Windows Firewall: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kvares (talk | contribs)
No edit summary
Irokk (talk | contribs)
No edit summary
 
(12 intermediate revisions by one other user not shown)
Line 1: Line 1:
Siia plaanib kirjutada Kaie
== Sissejuhatus ==
== Sissejuhatus ==


Tulemüür on turvavahend, mis võimaldab kontrollida sissetulevaid võrguühendusi. See ei asenda antiviirust, kuid võib pakkuda lisakaitset ussviiruste ja pahatahtlike võrguprogrammide eest. Tulemüüri tööpõhimõte seisneb teatud tüüpi potentsiaalselt kahjuliku võrguside blokeerimises .Tulemüüri käitumist reguleerivad reeglid (rules), mis kirjeldavad, millist võrguliiklust ja kuidas tohib läbi lasta.  
Tulemüür on turvavahend, mis võimaldab kontrollida sissetulevaid võrguühendusi. See ei asenda antiviirust, kuid võib pakkuda lisakaitset ussviiruste ja pahatahtlike võrguprogrammide eest. Tulemüüri tööpõhimõte seisneb teatud tüüpi potentsiaalselt kahjuliku võrguside blokeerimises .Tulemüüri käitumist reguleerivad reeglid ('''rules'''), mis kirjeldavad, millist võrguliiklust ja kuidas tohib läbi lasta.  




Windows XP tulemüür ICF(Internet Connection Firewall) oli oma olemuselt lihtne, kaitstes sissetuleva võrguliikluse eest. Jooksvalt oli ta väljalülitatud. Service Pack 2 lülitas tulemüüri vaikimisi tööle  ja andis administraatorile Group Policy kaudu tegutsemisruumi. Vista tulemüür oli ehitatud uuele platvormile WPF (Windows Filtering Platform) .
Windows XP tulemüür ICF(Internet Connection Firewall) oli oma olemuselt lihtne, kaitstes sissetuleva võrguliikluse eest. Vaikimisi oli ta väljalülitatud. Service Pack 2 lülitas tulemüüri vaikimisi tööle  ja andis administraatorile Group Policy kaudu tegutsemisruumi. Vista tulemüür oli ehitatud uuele platvormile WPF (Windows Filtering Platform) .


Windows 7 tulemüür , on kahepoolne tulemüür, mis kontrollib nii väljuvat(outbond) kui ka sissetulevat(inbound) võrguliiklust  ja ta toetab täielikult Internet Protocol 6 (IPv6) versiooni. Õieti on Windows 7-l 2 tulemüüri – Windows Firewall(WF) ja Windows Firewall with Advanced Security (WFAS),millised töötavad koos. Põhiline erinevus nende vahel on reeglite (rules) keerukuses. Kui WF kasutab reegleid, mis on seotud konkreetse programmi või teenusega, siis WFAS võimaldab keerukamaid reegleid, mis on seotud portide, protokollide, aadresside ja autentimisega.  
Windows 7 tulemüür , on kahepoolne tulemüür, mis kontrollib nii väljuvat('''outbond''') kui ka sissetulevat('''inbound''') võrguliiklust  ja ta toetab täielikult Internet Protocol 6 (IPv6) versiooni. Õieti on Windows 7-l kaks tulemüüri – Windows Firewall('''WF''') ja Windows Firewall with Advanced Security ('''WFAS'''),mis töötavad koos. Põhiline erinevus nende vahel on reeglite keerukuses. Kui WF kasutab reegleid, mis on seotud konkreetse programmi või teenusega, siis WFAS võimaldab keerukamaid reegleid, mis on seotud portide, protokollide, aadresside ja autentimisega.




Line 17: Line 14:
Kasutusel on 3 profiili:  
Kasutusel on 3 profiili:  
*Domain Networks
*Domain Networks
*Home või Work(privaatne) Networks  
*Home või Work (privaatsed) Networks  
*Public Networks.  
*Public Networks.  


