ir taisyklių rinkinys, taikomas atsižvelgiant į tinklo aplinką ir esamą srovę tinklo jungtys.

Ugniasienė išskiria trijų tipų tinklo aplinkas: domeno, viešuosius ir privačius tinklus. Domenas yra tinklo aplinka, kurioje ryšius autentifikuoja domeno valdiklis. Pagal numatytuosius nustatymus visi kiti tinklo ryšio tipai laikomi viešaisiais tinklais. Kai atrandamas naujas „Windows“ jungtys Vista ragina vartotoją nurodyti, ar šis tinklas privatus ar viešas. Bendrasis profilis skirtas naudoti viešose vietose, pavyzdžiui, oro uostuose ar kavinėse. Privatus profilis skirtas naudoti namuose ar biure, taip pat saugiame tinkle. Norint apibrėžti tinklą kaip privatų, vartotojas turi turėti atitinkamas administratoriaus teises.

Nors kompiuteris gali būti prijungtas prie tinklų vienu metu skirtingi tipai, gali būti aktyvus tik vienas profilis. Aktyvaus profilio pasirinkimas priklauso nuo šių priežasčių:

Jei visos sąsajos naudoja domeno valdiklio autentifikavimą, naudojamas domeno profilis.

Jei bent viena iš sąsajų yra prijungta prie privatus tinklas, o visi kiti – į domeną arba į privačius tinklus, naudojamas privatus profilis.

Visais kitais atvejais naudojamas bendras profilis.

Norėdami nustatyti aktyvų profilį, spustelėkite mazgą Stebėjimas akimirksniu „Windows“ ugniasienė su išplėstine sauga. Virš teksto Ugniasienės būsena parodys, kuris profilis aktyvus. Pavyzdžiui, jei domeno profilis aktyvus, jis bus rodomas viršuje Domeno profilis aktyvus.

Naudodama profilius, Windows ugniasienė gali automatiškai leisti įeinantį srautą tam tikriems kompiuterio valdymo įrankiams, kai kompiuteris yra domene, ir blokuoti tą patį srautą, kai kompiuteris prijungtas prie viešojo arba privataus tinklo. Taigi, tinklo aplinkos tipo nustatymas apsaugo jūsų vietinis tinklas nepakenkiant mobiliojo ryšio vartotojų saugumui.

Dažnos problemos naudojant „Windows“ užkardą su išplėstine sauga

Toliau pateikiamos pagrindinės problemos, kylančios, kai veikia Windows ugniasienė su išplėstine sauga:

Jei srautas blokuojamas, pirmiausia turėtumėte patikrinti, ar ugniasienė įjungta ir kuris profilis aktyvus. Jei kuri nors iš programų yra užblokuota, įsitikinkite, kad priedas „Windows“ ugniasienė su išplėstine sauga Dabartiniam profiliui yra aktyvi leidimo taisyklė. Norėdami patikrinti, ar yra leidimo taisyklė, dukart spustelėkite mazgą Stebėjimas, tada pasirinkite skyrių Ugniasienė. Jei šiai programai nėra aktyvių leidimų taisyklių, eikite į svetainę ir sukurkite naują šios programos taisyklę. Sukurkite taisyklę programai arba paslaugai arba nurodykite šiai funkcijai taikomą taisyklių grupę ir įsitikinkite, kad visos tos grupės taisyklės yra įjungtos.

Norėdami patikrinti, ar leidimo taisyklė nepaisoma blokavimo taisyklės, atlikite šiuos veiksmus:

Snapo medyje „Windows“ ugniasienė su išplėstine sauga spustelėkite mazgą Stebėjimas, tada pasirinkite skyrių Ugniasienė.

Peržiūrėkite visų aktyvių vietinių ir grupės taisyklių sąrašą. Draudžiančios taisyklės viršija leidžiančias taisykles, net jei pastarosios yra tiksliau apibrėžtos.

Grupės politika neleidžia taikyti vietinių taisyklių

Jei Windows ugniasienė su išplėstine sauga sukonfigūruota naudojant grupės strategiją, jūsų administratorius gali nurodyti, ar bus naudojamos užkardos taisyklės, ar vietinių administratorių sukurtos ryšio saugos taisyklės. Tai prasminga, jei sukonfigūruotos vietinės ugniasienės taisyklės arba ryšio saugos taisyklės, kurių nėra atitinkamame nustatymų skyriuje.

Norėdami nustatyti, kodėl skyriuje Stebėjimas nėra vietinės ugniasienės taisyklių arba ryšio saugumo taisyklių, atlikite šiuos veiksmus:

Greitai „Windows“ ugniasienė su išplėstine sauga, spustelėkite nuorodą „Windows“ ugniasienės ypatybės.

Pasirinkite aktyvaus profilio skirtuką.

Skyriuje Galimybės, Paspausk mygtuką Melodija.

