Описание брандмауэра подключения к Интернету в Windows XP

Переводы статьи Переводы статьи
Код статьи: 320855 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье представлено описание брандмауэра подключения к Интернету, включенного в операционную систему Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, пакет обновлений 1 (SP1) для Windows XP Home Edition и пакет обновлений 1 (SP1) для Windows XP Professional. В данной статье не описывается брандмауэр, включенный в пакет обновлений 2 для Windows XP.

Дополнительная информация

Описание брандмауэра подключения к Интернету

Брандмауэр подключения к Интернету представляет собой приложение, используемое для задания ограничений на данные, которыми обмениваются домашняя или корпоративная сеть с Интернетом.

Если для предоставления доступа к Интернету нескольким компьютерам в локальной сети используется общий доступ к подключению Интернета, рекомендуется включить брандмауэр подключения к Интернету на компьютере, через который осуществляется общий доступ к подключению Интернета. Однако можно включить общий доступ к подключению Интернета и брандмауэр подключения к Интернету отдельно. Рекомендуется включить брандмауэр подключения к Интернету на каждом подключенном напрямую к Интернету компьютере, на котором установлена операционная система Windows XP.

Брандмауэр подключения к Интернету можно также использовать для защиты отдельного подключенного к Интернету компьютера. При наличии отдельного компьютера, подключенного к Интернету посредством высокоскоростного модема, DSL-модема или обычного модема, брандмауэр подключения к Интернету обеспечивает безопасность подключения. Брандмауэр подключения к Интернету не следует включать для виртуальной частной сети, поскольку он мешает совместному использованию файлов и другим функциям виртуальной частной сети.

Работа брандмауэра подключения к Интернету

Брандмауэр подключения к Интернету относится к брандмауэрам, отслеживающим состояние связи. Такой брандмауэр отслеживает различные характеристики проходящих через него данных и проверяет адреса источника и назначения для всех сообщений. Чтобы предотвратить передачу нежелательных сообщений из общей точки подключения в частную точку, в брандмауэре подключения к Интернету хранится таблица всех подключений, инициализированных компьютером, на котором включен брандмауэр подключения к Интернету. Для отдельного компьютера брандмауэром подключения к Интернету отслеживается трафик, инициализированный данным компьютером. Если брандмауэр подключения к Интернету используется совместно с общим доступом к подключению Интернета, то брандмауэром отслеживается весь трафик, инициализированный компьютером, на котором включен брандмауэр подключения к Интернету и общий доступ к подключению Интернета, а также отслеживается весь трафик, инициализированный компьютерами частной сети. Брандмауэр подключения к Интернету выполняет сравнение всего входящего трафика Интернета с записями таблицы. Компьютерам сети предоставляется доступ к входящему трафику Интернета, только если имеется совпадающая запись таблицы, показывающая, что начался обмен данными между компьютером и частной сетью.

Трафик, поступающий от источника вне компьютера, на котором включен брандмауэр подключения к Интернету, например из Интернета, блокируется брандмауэром, если на вкладке Службы не была создана запись, разрешающая передачу данных. Брандмауэр подключения к Интернету прерывает нежелательные подключения, не отправляя уведомлений о своих действиях. Это позволяет защититься от таких распространенных атак, как сканирование портов. Такие уведомления могут отправляться достаточно часто и мешать работе пользователей. С помощью брандмауэра подключения к Интернету можно создать журнал безопасности, позволяющий следить за работой брандмауэра.

Можно настроить службы таким образом, чтобы нежелательный трафик Интернета перенаправлялся компьютером, на котором включен брандмауэр подключения к Интернету, в частную сеть. Например, при размещении данных на службе веб-сервера HTTP и при запуске службы HTTP на компьютере, нежелательный трафик HTTP перенаправляется компьютером, на котором включен брандмауэр подключения к Интернету, на веб-сервер HTTP. Для брандмауэра подключения к Интернету требуются оперативные данные (также называемые определением службы), чтобы разрешить перенаправление нежелательного трафика Интернета на веб-сервер в частной сети.

Характеристики брандмауэра подключения к Интернету

Не рекомендуется включать брандмауэр подключения к Интернету на подключениях, не являющихся прямыми подключениями к Интернету. Если брандмауэр подключения к Интернету включен для сетевого адаптера клиентского компьютера, на котором имеется общий доступ к подключению Интернета, брандмауэр подключения к Интернету будет мешать некоторым подключениям данного компьютера к остальным компьютерам сети. Аналогично, нельзя использовать мастер настройки сети для включения брандмауэра подключения к Интернету для частного подключения к общему доступу к подключению Интернета. С помощью этого подключения осуществляется соединение узлового компьютера общего доступа к подключению Интернета с клиентскими компьютерами. При включении брандмауэра из данного расположения будут отключены сетевые подключения.

Если в сети уже имеется брандмауэр или прокси-сервер, брандмауэр подключения к Интернету использовать не требуется.