Kui luua uus võrguühendus, ilmub ekraanile järgnev pilt:
Kui luua uus võrguühendus, ilmub ekraanile järgnev pilt:
Line 40: Line 38:




Kõikide eelnimetatud võrgutüüpide puhul blokeerib Windows 7 vaikimisi ühendused programmidele, mis ei ole lubatud (allowed) programmide loetelus. Kuid Windows 7 lubab  iga võrgu tüübi jaoks luua omaenda eraldi seadistused:
Kõikide eelnimetatud võrgutüüpide puhul blokeerib Windows 7 vaikimisi ühendused programmidele, mis ei ole lubatud ('''allowed''') programmide loetelus. Kuid Windows 7 lubab  iga võrgu tüübi jaoks luua omaenda eraldi seadistused:
 
WF põhilehe leiab Control Panel kaudu, kuid kiireim viis on  nii :
 
'''Start/ Search otsikasti sõna firewall/ ilmunud valikust Windows Firewall'''.


Kõige kiirem on seda teha nii :  Start/ Search otsikasti sõna firewall/ilmunud valikust Windows Firewall.
   
   
Avaneb Windows Tulemüüri põhileht:
Avaneb Windows Tulemüüri põhileht:
Line 54: Line 55:


Ja vasakult valikust  
Ja vasakult valikust  
=== Change notification Settings ===
=== Change notification Settings ===




Avaneb aken custom settings
Avaneb aken '''custom settings'''




Line 66: Line 68:


Kui valida  vasakult valikust  
Kui valida  vasakult valikust  
=== Allow a program or feature===
=== Allow a program or feature===
on võimalik määrata  millised programmid võivad teha sissetulevaid (incoming) või siis väljaminevaid (outgoing) ühendusi, ehk siin võib lisada või eemaldada programme, mida Windows Firewall ei hakka takistama nende võrkuminemise puhul ja ta ei hakka  ka kasutajat teavitama  kui need programmid ühendavad end Internetiga. Neid seadistusi saab kehtestada igale võrgu profiilile.
 
on võimalik määrata  millised programmid võivad teha sissetulevaid ('''incoming''') või siis väljaminevaid ('''outgoing''') ühendusi, ehk siin võib lisada või eemaldada programme, mida Windows Firewall ei hakka takistama nende võrkuminemise puhul ja ta ei hakka  ka kasutajat teavitama  kui need programmid ühendavad end Internetiga. Neid seadistusi saab kehtestada igale võrgu profiilile.




Line 74: Line 78:




Kui selles loetelus otsitav programm puudub, siis klikkides allpool nupule Allow another program...  avatakse järgmine aken, kus on võimalik vajalik programm nimekirja lisada.
Kui selles loetelus otsitav programm puudub, siis klikkides allpool nupule '''Allow another program...''' avatakse järgmine aken, kus on võimalik vajalik programm nimekirja lisada.


Valides
Valides


=== Change notification settings===
=== Change notification settings===
   
   
Saab muuta seda kuidas Windows Firewall  teateid edastab, samas võib need teavitamised ka välja lülitada.
Saab muuta seda kuidas Windows Firewall  teateid edastab, samas võib need teavitamised ka välja lülitada.
Line 90: Line 96:


See valik taastab algseaded
See valik taastab algseaded




== Windows Firewall with Advanced Security ==
== Windows Firewall with Advanced Security ==


Valides Advanced settings , avaneb WFAS põhileht:
Valides WF põhilehel vasakust valikust''' Advanced settings ''' , avaneb WFAS põhileht:




Line 110: Line 115:




Otse tee WFAS põhiaknale on '''START/ otsingureale – Firewall / Windows Fiewall with Advanced Security.'''Avaneb aken, kus on näha, milline võrguprofiil parajasti aktivne on.
Otse tee WFAS põhiaknale on  
 
'''START/ otsingureale – Firewall / Windows Fiewall with Advanced Security.'''
 
Avaneb aken, kus on näha, milline võrguprofiil parajasti aktivne on.




Line 116: Line 125:




Olles WFSA põhiaknal, tuleb klikkida reeglitüübil (inbound, outbond) ning seejärel New Rule.
Olles WFSA põhiaknal, tuleb klikkida reeglitüübil ('''inbound, outbond''') ning seejärel parempoolsest tulbast '''New Rule'''.