Jei taikomos vietinės taisyklės, skirsnis Taisyklių derinimas bus aktyvus.

Taisyklės, reikalaujančios saugaus ryšio, gali blokuoti srautą

Kuriant ugniasienės taisyklę įeinančiam arba išeinančiam srautui, vienas iš parametrų yra . Jei pasirinkta šią funkciją, turite turėti atitinkamą ryšio saugos taisyklę arba atskirą IPSec politiką, kuri nustato, koks srautas yra saugus. Priešingu atveju šis eismas blokuojamas.

Norėdami patikrinti, ar vienai ar kelioms taikomųjų programų taisyklėms reikalingas saugus ryšys, atlikite šiuos veiksmus:

Snapo medyje „Windows“ ugniasienė su išplėstine sauga spustelėkite skyrių Įeinančių jungčių taisyklės. Pasirinkite taisyklę, kurią norite patikrinti, ir spustelėkite nuorodą Savybės konsolės srityje.

Pasirinkite skirtuką Yra dažni ir patikrinkite, ar pasirinkta radijo mygtuko reikšmė Leisti tik saugius ryšius .

Jei taisyklė nurodyta su parametru Leiskite tik saugius ryšius, išplėskite skyrių Stebėjimas Papildymo medyje ir pasirinkite skyrių. Įsitikinkite, kad ugniasienės taisyklėje apibrėžtas srautas turi atitinkamas ryšio saugumo taisykles.

Įspėjimas:

Jei turite aktyvią IPSec politiką, įsitikinkite, kad politika apsaugo reikiamą srautą. Nekurkite ryšio saugos taisyklių, kad išvengtumėte prieštaringų IPSec politikos ir ryšio saugumo taisyklių.

Neįmanoma leisti išeinančių ryšių

Snapo medyje „Windows“ ugniasienė su išplėstine sauga Pasirinkite skyrių Stebėjimas. Pasirinkite aktyvaus profilio skirtuką ir skiltyje Ugniasienės būsena patikrinkite, ar leidžiami išeinantys ryšiai, kuriems netaikoma leidimo taisyklė.

Skyriuje Stebėjimas Pasirinkite skyrių Ugniasienė užtikrinti, kad reikalingos išeinančios jungtys nebūtų nurodytos draudimo taisyklėse.

Mišri politika gali sukelti eismo blokavimą

Galite konfigūruoti ugniasienės ir IPSec nustatymus naudodami įvairias Windows sąsajas.

Sukūrus politiką keliose vietose, gali kilti konfliktų ir užblokuotas eismas. Galimi šie nustatymo taškai:

„Windows“ ugniasienė su išplėstine sauga. Ši politika sukonfigūruojama naudojant atitinkamą papildinį vietoje arba kaip grupės strategijos dalis. Ši politika apibrėžia ugniasienės ir IPSec nustatymus kompiuteriuose, kuriuose veikia „Windows Vista“.

Windows ugniasienės administravimo šablonas. Ši politika sukonfigūruota naudojant grupės strategijos objektų rengyklę skyriuje. Šioje sąsajoje yra „Windows“ užkardos parametrai, kurie buvo prieinami prieš „Windows Vista“, ir naudojama konfigūruoti GPO, valdantį ankstesnes „Windows“ versijas. Nors šie parametrai gali būti naudojami veikiantiems kompiuteriams „Windows“ valdymas Vista, rekomenduojama naudoti politiką „Windows“ ugniasienė su išplėstine sauga, nes tai suteikia daugiau lankstumo ir saugumo. Atminkite, kad kai kurie domeno profilio parametrai yra bendri „Windows“ ugniasienės administravimo šablonui ir politikai „Windows“ ugniasienė su išplėstine sauga, todėl čia galite matyti parametrus, sukonfigūruotus domeno profilyje naudojant papildinį „Windows“ ugniasienė su išplėstine sauga.

IPSec politika. Ši politika sukonfigūruota naudojant vietinį papildinį IPSec politikos valdymas arba grupės strategijos objektų rengyklę, esančią skiltyje „Vietinis kompiuteris“ Kompiuterio konfigūracija\Windows Configuration\Security Settings\IP Security Policies. Ši politika apibrėžia IPSec parametrus, kuriuos gali naudoti ankstesnės „Windows“ ir „Windows Vista“ versijos. Negalima vienu metu naudoti tame pačiame kompiuteryje šią politiką ir politikoje apibrėžtas ryšio saugumo taisykles „Windows“ ugniasienė su išplėstine sauga.

Jei norite peržiūrėti visas šias parinktis atitinkamuose prieduose, sukurkite savo valdymo konsolės papildinį ir pridėkite prie jo „Windows“ ugniasienė su išplėstine sauga, Ir IP saugumas.

Norėdami sukurti savo valdymo konsolės papildinį, atlikite šiuos veiksmus:

Spustelėkite mygtuką Pradėti, eikite į meniu Visos programos, tada į meniu Standartinis ir pasirinkite Vykdyti.

