Описание работы брандмауэра Windows
Брандмауэр Windows – это брандмауэр для входящего трафика, регистрирующий состояние связи. В отличие от сетевых экранов на основе маршрутизаторов, устанавливаемых между закрытыми сетями и Интернетом, брандмауэр Windows работает в качестве узлового брандмауэра, т. е. обрабатывает только трафик, направленный на IP-адрес данного компьютера.
Работа брандмауэра основана на выполнении следующей операции:
- Входящий пакет проверяется и сопоставляется со списком разрешенного трафика. Если пакет соответствует одному из пунктов в списке, брандмауэр Windows разрешает прохождение этого пакета для дальнейшей обработки по протоколу TCP/IP. В случае несоответствия пакета записям в перечне разрешений, брандмауэр Windows без уведомления пользователя отбрасывает данный пакет, и, если включена регистрация данного типа событий, создает запись в файле журнала брандмауэра Windows.
Трафик в списке исключений определяется с помощью указания IP-адресов, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.
Список разрешенного трафика наполняется двумя путями:
- При прохождении исходящего пакета через подключение, защищенное брандмауэром Windows, создается запись, разрешающая ответ на данный пакет. Ответный трафик является запрашиваемым входящим трафиком.
Например, если на DNS-сервер посылается запрос на сопоставление имени (Name Query Request), брандмауэр Windows создает запись о том, что соответствующее сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для дальнейшей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компьютером, так что соответствующий ответный входящий трафик разрешается.
- Исключения для трафика, задаваемые брандмауэру Windows, заносятся в список. Наличие этой возможности позволяет компьютеру, работающему в качестве сервера, приемника или равноправного узла сети и использующему брандмауэр Windows, принимать незапрашиваемый трафик.
Например, если компьютер выступает в роли веб-сервера, Вам следует настроить брандмауэр Windows на исключение из фильтрации веб-трафика, чтобы компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в этом случае порты, открываемые указанной программой, автоматически будут добавляться в список исключений), так и для TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы или нет).