www.promanski.info

Firewall w Windows

Większość osób korzystających z systemów Windows 2000, XP, 2003 Server korzystających z Internetu doskonale zdaje sobie sprawę z tego, że komputery narażone są na ataki z zewnątrz. Zazwyczaj stosują rozwiązania firm trzecich polegających na instalacji firewalla lub blokadzie portów i usług (taką niewielką funkcjonalność posiada firewall wbudowany w Windows XP). Mało kto jednak wie, że nawet w już w Windows 2000 jest firewall… tak, tak! Tylko Microsoft dość sprytnie go ukrył, dlatego w tym artkule postaram się przedstawić sposób na skonfigurowanie swojego własnego firewalla za pomocą IPSec.

Jako, że konfiguracja zasad IPSec w Windows 2000 i XP jest podobna posłużę się Windows 2000 (sic! – akurat teraz przy takim siedzę).

Budowanie zasad konsoli
Odpalamy pustą konsolę MMC (Start – Uruchom… i wpisujemy mmc. Pojawia się nowa konsola zarządzania
1 konsola1
Klikamy na menu Konsola i wybieramy Dodaj/Usuń przystawkę…, w następnym oknie, w zakładce Autonomicznaklikamy na przycisk Dodaj… i z listy przystawek autonomicznych wybieramy Zarządzanie zasadami zabezpieczeń IP i klikamy Dodaj
2 zarzzas

W następnym oknie zaznaczamy Komputer lokalny i klikamy Zakończ. Po tych ustawieniach nowa konsola powinna wyglądać mniej więcej tak:
3 newkonsola
W lewym panelu konsoli klikamy PPM na Zasady zabezpieczeń IP w Komputer lokalny i wybieramy menu Zaządzanie akcjami filtrowania, w zakładce widać Zarządzanie akcjami filtrowania
4 filterlist
widać wstępnie zdefiniowane filtry, pojmijamy je i klikamy Dodaj…, w oknie Kreatora akcji filtru klikamy na Dalej a w kolejnym oknie wpisujemy nazwę akcji, np. zablokuj, jeśli chcemy możemy dodać opis akcji filtru, w kolejnym oknie zaznaczamy Zablokuj, Dalej i w kolejnym oknie Zakończ. Zamykamy również okno Zarządza listami IP i akcjami filtrów.
5 zarz filtr
Po powrocie do konsoli znów klikamy PPM w lewym panelu na Zasady zabezpieczeń IP w Komputer lokalny i wybieramy menu Utwórz zasadę zabezpieczeń IP, w pierwszym oknie kreatora klikamy Dalej, w kolejnym oknie wpisujemy nazwę zasad zabezpieczeń IP, np. Firewall a w kolejnych oknach klikamy Dalej. W oknie, które się pojawi
6 firewall prop
odznaczamy Uzyj kreatora dodawania oraz w sekcji Reguły zabezpieczeń IP oznaczamy Dynamiczny i klikamy Dodaj…. Powinno pojawić się poniższe okno
7 wlaciwosci reguly
Stworzymy teraz najprostszą regułę, która zablokuje cały ruch wychodzący i przychodzący zarówno ICMP jak i IP. Na początek przechodzimy do zakładki Typ połączenia i wybieramy dla jakich połączeń mają być dane zasady. Następnie wracamy do zakładki Lista filtrów IP zaznaczamy Cały ruch ICMP i przechodzimy do zakładki Akcja filtru i zaznaczamy wcześniej stworzoną akcję filtru zablokuj, klikamy Zastosuj, znów przechodzimy do zakładki Lista filtrów IP i tym razem zaznaczamy Cały ruch IP, przechodzimy do zakładki Akcja filtru i zaznaczamy zablokuj a następnie Zastosuj. Możemy pozamykać wszystkie okienka za wyjątkiem przystawki konsoli, którą wypadałoby zapisać. Wybieramy menu Konsola lub w Windows XP Plik i wybieramy Zapisz jako i podajemy lokalizację do zapisu.