Teksto lauke Atviras ENTER.

Tęsti.

Meniu Konsolė pasirinkite elementą.

Sąraše Galimi priedai pasirinkti įrangą „Windows“ ugniasienė su išplėstine sauga ir paspauskite mygtuką Papildyti.

Spustelėkite mygtuką Gerai.

Pakartokite 1–6 veiksmus, kad pridėtumėte spaustukų Kontrolė grupės nuostatos Ir IP saugumo monitorius.

Norėdami patikrinti, kurios strategijos yra aktyvios aktyviame profilyje, atlikite šią procedūrą:

Norėdami patikrinti, kuri politika taikoma, atlikite šiuos veiksmus:

IN komandinė eilutėįveskite mmc ir paspauskite klavišą ENTER.

Jei pasirodo vartotojo abonemento valdymo dialogo langas, patvirtinkite prašomą veiksmą ir spustelėkite Tęsti.

Meniu Konsolė pasirinkite elementą Pridėti arba pašalinti papildinį.

Sąraše Galimi priedai pasirinkti įrangą Grupės politikos valdymas ir paspauskite mygtuką Papildyti.

Spustelėkite mygtuką Gerai.

Išplėskite medžio mazgą (dažniausiai miško medį, kuriame jis yra) šį kompiuterį) ir dukart spustelėkite skyrių konsolės išsamios informacijos srityje.

Pasirinkite radijo mygtuko reikšmę Rodyti politikos nustatymus nuo vertybių Dabartinis vartotojas arba kitas vartotojas. Jei nenorite, kad naudotojams būtų rodomi politikos nustatymai, o tik kompiuterio politikos nustatymai, pasirinkite radijo mygtuką Nerodyti naudotojo politikos (tik peržiūrėti kompiuterio politiką) ir du kartus paspauskite mygtuką Toliau.

Spustelėkite mygtuką Paruošta. Grupės strategijos rezultatų vedlys sugeneruoja ataskaitą konsolės išsamios informacijos srityje. Ataskaitoje yra skirtukų Santrauka, Galimybės Ir Politiniai įvykiai.

Norėdami patikrinti, ar nėra prieštaravimų su IP saugumo strategijomis, sugeneravę ataskaitą pasirinkite skirtuką Galimybės ir katalogų tarnyboje atidarykite Kompiuterio konfigūracija\Windows Configuration\Security Settings\IP Security Settings Active Directory. Jei trūksta paskutinio skyriaus, vadinasi, IP saugos politika nenustatyta. Kitu atveju bus rodomas politikos pavadinimas ir aprašymas bei GPO, kuriai ji priklauso. Jei kartu su ryšio saugos taisyklėmis naudojate IP saugos strategiją ir Windows ugniasienę su išplėstine sauga, šios strategijos gali prieštarauti. Rekomenduojama naudoti tik vieną iš šių strategijų. Optimalus sprendimasįeinančiam arba išeinančiam srautui naudos IP saugos strategijas kartu su „Windows“ užkarda su išplėstinėmis saugos taisyklėmis. Jei parametrai sukonfigūruoti skirtingose ​​vietose ir nesuderinami vienas su kitu, gali kilti politikos konfliktų, kuriuos sunku išspręsti.

Taip pat gali kilti konfliktų tarp vietiniuose grupės strategijos objektuose apibrėžtų strategijų ir IT skyriaus sukonfigūruotų scenarijų. Patikrinkite visas IP saugos strategijas naudodami IP Security Monitor programą arba komandų eilutėje įvesdami šią komandą:

Norėdami peržiūrėti parametrus, apibrėžtus Windows ugniasienės administravimo šablone, išplėskite skyrių Kompiuterio konfigūracija\Administravimo šablonai\Tinklas\Tinklo ryšiai\Windows ugniasienė.

Norėdami peržiūrėti naujausius įvykius, susijusius su dabartine politika, galite eiti į skirtuką Politikos įvykiai toje pačioje konsolėje.

Norėdami peržiūrėti strategiją, kurią naudoja Windows ugniasienė su išplėstine sauga, atidarykite priedą kompiuteryje, kuriame diagnozuojate, ir peržiūrėkite nustatymus Stebėjimas.

Norėdami peržiūrėti administravimo šablonus, atidarykite papildinį Grupės nuostatos ir skyriuje Grupės politikos rezultatai Peržiūrėkite, ar yra nustatymų, paveldėtų iš grupės strategijos, dėl kurių srautas gali būti atmestas.

Norėdami peržiūrėti IP saugos politiką, atidarykite IP saugos stebėjimo papildinį. Pasirinkite medyje vietinis kompiuteris. Konsolės srityje pasirinkite nuorodą Aktyvi politika, Pagrindinis režimas arba Greitas režimas. Patikrinkite, ar nėra konkuruojančių politikos nuostatų, dėl kurių eismas gali būti užblokuotas.

