Читаем Windows Vista. Для профессионалов полностью

Вкладки Профиль домена, Частный профиль и Общий профиль имеют одни и те же возможности настройки, но настраивают, соответственно, работу доменного, частного и публичного профиля работы брандмауэра. Данные вкладки имеют следующие поля.

• Состояние – с помощью данного поля можно включить или отключить работу брандмауэра для данного типа сетевых подключений (раскрывающийся список Состояние брандмауэра), а также можно настроить действие по умолчанию для входящих и исходящих подключений (разрешены или не разрешены данные подключения).

• Параметры – если вы нажмете кнопку Настроить, то сможете настроить дополнительные параметры работы брандмауэра, указанные в следующих раскрывающихся списках:

– Вывести уведомление – определяет, будет ли отображаться сообщение о том, что входящее подключение было заблокировано;

– Разрешить одноадресный ответ – указывает, разрешено ли отвечать направленными сообщениями на групповые и широковещательные сообщения;

– Правила локального брандмауэра – определяет, разрешено ли применять правила стандартного брандмауэра данного компьютера;

– Правила безопасности локальных подкл. – указывает, разрешено ли применять правила сетевых подключений данного компьютера.

• Ведение журнала – если вы нажмете кнопку Настроить, то сможете настроить такие параметры ведения файла журнала, как путь к нему, максимальный размер файла, а также указать, будут ли в нем регистрироваться успешно установленные сетевые соединения и потерянные пакеты.

Это окно также содержит вкладку Параметры IPSec, на которой расположена кнопка Настроить и раскрывающийся список Исключить ICMP из IPSec. С помощью списка можно определить, будут ли пакеты протокола ICMP исключаться из трафика IPSec.

Если вы нажмете кнопку Настроить, то отобразится окно Выбор параметров IPSec, позволяющее настроить следующие параметры работы протокола IPSec.

• Обмен ключами (основной режим) – дает возможность изменить алгоритм шифрования, используемый при обмене ключами, алгоритм шифрования и проверки целостности передаваемых пакетов, а также время жизни ключа (как на основе количества прошедшего времени, так и на основе количества созданных сессий).

По умолчанию используется проверка целостности пакетов на основе алгоритма SHA1, но можно также использовать алгоритм MD5.

Используется шифрование пакетов с помощью алгоритма AES-128, но можно также использовать такие алгоритмы, как AES-256, AES-l92, 3DES, DES (AES-256 обеспечивает самое надежное шифрование, a DES – самое ненадежное, но быстрое).

По умолчанию используется шифрование ключей с помощью алгоритма Диффи-Хелмана второй группы. Можно также использовать такие разновидности алгоритма Диффи-Хелмана, как алгоритм первой группы, четырнадцатой, а также алгоритм эллиптической кривой Р-256 или Р-384. Алгоритм первой группы обеспечивает наименьшую защиту ключа. Алгоритмы на основе эллиптической кривой обеспечивают самое надежное шифрование, однако они поддерживаются только операционной системой Windows Vista.

• Защита данных (быстрый режим) – также позволяет изменить алгоритмы, используемые для шифрования и проверки целостности пакетов. Кроме того, с помощью данного поля можно определить, какой протокол и в какой последовательности будет использоваться при подключении по протоколу IPSec (ESP (использует как проверку целостности пакетов, так и шифрование) или АН (использует только проверку целостности пакетов)).

• Метод проверки подлинности – дает возможность изменить способ аутентификации пользователей при создании соединения на основе протокола IPSec. При этом можно указать следующие методы аутентификации:

– аутентификация компьютера и пользователя на основе протокола Кеrberos;

– аутентификация компьютера на основе протокола Kerberos;

– аутентификация пользователя на основе протокола Kerberos;

– использование сертификата пользователя для аутентификации;

– использование пароля.

Обратите также внимание на команду Восстановить значения по умолчанию контекстного меню оснастки. С ее помощью можно изменить все настройки брандмауэра на стандартные, если созданные настройки не удовлетворяют вашим требованиям. Стандартные настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\ Firewall Pol icy. Текущие же параметры настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy. Эти ветви реестра содержат одинаковые подразделы.

• DomainProfile, PublicProfile и StandardProfile – хранят настройки данного профиля брандмауэра. Например, в них содержатся такие параметры типа REG_DWORD, как EnableFirewall и DisableNotification. Кроме того, эти подразделы могут содержать дочерний подраздел Logging, хранящий настройки ведения файла журнала.

• FirewallRules – содержит параметры строкового типа, каждый из которых определяет одно правило для брандмауэра.