Oczywiście jak na razie stworzona przez nas reguła zabezpieczeń na razie nie działa. Aby ją uaktywnić klikamy PPM na stworzoną regułę (Firewall) i klikamy menu Przypisz.
8 przypisz
No i od tej chwili nasz komputer jest głuchy, tzn. istnieje połączenie sieciowe, jednak żadne pakiety przychodzące i wychodzące nie są przepuszczane (zgodnie z regułą, którą tworzyliśmy zablokowaliśmy cały ruch sieciowy). Komputer nie będzie odpowiadał na ping, tracert, nie można dostać się poprzez dostęp zdalny itp. Aby powrócić do stanu poprzedniego klikamy PPM na regułę i wybieramy Cofinij przypisanie.

Ilość komentarzy: 11 do “Firewall w Windows”

  1. […] Artykuł Firewall w Windows jak na razie jest wstępem do konfiguracji i towrzenia podstawowych reguł. Jednak w najbliższym czasie postaram się pokazać w jaki sposób dodać wyjątki pozwalające na przeglądanie sieci LAN, itp. […]

  2. […] Firewall w Windows by Fascik […]

  3. Bardzo bardzo dobry art, czekam na dalszy ciąg

  4. Będzie, będzie :-) Tylko jak się okazuje nie jest to takie proste… :-) ale jest do zrobienia….jak sam mówisz czasem trzeba prowokować problemy. No i tak się stało, że i ja to zrobiłem, jeśli chodzi o filtrowanie np. LAN to jest trochę kombinacji ale jest wykonalne, bo trzeba przefiltrować zarówno TCP jak i UDP. Niedługo to napiszę… no i w końcu odejdzie problem w Windows i kontami użytkowników i odpowiednim przydziałem usług i portów :)

  5. Zabrakło mi w tym artykule informacji, jak się on ma do strony http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

    Czy artykuł nie jest przypadkiem jej tłumaczeniem ? Jeśli tak, dobrym zwyczajem jest umieszczenie informacji o źródle.

    pozdrawiam

  6. Nie znałem tej strony, a artykuł oparłem na KB Microsoftu, m.in. na: KB 313190 oraz na KB 813878.

    Faktycznie mój artykuł może wydać się podobny, a samo budowanie zasad IPSec jest identyczne czy to w polskim windows czy angielskim.

  7. Co do podobieństw to można np. artykuł o łączeniu Nokii 7650 i używanie jej jako modemu GPRS, czy też rozdzielacz LAN, czy nawet Zapora systemu Windows i jej zdalne włączanie. Te artykuły również pewnie gdzieś się znajdą w Internecie. Będą podobne lub o tej samej tematyce….

  8. Witaj

    Ja korzystam troche z uproszczonego sposobu
    mianowice z programiku konsolowego -IPSECPOL.exe

    kiedy chce przyblokowac jakis port uzywam w nim polecenia

    ipsecpol.exe -w REG -p “moj firewall” -r “Block Inbound TCP 139 Rule” -f *=0:139:TCP -n BLOCK

    i juz mamy gotowa regulke z nowa przystawka zabezpieczen o nazwie “moj firewal”
    i tak po koleji mozna w ten sposob zablokowac wybrane porty ktore uznamy za zbedne.lub stworzyc plik firewall.cmd i wpisac wszystkie polecenia po czym uruchomic.Po uruchomieniu mozna eksportowac taka przystawke mmc i ewentualnie wykorzystac na drugim komupterze.Warto stworzyc rowniez plik wsadowy ktory by wylaczal wybrane fitry, w przeciwnym wypadku za kazdym razem musilibsmy uruchamiac konsole mcc i recznie odblokowac port ktory jest nam w danej chwili potrzebny.

    Duzo na ten temat mozna znazlezsc na stronie microsoftu.

    Mnie interesuje jednak czy jest mozliwosc aby blokowal pakiety przychodzace na danym porcie, a nie blokowal wychodzacych?.

    pozdrawiam

    Greg

  9. a jednak mozna,troche poszperalem i znalazlem

    opis na stronie ms

    http://support.microsoft.com/kb/813878/PL/

  10. greg – dzięki za cenne info. Popatrzę i potestuję. Jakoś ostatnio przestałem się bawić zaporą i ipseciem… ale pewnie w porze jesiennej zabawa powróci. :-)

  11. […] 1634Racine wrote: > a gdzie niby jest ten firewall w w2k, ktorego klucz niewatpliwie istnieje? http://www.promanski.info/?page_id=174 http://www.pcworld.pl/artykuly/29308.html — "Jeeli kto uderzy ci w policzek, kopnij go w […]

  12. Thank you a lot for providing individuals with remarkably terrific chance to check tips from this blog. It’s usually so amazing and as well , stuffed with fun for me personally and my office friends to search your site more than 3 times weekly to find out the new secrets you will have. Not to mention, I’m so always satisfied with the amazing principles you serve. Some 4 ideas in this posting are essentially the finest we’ve had.