Skyriuje Stebėjimas takelažas „Windows“ ugniasienė su išplėstine sauga Galite peržiūrėti galiojančias taisykles tiek vietinė, tiek grupės politika. Už gavimą Papildoma informacijažr. skyrių " Laikrodžio funkcijos naudojimas pridedant „Windows“ ugniasienė su išplėstine sauga » šio dokumento.

Norėdami sustabdyti IPSec politikos agentą, atlikite šiuos veiksmus:

Spustelėkite mygtuką Pradėti ir pasirinkite skyrių Kontrolės skydelis.

Spustelėkite piktogramą Sistema ir jos priežiūra ir pasirinkite skyrių Administracija.

Dukart spustelėkite piktogramą Paslaugos. Tęsti.

Sąraše raskite paslaugą IPSec politikos agentas

Jei paslauga IPSec agentas veikia, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite meniu elementą Sustabdyti. Taip pat galite sustabdyti paslaugą IPSec agentas iš komandinės eilutės naudodami komandą

Taikant lygiaverčius ryšius, srautas gali būti atmestas

Ryšiams, kurie naudoja IPSec, abu kompiuteriai turi turėti suderinamas IP saugos strategijas. Šias strategijas galima apibrėžti naudojant Windows ugniasienės ryšio saugos taisyklių papildinį IP saugumas arba kitas IP saugos teikėjas.

Norėdami patikrinti lygiaverčio tinklo IP saugos politikos nustatymus, atlikite šiuos veiksmus:

Greitai „Windows“ ugniasienė su išplėstine sauga pasirinkite mazgą Stebėjimas Ir Ryšio saugumo taisyklės kad įsitikintumėte, jog IP saugos politika sukonfigūruota abiejuose tinklo mazguose.

Jei vienas iš lygiaverčio tinklo kompiuterių veikia daugiau nei ankstyva versija„Windows“ nei „Windows Vista“ įsitikinkite, kad bent vienas iš vietinio režimo šifravimo rinkinių ir vienas iš greitojo režimo šifravimo rinkinių naudoja abiejų kompiuterių palaikomus algoritmus.

1. Spustelėkite skyrių Pagrindinis režimas, konsolės išsamios informacijos srityje pasirinkite norimą išbandyti ryšį, tada spustelėkite nuorodą Savybės konsolės srityje. Peržiūrėkite abiejų mazgų ryšio ypatybes, kad įsitikintumėte, jog jie yra suderinami.

   Pakartokite 2.1 veiksmą skaidiniams Greitas režimas. Peržiūrėkite abiejų mazgų ryšio ypatybes, kad įsitikintumėte, jog jie yra suderinami.

Jei naudojate Kerberos 5 versijos autentifikavimą, įsitikinkite, kad pagrindinis kompiuteris yra tame pačiame arba patikimame domene.

Jei naudojate sertifikatus, įsitikinkite, kad reikiami langeliai pažymėti. Sertifikatams, kurie naudoja Internet Key Exchange (IKE) IPSec, turite Elektroninis parašas. Sertifikatams, kurie naudoja autentifikuotą interneto protokolą (AuthIP), reikalingas kliento autentifikavimas (atsižvelgiant į serverio autentifikavimo tipą). Daugiau informacijos apie AuthIP sertifikatus rasite straipsnyje IP autentifikavimas sistemoje „Windows Vista“. AuthIP sistemoje Windows Vista Microsoft svetainėje.

Negalima konfigūruoti „Windows“ ugniasienės su išplėstine sauga

„Windows“ ugniasienė su išplėstiniais saugos parametrais yra pilka (pilka) šiais atvejais:

Kompiuteris prijungtas prie tinklo su centralizuotas valdymas, o tinklo administratorius naudoja grupės politiką, kad sukonfigūruotų „Windows“ užkardą su išplėstiniais saugos parametrais. Šiuo atveju spaustuko viršuje „Windows“ ugniasienė su išplėstine sauga Pamatysite pranešimą „Kai kuriuos nustatymus valdo grupės politika“. Tinklo administratorius sukonfigūruoja strategiją ir taip neleidžia keisti Windows ugniasienės nustatymų.

Kompiuteris, kuriame veikia „Windows Vista“, nėra prijungtas prie centralizuotai valdomo tinklo, tačiau „Windows“ ugniasienės parametrai nustatomi pagal vietinę grupės politiką.

Norėdami pakeisti „Windows“ ugniasienę su išplėstine sauga, naudodami vietinę grupės politiką, naudokite papildinį Vietinio kompiuterio politika. Norėdami atidaryti šį papildinį, komandų eilutėje įveskite secpol. Jei pasirodo vartotojo abonemento valdymo dialogo langas, patvirtinkite prašomą veiksmą ir spustelėkite Tęsti. Eikite į Kompiuterio konfigūracija\Windows Configuration\Security Settings\Windows Firewall with Advanced Security, kad sukonfigūruotumėte Windows užkardą su išplėstiniais saugos strategijos parametrais.

