Windows - Beépített tűzfal - Internet Connection Firewall (ICF)

Windows XP újdonságai 1. rész

Most induló sorozatunkban azt járjuk körül, hogy milyen újdonságokat hoz a következő generációs operációs rendszer, a Windows XP. Első cikkünkben a beépített tűzfal szoftverről lesz szó. A Microsoft szerint az XP sorozat egy hatalmas ugrást jelent az eddigi Windows operációs rendszerek sorában. Ötvözve a Win 9x hardver és szoftver kompatibilitási előnyeit a Win2K stabilitásával, mindehhez hozzáadva egy jó adag újdonságot - rövid használat után így lehetne jellemezni a XP-t. Az új kezelőfelület a legfeltűnőbb, de mi inkább a háttérre vagyunk kíváncsiak. Milyen újdonságot tud nyújtani a hálózatkezelésben?
Például, hogy található benne egy tűzfal szoftver, Internet Connection Firewall (ICF) néven.
A tűzfalak előnyeiről felesleges beszélnünk, ma már az átlagos irodai hálózatok is használnak tűzfal szoftvereket a saját védelmük érdekében. Az XP is tartalmaz egyet az operációs rendszerbe építve. A helyi és a telefonos kapcsolatokra is be lehet állítani. Engedélyezéséhez kattintsunk a Control Panel > Network and Internet Connections > Network Connections ikonra, válasszuk ki azt a kapcsolatot, amelyiken engedélyezni szeretnénk a használatát (célszerűen az Internet csatlakozást megvalósítóra), kattintsunk rá a jobb egérgombbal, válasszuk ki a "Properties" menüpontot majd az "Advanced" fület. Az "Internet Connection Firewall" beállításnál jelöljük be a "Protect my computer and network by limiting or preventing access to this computer from the Internet" előtti jelölőnégyzetet, majd kattintsunk az "OK" gombra. Kikapcsolása ugyanígy történik.

A tűzfal használata szorosan összefügg az Internet kapcsolat megosztásával. Ezt az "Internet Connection Sharing" csoportban állítható be. Ha nem vagyunk biztosak benne, hogy mely beállításokat alkalmazzuk, akkor kattintsunk a "Home Networking Wizard" linkre és egy varázsló végigvezet minket a szükséges lépéseken. A kapcsolatmegosztást kézzel - varázsló nélkül - az "Allow other network users to connect through this computer's Internet connection" jelölőnégyzettel tudjuk engedélyezni.
Az ICF VPN kapcsolatok alatt nem használható, mert ellentmondást jelent a szolgáltatás megosztása több gép számára (tűzfal) és két gép közötti biztonságos kapcsolat (VPN).
Az ICF úgy biztosítja a védelmet, hogy a belső hálózatról az Internet felé menő kéréseket egy táblázatba helyezi és utána továbbítja a címzett felé. Ha valamelyik kérésre megérkezik a válasz, a válaszcímet kikeresi a táblázatból és továbbítja a belső hálózatra. Amikor egy kéretlen csomag érkezik, amihez nem tartozik belső gép a táblázatban, a csomag el lesz utasítva, nem fogja egyik gép sem megkapni. Az ICF, az Outlook, Exchange és más programok képesek együttműködni.

A védelmi rendszer működését a "Settings" gombra kattintva lehet finomhangolni:

A "Programs" oldalon azokat az alkalmazásokat vegyük fel a listába, amelyeket Interneten keresztül meg akarunk osztani másokkal. Így engedélyezzük az adott program számára a tűzfalon keresztüli kommunikációt. Például ha az Interneten keresztül akarunk játszani hálózatban, akkor az adott játékot fel kell venni a listába. A "Services" oldalon ugyanígy a belső hálózatban levő szolgáltatások Internet felőli elérését engedélyezhetjük. Például ha működtetünk egy levélküldő kiszolgálót és ennek a használatát kívülről is biztosítani akarjuk, akkor jelöljük meg az "Internet Mail Server (SMTP)" sor előtti négyzetet.

A "Security Logging" fülön a "Logging Options" mezőben engedélyezhetjük a sikertelen bejövő próbálkozások naplózását ("Log unsuccessful inbound connection attempts") és a sikeres kimenő kapcsolatok naplózását ("Log successful outbound connections"). A "Log file options" "Name" mezőjében adhatjuk meg a naplófájl helyét (alapértelmezés: %systemroot%\pfirewall.log), a "Size limit" mezőben pedig a maximális méretét kilobájtban. Ezzel pontos képet nyerhetünk, hogy ki mikor használta az Internetet és mikor milyen lehetséges támadási kísérletek történtek.

Az "ICMP" oldalon az Internet Control Message Protocol (ICMP) kommunikációra adandó válaszokat tudjuk engedélyezni illetve tiltani. Az ICMP protokollt a magasabb szintű protokollok (pl.: IP) használják helyzetjelentések továbbítására. Ilyen például az útválasztók közötti kommunikáció sebessége stb. Az ICF alapértelmezésben úgy van konfigurálva, hogy az ICMP kéréseket utasítsa el. Ha valamelyik kérést mégis szeretnénk engedélyezni, kapcsoljuk be az előtte lévő jelölőnégyzetet. Például, ha engedélyezni akarjuk az útválasztók kéréseire a válaszadást, akkor jelöljük meg az "Allow incoming router request" sor előtti négyzetet.


Windows XP újdonságai cikksorozat