Организация IP брандмауэра встроенными средствами Windows 2000 и XP - Настройка брандмауэра. Часть 2

ОГЛАВЛЕНИЕ

 


Здесь указывается, для какого соединения будет действовать правило. Если внутренняя сеть у вас имеет "левые" IP адреса, то можете сильно не мучаться и указать "All network connections", мы обеспечим доступ с внутренней сети отдельной строкой. Если выделенка у вас подключена через удаленный доступ, то можете выбрать "Remote Access", но опять же, если у вас есть несколько модемов для доступа клиентов сети к серверу по телефону, то это правило будет действовать и на них, что не всегда полезно. Так что указывайте "All network connections" и не мучайтесь.


Здесь все оставляем по умолчанию.


Первое что мы должны сделать – запретить все для всех. Поэтому нажимаем клавишу Add – будем добавлять фильтр. Запустится опять же мастер добавления фильтра (то же самое вы можете сделать через строчку "Manage IP filters list", нажав правую клавишу мыши на "IP security policies..." в окне "Local security settings").


Называем фильтр "Deny Filter List" и нажимаем клавишу "Add". Вновь запускается мастер (они вам еще не надоели?).


Здесь указывается источник пакета. Поскольку мы хотим запретить пакеты от всех источников, то указываем "Any IP address".


Здесь указывается адрес получателя пакета. Опять же, мы хотим запретить пакеты от всех IP источников для нашего компьютера, поэтому указываем "My IP address".


Мы запрещаем все протоколы – выбираем "Any".


Готово – появился новый фильтр. Прекрасно, теперь нажимаем клавишу "Ok".


Появился новый список фильтров. Нажимаем "Next".


Выбираем действие – "Deny".


В политике появилось новое правило – запрещение всего от всех и для всех. Теперь будем разрешать. Это, пожалуй, самая трудоемкая задача.

Первоначально следует разрешить ICMP трафик от всех пользователей на нашу машину. Для этого выполним ту же операцию "Add" в окне политики, только теперь мы воспользуемся готовым списком фильтров "All ICMP traffic".


Данный фильтр разрешает ICMP пакеты с любого IP адреса на наш компьютер.


Естественно, что действие теперь будет "Permit".


В свойствах политики добавилась еще одна строчка.

Теперь у нас не будет работать ничего, кроме ICMP протокола. Сейчас нам осталось выделить те службы, которые нам нужны, и прописать для них доступ. Лучше всего создать еще один список фильтров (к примеру, "Internet services"), добавить в него несколько строчек фильтров и право "permit". Ниже я дам строчки для самых распространенных служб, но в вашем индивидуальном случае все может быть по-другому. Следует отметить, что по умолчанию каждая служба добавляется зеркально – то есть если мы разрешаем связь от нашего компьютера к любым веб-серверам (порт 80), то будет реализовываться и обратная связь для передачи ответа веб-сервера.