Kompiuteris nereaguoja į ping užklausas

Pagrindinis būdas patikrinti ryšį tarp kompiuterių yra naudoti „Ping“ įrankį, kad būtų galima patikrinti ryšį su konkrečiu IP adresu. Ping metu siunčiamas ICMP aido pranešimas (taip pat žinomas kaip ICMP aido užklausa), o mainais prašoma ICMP aido atsakymo. Pagal numatytuosius nustatymus Windows ugniasienė atmeta gaunamus ICMP aido pranešimus, todėl kompiuteris negali siųsti ICMP aido atsako.

Jei leisite gauti ICMP aido pranešimus, kiti kompiuteriai galės siųsti jūsų kompiuterio ping. Kita vertus, tai padarys kompiuterį pažeidžiamą atakų naudojant ICMP aido pranešimus. Tačiau, jei reikia, rekomenduojama laikinai leisti gaunamus ICMP aido pranešimus ir tada juos išjungti.

Norėdami leisti ICMP aido pranešimus, sukurkite naujas gaunamas taisykles, leidžiančias ICMPv4 ir ICMPv6 aido užklausų paketus.

Norėdami išspręsti ICMPv4 ir ICMPv6 aido užklausas, atlikite šiuos veiksmus:

Snapo medyje „Windows“ ugniasienė su išplėstine sauga pasirinkite mazgą Įeinančių jungčių taisyklės ir spustelėkite nuorodą Nauja taisyklė konsolės veiksmų srityje.

Pritaikoma ir paspauskite mygtuką Toliau.

Nurodykite jungiklio vertę Visos programos ir paspauskite mygtuką Toliau.

Išskleidžiamajame sąraše Protokolo tipas pasirinkite vertę ICMPv4.

Spustelėkite mygtuką Melodija už prekę ICMP protokolo parametrai.

Nustatykite radijo mygtuką į Konkretūs ICMP tipai, pažymėkite laukelį Echo prašymas, Paspausk mygtuką Gerai ir paspauskite mygtuką Toliau.

Vietinių ir nuotolinių IP adresų, atitinkančių šią taisyklę, pasirinkimo etape nustatykite jungiklius į reikšmes Bet koks IP adresas arba Nurodyti IP adresai. Jei pasirinksite vertę Nurodyti IP adresai, nurodykite reikiamus IP adresus, spustelėkite mygtuką Papildyti ir paspauskite mygtuką Toliau.

Nurodykite jungiklio vertę Leisti prisijungti ir paspauskite mygtuką Toliau.

Profilio pasirinkimo etape pasirinkite vieną ar daugiau profilių (domeno profilis, privatus arba viešas profilis), kuriuose norite naudoti šią taisyklę, ir spustelėkite mygtuką Toliau.

Lauke vardasįveskite taisyklės pavadinimą ir lauke apibūdinimas– neprivalomas aprašymas. Spustelėkite mygtuką Paruošta.

Pakartokite aukščiau nurodytus veiksmus su ICMPv6 protokolu, pasirinkdami Protokolo tipas išskleidžiamoji vertė ICMPv6 vietoj ICMPv4.

Jei turite aktyvias ryšio saugos taisykles, laikinai neįtraukus ICMP į IPsec reikalavimus, gali padėti išspręsti problemos. Norėdami tai padaryti, atidarykite akimirksniu „Windows“ ugniasienė su išplėstine sauga dialogo langas Savybės, eikite į skirtuką IPSec nustatymai ir išskleidžiamajame sąraše nurodykite vertę Taip parametrui Išskirkite ICMP iš IPSec.

Pastaba

„Windows“ ugniasienės nustatymus gali keisti tik administratoriai ir tinklo operatoriai.

Nepavyko bendrinti failų ir spausdintuvų

Jei negalite gauti bendra prieiga prie failų ir spausdintuvų kompiuteryje su aktyvia Windows ugniasienė, įsitikinkite, kad įjungtos visos grupės taisyklės Prieiga prie failų ir spausdintuvų „Windows“ ugniasienė su išplėstine sauga pasirinkite mazgą Įeinančių jungčių taisyklės Prieiga prie failų ir spausdintuvų Įgalinti taisyklę konsolės srityje.

Dėmesio:

Primygtinai rekomenduojama neįjungti failų ir spausdintuvų bendrinimo kompiuteriuose, kurie yra tiesiogiai prijungti prie interneto, nes užpuolikai gali bandyti pasiekti bendrinami failai ir pakenkti sugadindami asmeninius failus.