Если в сети имеется только общий доступ к подключению к Интернету, для защиты сети рекомендуется включить брандмауэр подключения к Интернету. Отдельные клиентские компьютеры могут также быть оснащены адаптерами, такими как обычный модем или DSL-модем, предоставляющими отдельные подключения к Интернету. Без защиты посредством брандмауэра такие подключения являются уязвимыми. С помощью брандмауэра подключения к Интернету выполняется проверка только тех каналов обмена данными, которые пересекают подключение к Интернету в месте включения. Поскольку брандмауэр подключения к Интернету работает для каждого подключения отдельно, для защиты всей сети его необходимо включить на всех компьютерах, у которых имеется подключение к Интернету. Если брандмауэр подключения к Интернету включен на узловом компьютере с общим доступом к подключению Интернета, а на клиентском компьютере с прямым доступом к Интернету брандмауэр подключения к Интернету не используется, то сеть становится уязвимой.

Определение службы, позволяющее службе работать через брандмауэр подключения к Интернету, также работает отдельно с каждым подключением. Если в сети имеется несколько подключений брандмауэра, необходимо настроить определения службы для каждого подключения посредством брандмауэра подключения к Интернету, с которыми должна работать служба.


Брандмауэр подключения к Интернету и уведомления

Поскольку брандмауэр подключения к Интернету проверяет все входящие данные, при его включении поведение некоторых программ, особенно программ работы с электронной почтой, может измениться. Некоторые программы работы с электронной почтой периодически проверяют сервер электронной почты на наличие новых сообщений. Некоторые программы работы с электронной почтой ожидают уведомления от сервера.

Например, в Microsoft Outlook Express выполняется автоматическая проверка на наличие новых сообщений электронной почты в соответствии с таймером. При наличии новых сообщений электронной почты программой Outlook Express отображается уведомление. Брандмауэр подключения к Интернету не влияет на поведение приложения Outlook Express, поскольку запрос на новое сообщение электронной почты инициализируется внутри брандмауэра. Брандмауэром подключения к Интернету добавляется запись в таблицу, указывающая на исходящую передачу данных. При подтверждении почтовым сервером нового ответа на сообщение электронной почты в брандмауэре подключения к Интернету выполняется поиск соответствующей записи в таблице и разрешается передача данных. Затем будет получено уведомление о том, что сообщение доставлено.

Microsoft Outlook 2000 связан с сервером Microsoft Exchange, в котором для отправки уведомления о сообщении электронной почты используется удаленный вызов процедуры. При подключении к серверу Exchange в Outlook 2000 автоматический поиск новых сообщений электронной почты не выполняется. Сервером Exchange отправляется уведомление Outlook 2000 о получении нового сообщения. Поскольку уведомление посредством удаленного вызова процедуры инициализируется сервером Exchange, находящимся за пределами брандмауэра (а не Outlook 2000), брандмауэру подключения к Интернету не удается найти соответствующую запись в таблице. Брандмауэр подключения к Интернету не допускает попадание сообщений удаленного вызова процедуры в локальную сеть из Интернета. Уведомление удаленного вызова процедуры будет удалено. Можно отправлять и получать сообщения электронной почты, но поиск новых сообщений приходится выполнять вручную.


Дополнительные параметры брандмауэра подключения к Интернету

С помощью функции ведения журнала безопасности брандмауэра подключения к Интернету можно создать этот журнал и наблюдать за действиями брандмауэра. Брандмауэр подключения к Интернету может записывать и разрешенный, и отклоненный трафик. Например, по умолчанию входящие эхо-запросы из Интернета не разрешены брандмауэром подключения к Интернету. Если параметр Разрешить входящий запрос эха протокола Internet Control Message Protocol (ICMP) не включен, входящий запрос не получает ответа и создается запись журнала, показывающая, что не удалось принять входящий запрос.

Реакцию брандмауэра подключения к Интернету можно изменять, варьируя такие параметры протокола ICMP, как Разрешить входящий запрос эха, Разрешить входящий запрос штампа времени, Разрешить входящий запрос маршрутизатора и Разрешить перенаправление. Краткое описание этих параметров приведено на вкладке ICMP.

Можно задать допустимый размер журнала безопасности, чтобы предотвратить переполнение, вызванное отказом в обслуживании. Журнал событий имеет расширенный формат файлов журнала, в соответствии с требованиями консорциума W3C (World Wide Web Consortium).

Ссылки

Дополнительные сведения о включении и отключении брандмауэра подключения к Интернету см. на веб-узле корпорации Майкрософт:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx
Дополнительные сведения о включении и выключении брандмауэра подключения к Интернету см. в следующей статье базы знаний Майкрософт:
283673 Включение и отключение брандмауэра подключения к Интернету в Windows XP
Дополнительные сведения о способе предотвращения доступа к файлам и совместно используемым принтерам посредством брандмауэра подключения к Интернету см. в следующей статье базы знаний Майкрософт:
298804 При использовании брандмауэра невозможно просмотреть список ресурсов в сети и подключиться к общим ресурсам
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
306203 Брандмауэр подключения к Интернету не блокирует трафик протокола IPv6
Дополнительные сведения о файле журнала безопасности брандмауэра подключения к Интернету см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
Дополнительные сведения об определениях службы см. на веб-узлах корпорации Майкрософт по следующим адресам:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
Дополнительные сведения о протоколе ICMP см. на веб-узлах корпорации Майкрософт по следующим адресам:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
Дополнительные сведения о брандмауэре Windows, включенном в Windows XP SP2, см. на веб-узлах корпорации Майкрософт по следующим адресам:
http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx

Свойства

Код статьи: 320855 - Последний отзыв: 24 февраля 2006 г. - Revision: 5.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Ключевые слова: 
kbinfo kbfirewall kbenv KB320855

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com