  13. I wish to express my appreciation to you for bailing me out of this type of trouble. Right after exploring throughout the world-wide-web and finding advice which are not powerful, I assumed my life was well over. Being alive devoid of the answers to the issues you have sorted out through your good report is a serious case, and those which could have in a wrong way damaged my career if I had not discovered your site. Your personal expertise and kindness in taking care of every aspect was tremendous. I am not sure what I would have done if I hadn’t come upon such a thing like this. I can at this point look ahead to my future. Thanks a lot so much for the high quality and effective guide. I won’t hesitate to endorse your site to any person who needs to have direction about this subject.

  14. I wanted to make a small message to thank you for some of the stunning suggestions you are placing on this website. My prolonged internet search has at the end of the day been recognized with awesome tips to exchange with my contacts. I ‘d express that most of us readers actually are unequivocally endowed to live in a fine site with many outstanding people with very helpful concepts. I feel quite happy to have encountered your website and look forward to some more thrilling minutes reading here. Thanks once more for all the details.

  15. My wife and i were absolutely thankful that Jordan could complete his investigation via the ideas he was given using your web site. It’s not at all simplistic to just find yourself releasing concepts that many men and women could have been making money from. We really see we have got the website owner to appreciate for that. The type of illustrations you made, the simple website menu, the friendships you help to engender – it is mostly exceptional, and it is leading our son and our family understand that article is brilliant, which is certainly unbelievably mandatory. Thank you for all!

  16. I have to express thanks to the writer for bailing me out of this type of predicament. Just after surfing around throughout the the web and finding concepts which were not helpful, I was thinking my life was done. Being alive minus the strategies to the difficulties you have sorted out through this post is a critical case, as well as ones which might have negatively affected my career if I had not encountered your blog post. That skills and kindness in handling all the things was invaluable. I don’t know what I would have done if I had not encountered such a subject like this. It’s possible to at this moment look forward to my future. Thanks a lot very much for the professional and results-oriented help. I will not hesitate to suggest your site to anybody who should receive guidelines on this problem.

  17. I have to show my thanks to the writer for rescuing me from this dilemma. Right after scouting throughout the search engines and coming across basics which were not powerful, I assumed my life was over. Living without the approaches to the issues you have solved by means of your entire write-up is a crucial case, as well as ones that would have adversely affected my career if I hadn’t come across your blog. Your main know-how and kindness in taking care of almost everything was priceless. I am not sure what I would’ve done if I hadn’t discovered such a stuff like this. I am able to now relish my future. Thank you very much for your skilled and result oriented guide. I won’t hesitate to refer your blog to any individual who will need guidance on this area.

  18. I am glad for writing to make you be aware of of the fantastic discovery my cousin’s princess developed viewing your blog. She came to understand several details, which included how it is like to possess an awesome teaching mindset to have many more with no trouble know just exactly various very confusing topics. You actually exceeded people’s expectations. Thank you for churning out these precious, healthy, revealing and also cool guidance on the topic to Julie.

  19. Thank you so much for giving everyone an extremely nice possiblity to check tips from here. It is always very sweet and packed with fun for me and my office peers to search your web site a minimum of three times a week to see the new stuff you have. And of course, I’m also actually happy with all the dazzling pointers served by you. Certain 1 facts in this posting are in fact the finest we’ve had.

  20. I am commenting to let you be aware of what a nice experience our child enjoyed viewing your blog. She realized a good number of things, which included how it is like to have an incredible giving nature to get the rest without hassle comprehend specific specialized things. You actually surpassed my expectations. Thanks for supplying these insightful, trustworthy, educational and easy tips about that topic to Sandra.

Zostaw odpowiedź