„Windows“ ugniasienės negalima administruoti nuotoliniu būdu

Jei negalite nuotoliniu būdu administruoti kompiuterio su aktyvia „Windows“ užkarda, įsitikinkite, kad įjungtos visos numatytosios grupės taisyklės Nuotolinis „Windows“ ugniasienės valdymas aktyvus profilis. Greitai „Windows“ ugniasienė su išplėstine sauga pasirinkite mazgą Įeinančių jungčių taisyklės ir slinkite taisyklių sąrašą iki grupės Nuotolinio valdymo pultas. Įsitikinkite, kad šios taisyklės įjungtos. Pasirinkite visas išjungtas taisykles ir spustelėkite mygtuką Įgalinti taisyklę konsolės srityje. Be to, įsitikinkite, kad įjungta IPSec Policy Agent paslauga. Ši paslauga reikalinga nuotolinio valdymo pultas Windows ugniasienė.

Norėdami patikrinti, ar veikia IPSec politikos agentas, atlikite šiuos veiksmus:

Spustelėkite mygtuką Pradėti ir pasirinkite skyrių Kontrolės skydelis.

Spustelėkite piktogramą Sistema ir jos priežiūra ir pasirinkite skyrių Administracija.

Dukart spustelėkite piktogramą Paslaugos.

Jei pasirodo vartotojo abonemento valdymo dialogo langas, įveskite reikiamą vartotojo informaciją su atitinkamais leidimais ir spustelėkite Tęsti.

Sąraše raskite paslaugą IPSec politikos agentas ir įsitikinkite, kad jo būsena yra „Vykdoma“.

Jei paslauga IPSec agentas sustabdytas, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite in kontekstinis meniu pastraipą Paleisti. Taip pat galite pradėti paslaugą IPSec agentas iš komandinės eilutės naudodami net start policy agent komandą.

Pastaba

Numatytoji paslauga IPSec politikos agentas paleistas. Ši paslauga turėtų veikti, nebent ji buvo sustabdyta rankiniu būdu.

„Windows“ ugniasienės trikčių šalinimo priemonės

Šiame skyriuje aprašomi įrankiai ir būdai, kuriuos galima naudoti sprendžiant įprastas problemas. Šį skyrių sudaro šie poskyriai:

Naudokite stebėjimo funkcijas Windows ugniasienėje su išplėstine sauga

Pirmas žingsnis sprendžiant Windows ugniasienės problemas yra peržiūrėti dabartines taisykles. Funkcija Stebėjimas leidžia peržiūrėti taisykles, naudojamas remiantis vietine ir grupės politika. Norėdami peržiūrėti dabartines gaunamo ir išeinančio siuntimo taisykles papildinio medyje „Windows“ ugniasienė su išplėstine sauga Pasirinkite skyrių Stebėjimas, tada pasirinkite skyrių Ugniasienė. Šiame skyriuje taip pat galite peržiūrėti dabartinę ryšio saugumo taisyklės Ir saugumo asociacijos (pagrindinis ir greitasis režimai).

Įgalinkite ir naudokite saugos auditą naudodami „auditpol“ komandinės eilutės įrankį

Pagal numatytuosius nustatymus audito parinktys yra išjungtos. Norėdami juos sukonfigūruoti, naudokite komandų eilutės įrankį auditpol.exe, kuris pakeičia audito politikos parametrus vietiniame kompiuteryje. Auditpol galima naudoti norint įjungti arba išjungti įvairių kategorijų įvykių rodymą ir vėliau juos peržiūrėti papildinyje Įvykių peržiūros priemonė.

Norėdami peržiūrėti auditpol palaikomų kategorijų sąrašą, komandų eilutėje įveskite:

• Norėdami peržiūrėti subkategorijų, įtrauktų į nurodytą kategoriją (pvz., politikos pakeitimo kategoriją), sąrašą, komandų eilutėje įveskite:

  auditpol.exe /list /category: "Politikos pakeitimai"

• Norėdami įjungti kategorijos arba subkategorijos rodymą, komandų eilutėje įveskite:

  /Pakategorė:" NameCategory"

Pavyzdžiui, norėdami nustatyti kategorijos ir jos subkategorijos audito politiką, turite įvesti šią komandą:

auditpol.exe /set /category:"Politikos keitimas" /subcategory:"Politikos keitimas MPSSVC taisyklės lygiu" /sėkmė:įgalinti /nesėkmė:įgalinti

Politikos pakeitimas

Politikos keitimas MPSSVC taisyklių lygiu

Filtravimo platformos politikos keitimas

Įveskite išėjimą

IPsec pagrindinis režimas

„IPsec Fast Mode“.

„IPsec“ patobulintas režimas

Sistema

IPSEC tvarkyklė

Kiti sistemos įvykiai

Prieiga prie objektų

Paketų kritimas naudojant filtravimo platformą

Filtravimo platformos prijungimas

Kad saugos audito politikos pakeitimai įsigaliotų, turite iš naujo paleisti vietinį kompiuterį arba priverstinai atnaujinti politiką. Norėdami priverstinai atnaujinti politiką, komandų eilutėje įveskite:

secedit/refreshpolicy<название_политики>

Baigę diagnostiką, galite išjungti įvykių tikrinimą pakeisdami įgalinimo parametrą aukščiau pateiktose komandose į išjungti ir paleisdami komandas dar kartą.