Line 128: Line 137:


[[File:reegel.JPG|500px]]
[[File:reegel.JPG|500px]]


===Connection Security Rules===
===Connection Security Rules===




On spets. tüüpi reeglid , mis reguleerivad autentitud ja krüpteeritud andmevoogude liiklust. Reeglite loomine on sarnane eelnevaga, ainult aktiivseks tuleb valida '''Connection Security Rules'''.  
on spets. tüüpi reeglid , mis reguleerivad autentitud ja krüpteeritud andmevoogude liiklust. Reeglite loomine on sarnane eelnevaga, ainult aktiivseks tuleb valida '''Connection Security Rules'''.  


Valides '''New Rule''', avanebki  abiaken.
Valides '''New Rule''', avanebki  abiaken.
Line 139: Line 149:


[[File:Turva.jpg|500px]]
[[File:Turva.jpg|500px]]




Line 146: Line 155:




Window 7 tulemüüri on võimalik seadistada ka  Command Promt aknas käsu''' Netsh''' abil.
Window 7 tulemüüri on võimalik seadistada ka  Command Promt aknas käsu [https://wiki.itcollege.ee/index.php/Netsh Netsh]abil.
 


Näiteks: Et luua reegel nimega WebServer Reegel,  mis domain profiilis lubab sissetuleva liikluse TCP pordis 80 on vaja sisestada järgmine käsk:
Näiteks: Et luua reegel nimega WebServer Reegel,  mis domain profiilis lubab sissetuleva liikluse TCP pordis 80 on vaja sisestada järgmine käsk:
Line 153: Line 161:


  netsh advfirewall firewall add rule name=”WebServerReegel” profile=domain protocol=TCP dir=in calport=80 action=allow
  netsh advfirewall firewall add rule name=”WebServerReegel” profile=domain protocol=TCP dir=in calport=80 action=allow
== Kasutatud allikad==
* http://windows.microsoft.com/et-EE/windows-vista/Understanding-Windows-Firewall-settings
* http://www.sevenforums.com/tutorials/522-windows-firewall-turn-off.html
* http://www.windowsecurity.com/articles/Whats-new-Windows-7-Firewall.html
* McLean, Ian, and Orin Thomas. MCTS Self-Paced Training Kit (Exam 70-680): Configuring Windows 7. Microsoft Press. © 2010.
== Autor==
Kaie Vares AK21
[[Category:Windows-tööjaamade haldamine]]
[[Category: Windows-tööjaamade haldamine 2012]]

Latest revision as of 15:46, 9 September 2013

Sissejuhatus

Tulemüür on turvavahend, mis võimaldab kontrollida sissetulevaid võrguühendusi. See ei asenda antiviirust, kuid võib pakkuda lisakaitset ussviiruste ja pahatahtlike võrguprogrammide eest. Tulemüüri tööpõhimõte seisneb teatud tüüpi potentsiaalselt kahjuliku võrguside blokeerimises .Tulemüüri käitumist reguleerivad reeglid (rules), mis kirjeldavad, millist võrguliiklust ja kuidas tohib läbi lasta.


Windows XP tulemüür ICF(Internet Connection Firewall) oli oma olemuselt lihtne, kaitstes sissetuleva võrguliikluse eest. Vaikimisi oli ta väljalülitatud. Service Pack 2 lülitas tulemüüri vaikimisi tööle ja andis administraatorile Group Policy kaudu tegutsemisruumi. Vista tulemüür oli ehitatud uuele platvormile WPF (Windows Filtering Platform) .

Windows 7 tulemüür , on kahepoolne tulemüür, mis kontrollib nii väljuvat(outbond) kui ka sissetulevat(inbound) võrguliiklust ja ta toetab täielikult Internet Protocol 6 (IPv6) versiooni. Õieti on Windows 7-l kaks tulemüüri – Windows Firewall(WF) ja Windows Firewall with Advanced Security (WFAS),mis töötavad koos. Põhiline erinevus nende vahel on reeglite keerukuses. Kui WF kasutab reegleid, mis on seotud konkreetse programmi või teenusega, siis WFAS võimaldab keerukamaid reegleid, mis on seotud portide, protokollide, aadresside ja autentimisega.


Windows Firewall

Network Location Awareness (NLA) abil loob Windows 7 võrguprofiili vastavalt võrguühenduse liigile. Kasutusel on 3 profiili:

  • Domain Networks
  • Home või Work (privaatsed) Networks
  • Public Networks.