Peržiūrėkite saugos audito įvykius įvykių žurnale

Įjungę auditą, naudokite įvykių peržiūrą, kad peržiūrėtumėte audito įvykius saugos įvykių žurnale.

Norėdami atidaryti įvykių peržiūros programą aplanke Administravimo įrankiai, atlikite šiuos veiksmus:

1. Spustelėkite mygtuką Pradėti.

   Pasirinkite skyrių Kontrolės skydelis. Spustelėkite piktogramą Sistema ir jos priežiūra ir pasirinkite skyrių Administracija.

   Dukart spustelėkite piktogramą Įvykių peržiūros priemonė.

Norėdami pridėti įvykių peržiūros programą prie MMC, atlikite šiuos veiksmus:

Spustelėkite mygtuką Pradėti, eikite į meniu Visos programos, tada į meniu Standartinis ir pasirinkite Vykdyti.

Teksto lauke Atvirasįveskite mmc ir paspauskite klavišą ENTER.

Jei pasirodo vartotojo abonemento valdymo dialogo langas, patvirtinkite prašomą veiksmą ir spustelėkite Tęsti.

Meniu Konsolė pasirinkite elementą Pridėti arba pašalinti papildinį.

Sąraše Galimi priedai pasirinkti įrangą Įvykių peržiūros priemonė ir paspauskite mygtuką Papildyti.

Spustelėkite mygtuką Gerai.

Prieš uždarydami papildinį, išsaugokite konsolę, kad galėtumėte naudoti ateityje.

Greitai Įvykių peržiūros priemonė išplėsti skyrių „Windows“ žurnalai ir pasirinkite mazgą Saugumas. Konsolės darbo srityje galite peržiūrėti saugos audito įvykius. Visi įvykiai rodomi konsolės darbo srities viršuje. Spustelėkite įvykį konsolės darbo srities viršuje, kad būtų rodomas Detali informacija skydelio apačioje. Skirtuke Yra dažni Yra įvykių aprašymas aiškiu tekstu. Skirtuke Detalės Galimos šios įvykių rodymo parinktys: Aiškus pristatymas Ir XML režimas.

Sukonfigūruokite profilio ugniasienės žurnalą

Kad galėtumėte peržiūrėti ugniasienės žurnalus, turite sukonfigūruoti Windows ugniasienę su išplėstine sauga, kad generuotų žurnalo failus.

Norėdami sukonfigūruoti Windows ugniasienės su išplėstinės saugos profiliu registravimą, atlikite šiuos veiksmus:

Snapo medyje „Windows“ ugniasienė su išplėstine sauga Pasirinkite skyrių „Windows“ ugniasienė su išplėstine sauga ir paspauskite mygtuką Savybės konsolės srityje.

Pasirinkite profilio skirtuką, kuriame norite konfigūruoti registravimą (domeno profilis, privatus profilis arba viešasis profilis), tada spustelėkite Melodija Skyriuje Miško ruoša.

Nurodykite žurnalo failo pavadinimą ir vietą.

Nurodykite maksimalų žurnalo failo dydį (nuo 1 iki 32767 kilobaitų)

Išskleidžiamajame sąraše Užregistruokite trūkstamus paketusįveskite vertę Taip.

Išskleidžiamajame sąraše Įrašykite sėkmingus ryšiusįveskite vertę Taip ir tada spustelėkite mygtuką Gerai.

Peržiūrėkite ugniasienės žurnalo failus

Atidarykite failą, kurį nurodėte atlikdami ankstesnę procedūrą „Profilio ugniasienės žurnalo konfigūravimas“. Norėdami pasiekti ugniasienės žurnalą, turite turėti vietinio administratoriaus teises.

Žurnalo failą galite peržiūrėti naudodami Notepad arba bet kurį teksto rengyklę.

Ugniasienės žurnalo failų analizė

Žurnale įrašyta informacija parodyta šioje lentelėje. Kai kurie duomenys nurodomi tik tam tikriems protokolams (TCP vėliavėlės, ICMP tipas ir kodas ir kt.), o kai kurie duomenys nurodomi tik išmestiems paketams (dydžiui).

Pastaba

Brūkšnelis (-) naudojamas dabartinio įrašo laukuose, kuriuose nėra jokios informacijos.

Netstat ir užduočių sąrašo tekstinių failų kūrimas

Galite sukurti du pasirinktinius žurnalo failus: vieną, kad peržiūrėtumėte tinklo statistiką (visų klausymosi prievadų sąrašą), o kitą – paslaugų ir programų užduočių sąrašams peržiūrėti. Užduočių sąraše yra tinklo statistikos faile esančių įvykių proceso identifikatorius (PID). Šių dviejų failų kūrimo procedūra aprašyta toliau.

Norėdami sukurti tinklo statistikos ir užduočių sąrašo tekstinius failus, atlikite šiuos veiksmus:

Komandų eilutėje įveskite netstat -ano > netstat.txt ir paspauskite klavišą ENTER.

Komandų eilutėje įveskite užduočių sąrašas > užduočių sąrašas.txt ir paspauskite klavišą ENTER. Jei reikia sukurti tekstinį failą su paslaugų sąrašu, įveskite užduočių sąrašas /svc > užduočių sąrašas.txt.

Atidarykite failus tasklist.txt ir netstat.txt.

Raskite diagnozuojamo proceso kodą faile tasklist.txt ir palyginkite jį su verte, esančia faile netstat.txt. Užsirašykite naudotus protokolus.

Failų Tasklist.txt ir Netstat.txt išdavimo pavyzdys

Netstat.txt
Proto vietinis adresas Užsienio adreso būsena PID
TCP 0.0.0.0:XXX 0.0.0.0:0 KLAUSYMAS 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 KLAUSYMAS 322
Užduočių sąrašas.txt
Vaizdo pavadinimas PID seanso pavadinimas Seanso Nr. atmintinės naudojimas
==================== ======== ================ =========== ============
svchost.exe 122 Paslaugos 0 7 172 K
XzzRpc.exe 322 Paslaugos 0 5 104 K

Pastaba

Tikrieji IP adresai pakeičiami į "X", o RPC paslauga pakeičiama į "z".

Įsitikinkite, kad pagrindinės paslaugos veikia

Turi veikti šios paslaugos:

Pagrindinė filtravimo paslauga

Grupės politikos klientas

IPsec raktų moduliai, skirti interneto raktų mainams ir IP autentifikavimui

Papildoma IP paslauga

IPSec politikos agento paslauga

Tinklo vietos nustatymo paslauga

Tinklo sąrašo paslauga

Windows ugniasienė

Norėdami atidaryti paslaugų papildinį ir patikrinti, ar veikia reikalingos paslaugos, atlikite šiuos veiksmus:

Spustelėkite mygtuką Pradėti ir pasirinkite skyrių Kontrolės skydelis.

Spustelėkite piktogramą Sistema ir jos priežiūra ir pasirinkite skyrių Administracija.

Dukart spustelėkite piktogramą Paslaugos.

Jei pasirodo vartotojo abonemento valdymo dialogo langas, įveskite reikiamą vartotojo informaciją su atitinkamais leidimais ir spustelėkite Tęsti.

Įsitikinkite, kad veikia aukščiau išvardytos paslaugos. Jei viena ar kelios paslaugos neveikia, dešiniuoju pelės mygtuku spustelėkite paslaugos pavadinimą sąraše ir pasirinkite Paleisti.

Papildomas problemų sprendimo būdas

Kraštutiniu atveju galite atkurti numatytuosius Windows ugniasienės nustatymus. Atkūrus numatytuosius nustatymus bus prarasti visi nustatymai, atlikti įdiegus Windows Vista. Dėl to kai kurios programos gali nustoti veikti. Be to, jei kompiuterį valdysite nuotoliniu būdu, ryšys su juo nutrūks.

Prieš atkurdami numatytuosius nustatymus, įsitikinkite, kad išsaugojote dabartinę ugniasienės konfigūraciją. Tai leis jums atkurti nustatymus, jei reikia.

Toliau pateikiami užkardos konfigūracijos išsaugojimo ir numatytųjų nustatymų atkūrimo veiksmai.

Norėdami išsaugoti esamą ugniasienės konfigūraciją, atlikite šiuos veiksmus:

Greitai „Windows“ ugniasienė su išplėstine sauga spustelėkite nuorodą Eksporto politika konsolės srityje.

Norėdami atkurti numatytuosius ugniasienės nustatymus, atlikite šiuos veiksmus:

Greitai „Windows“ ugniasienė su išplėstine sauga spustelėkite nuorodą Atkurti numatytuosius nustatymus konsolės srityje.

Kai gausite „Windows“ ugniasienės su išplėstine sauga raginimą, spustelėkite Taip norėdami atkurti numatytąsias reikšmes.

Išvada

Yra daug būdų, kaip diagnozuoti ir išspręsti „Windows“ ugniasienės su išplėstine sauga problemas. Tarp jų:

Naudojant funkciją Stebėjimas peržiūrėti ugniasienės veiksmus, ryšio saugumo taisykles ir saugumo asociacijas.

Analizuoti saugos audito įvykius, susijusius su „Windows“ užkarda.

Tekstinių failų kūrimas užduočių sąrašas Ir netstat lyginamajai analizei.