Kui luua uus võrguühendus, ilmub ekraanile järgnev pilt:


Joonis 1


Kui valida Home network võrgutüübi, siis on võimalik soovi korral seada ülesse ka nn HomeGroup'i. Sel juhul lülitatakse võrguvaatlus automaatselt sisse ja on näha teisi arvuteid ning seadmeid, mis asuvad antud võrgus . Ühiselt saab kasutada ka seadmeid, näiteks nagu printereid.

Kui valida Work network võrguühenduse (väikefirma või mingi muu töökoha võrk), siis võrguvaatlus on küll vaikimisi sisse lülitatud kuid ei saa luua HomeGroup'i ega temaga ka ühineda.

Public network võrgutüüp sobib siis kui ühendada ennast avalikku WLAN võrku. Sel juhul lülitatakse võrguvaatlus välja .


Tulemüüri seadistus

Kõikide eelnimetatud võrgutüüpide puhul blokeerib Windows 7 vaikimisi ühendused programmidele, mis ei ole lubatud (allowed) programmide loetelus. Kuid Windows 7 lubab iga võrgu tüübi jaoks luua omaenda eraldi seadistused:

WF põhilehe leiab Control Panel kaudu, kuid kiireim viis on nii :

Start/ Search otsikasti sõna firewall/ ilmunud valikust Windows Firewall.


Avaneb Windows Tulemüüri põhileht:




Ja vasakult valikust

Change notification Settings

Avaneb aken custom settings



Kui valida vasakult valikust

Allow a program or feature

on võimalik määrata millised programmid võivad teha sissetulevaid (incoming) või siis väljaminevaid (outgoing) ühendusi, ehk siin võib lisada või eemaldada programme, mida Windows Firewall ei hakka takistama nende võrkuminemise puhul ja ta ei hakka ka kasutajat teavitama kui need programmid ühendavad end Internetiga. Neid seadistusi saab kehtestada igale võrgu profiilile.



Kui selles loetelus otsitav programm puudub, siis klikkides allpool nupule Allow another program... avatakse järgmine aken, kus on võimalik vajalik programm nimekirja lisada.

Valides


Change notification settings

Saab muuta seda kuidas Windows Firewall teateid edastab, samas võib need teavitamised ka välja lülitada.


Turn Windows Firewall on or off

Ei ole soovitav lülitada tulemüüri välja isegi siis kui kasutada mingit kolmandate firmade tulemüüri.

Restore default

See valik taastab algseaded


Windows Firewall with Advanced Security

Valides WF põhilehel vasakust valikust Advanced settings , avaneb WFAS põhileht:



WFAS Lubab luua keerukamaid spetsiifilisi reegleid. On võimalik

  • Luua reegleid sisenevatele ja väljuvatele andmevoogudele eraldi
  • Luua reegleid, mis põhinevda protokolli tüübil ja pordi aadressil
  • Luua reegleid, mis põhinevad aadress-spetsiifilistel teenustel või siis võrguliikluse lähte- või sihtkoha aadressil.
  • Luua reegleid, mis lubavad ainult autentitud liiklust
  • Luua reegleid turvaliseks ühenduseks.


Otse tee WFAS põhiaknale on

START/ otsingureale – Firewall / Windows Fiewall with Advanced Security.

Avaneb aken, kus on näha, milline võrguprofiil parajasti aktivne on.


Uute reeglite loomine

Olles WFSA põhiaknal, tuleb klikkida reeglitüübil (inbound, outbond) ning seejärel parempoolsest tulbast New Rule.



Avanevas aknas on võimalik juhendeid jälgides koostada omale vajaliku sisuga reeglid.



Connection Security Rules

on spets. tüüpi reeglid , mis reguleerivad autentitud ja krüpteeritud andmevoogude liiklust. Reeglite loomine on sarnane eelnevaga, ainult aktiivseks tuleb valida Connection Security Rules.

Valides New Rule, avanebki abiaken.



Netsh

Window 7 tulemüüri on võimalik seadistada ka Command Promt aknas käsu Netshabil.

Näiteks: Et luua reegel nimega WebServer Reegel, mis domain profiilis lubab sissetuleva liikluse TCP pordis 80 on vaja sisestada järgmine käsk:


netsh advfirewall firewall add rule name=”WebServerReegel” profile=domain protocol=TCP dir=in calport=80 action=allow

Kasutatud allikad

Autor

Kaie Vares AK21