Windows 7 ja turvalisus - II. osa. Tulemüür

Seitse...Windows 7 turvalisus - II. osa

Windows 7 tulemüür (Windows Firewall)

 

 


Win 7 tulemüür:


Enne arvuti Internetti ühendamist tuleks installeerida või siis aktiveerida Win7 omaenda olemasolev tulemüür. Õnneks me ei peagi tema aktiveerimisega vaeva nägema, sest ta lülitatakse automaatselt sisse juba Win 7 installeerimise käigus ja kui Sa ostad poest kompuutri, milles on Win7 juba olemas, siis on ka temas see tulemüür juba sisse lülitatud.
Tulemüür on tarkvaraprogramm (software) või siis riistvara (eriseade/ruuter), mis kaitseb arvutit häkkerite ning paljude uss- ja muude viiruste eest. Tulemüüri tööpõhimõte seisneb teatud tüüpi potentsiaalselt kahjuliku võrguside blokeerimises. Seega võib teda kasutada selleks, et tsenseerida/piirata informatsiooni mida vahetatakse Sinu kodu või väikefirma võrgu või siis Sinu üksiku (iseseisva) kompuutri ja Interneti vahel.
Tulemüür isoleerib Sinu kompuutri Internetist ja ta teeb seda “koodide müüri” abil, mis kontrollib igat individuaalset “andmepaketti”, mis saabub tulemüüri mõlemalt poolelt—Sinu kompuutri seest või siis väljastpoolt (Internetist)—määrates seejärel, et kas need paketid tuleb lasta läbi või siis hoopis blokeerida nad.


Märkus: Windows Vista sisaldas omaenda tulemüüri kahte versiooni:
Windows 7-s on tema tulemüüri vaikimisi seadistused järgmised:

1) Sissetuleva võrguliikluse puhul KÕIK elemendid, milledele ei ole Sinu poolt kehtestatud eraldi reegleid, on BLOKEERITUD.

2) Väljaminevate andmevoogude puhul KÕIK elemendid, milledele ei ole Sinu poolt kehtestatud eraldi reegleid, on LUBATUD.

See tähendab näiteks seda et kui mingi pahavaraprogramm tahab andmeid välja saata, siis lubatakse tal seda ka teha... Seega Sa võiksid soovi korral seadistada oma tulemüüri nii et ta blokeeriks ka KOGU VÄLJAMINEVA võrguliikluse (v. a. need Win 7 enda programmid, milledele on seda vaja või need legaalsed programmid, mis Sa olid ise installeerinud ja mis vajavad Internetiühendust, näiteks mingi Torrent kliendiprogramm)—seda tee ikka siis kui Sa seda oskad ja sellest tuleb lõpupoole ka juttu (seal).
Seda saad Sa teha ainult administraatori õigustes ja Win 7 tulemüüri täiendatud seadistuste kaudu (Windows Firewall akna vasemas paanis asuva Advanced settings lingi kaudu).

Selles osas ei erine Win 7 tulemüür Vista omast, aga nüüd saab nendele täiendatud seadistustele märksa lihtsamalt ligi, peale selle, juhul kui Sa tegid midagi valesti, siis saab väga lihtsalt taastada tulemüüri vaikimisi (esialgsed) seadistused. Loomulikult on Windows 7 tulemüüri tublisti ka muus osas täiendatud ja ta on märksa parem kui oli seda Vista oma.

Märkus: Kuidas tulemüür kontrollib sissetulevat võrguliiklust?

Suurem osa tulemüüre töötavad vähemalt osaliselt andmepakettide filtreerimise põhimõttel—nad kas blokeerivad või lubavad andmepakettide liikumise sõltuvalt iga paketi sisust, mis saabub tulemüürini. Pakettide filter analüüsib iga paketi erinevaid atribuute ja seejärel suunab paketi sihtkompuutrisse või siis blokeerib selle ning see edasisaatmine või blokeerimine sõltub pakettide atribuutide analüüsi tulemustest. Nendeks atribuutideks on: lähteaadress (selle kompuutri IP aadress, mis selle paketi genereeris); sihtaadress (selle kompuutri IP aadress, mille jaoks see andmepakett oli ette nähtud, st kuhu ta pidi jõudma); võrguprotokoll ((võrguliikluse tüüp, näiteks nagu Internet Protocol (IP)); transpordiprotokoll ('Transport protocol' - kõrgema taseme protokoll, näiteks nagu TCP või UDP); lähte- ja sihtpordid.
Näide sellest et kuidas tulemüüri pakettide filtreerimine töötab sissetuleva ja lubatud "hea" andmepaki puhul:


- Sa avad oma brauseri ja tipid tema aadressiribale mingi Internetiaadressi (URL).
- Brauser saadab ühe või mitu andmepaketti veebiserverisse. Sihtpordiks on port 80, mis on HTTP veebiserverite standardseks pordiks ja andmete väljasaatmise lähtepordiks on Sinu kompuutri mingi port (selle pordi numbriks võib olla suvaline arv, mis on 1024 ja 65535 vahel).
- Tulemüür salvestab antud ühenduse kohta käiva info oma vastavasse tabelisse, mida kasutatakse hiljem siis kui hakatakse kontrollima saabuvat võrguliiklust.
- Pärast seda kui Sinu kompuuter ja veebiserver lõpetavad oma töö, et avada TCP ünendus, saadab veebiserver vastuse (selle veebilehe sisu, mida Sa soovisid vaadata) ning see vastus saabub Sinu kompuutri IP -ja lähtepordi aadressile.
- Tulemüür võtab selle saabuva andmevoo vastu ja kontrollib tema lähte ning sihtaadresse ja porte selle infoga, mis oli eelnevalt sinna tabelisse salvestatud. Juhul kui see info langeb tabelis oleva infoga kokku, siis lastakse see andmevoog Sinu brauserist läbi. Juhul kui andmed ei lange kokku, siis need paketid eemaldatakse.

- Sinu brauser kuvab saabunud ja Sinu poolt eelnevalt nõutud info.


Märkus: Mis vahe on TCP ja UDP protokollidel? (Ja ka uuest QUIC protokollist.)

Mõlemad TCP ja UDP on protokollid, mida kasutatakse andmeühikute (andmepakettide) edasisaatmiseks üle Interneti. Mõlemad on kõrgema taseme protokollid (st ehitatud Interneti protokolli peale). Ehk siis olenemata sellest et kas Sa saadad paketi TCP või UDP kaudu, saadetakse pakett ikkagi vastavale IP aadressile. Neid pakette töödeldakse ühtemoodi, nad saadetakse Sinu kompuutrist üle ruuteri ja/või modemi sihtpunkti. TCP ja UDP ei ole ainsad protokollid, aga nad on kõige levinumad. Üsna laialdaselt kasutatav termin "TCP/IP" viitab TCP üle IP. UDP üle IP viitab aga "UDP/IP" terminile.

* TCP (Transmission Control Protocol): See on kõige enim kasutatav protokoll Internetis. Näiteks kui Sa tahad vaadata mingit veebsaiti ja avad selle, siis saadab Sinu kompuuter TCP paketid veebiserveri aadressile paludes saata antud veebsait Sinu brauserisse. Seejärel vastab veebiserver saates Sulle TCP pakettide voo, mis "liidetakse kokku" ja selle tulemusel näedki enda poolt avatud veebsaiti. Kui Sa klikid seal veebsaidis kusagile, siis saadab Sinu brauser TCP paketid ja server saadab paketid tagasi (pilt). See ei ole ainsaks kommunikatsiooniteeks, näiteks eemalasuv süsteem saadab paketid tagasi teatades Sulle, et ta sai Sinu poolt saadetud paketid kätte.
TCP protokoll garanteerib selle et saaja saab kõik paketid kätte vastavalt nende õigele järjekorrale. Saaja saadab sõnumid tagasi saatjale kinnitades, et ta sai sõnumid kätte. Juhul kui saatja ei saa korrektset vastust, siis saadab ta need paketid uuesti, et veenduda selles et saaja sai ikka kõik ilusti kätte. Pakette kontrollitakse ka vigade suhtes ja seega ei lähe saadetud paketid kaduma ega rikuta neid ka saatmise käigus.

* UDP (User Datagram Protocol): Datagramm on sama asi mis ka informatsioonipakett (st andmepakett). UDP protokoll töötab sarnaselt TCP omaga, aga siin ei tehta ühtegi vigade kontrollimist - see kõik on välja lülitatud. Ühesõnaga andmepakettide edastamine toimub nüüd palju kiiremini. UDP protokolliga saadetakse paketid kohe saajale. Saatja ei oota saajalt vastust selle kohta, et kas too ikka sai kõik paketid kätte vaid ta jätkab kohe järgmiste pakettide teele saatmisega. Kui Sa oled pakettide saaja ja kui Sa ei saanud mingit paketti kätte, siis on see halb - Sa ei saa küsida neid pakette uuesti.
UDP protokolli kasutatakse siis kui internetikiirus on väga kehva ja kui vigade kontroll EI OLE vajalik. UDP protokolli kasutatakse näiteks otseülekannete (või video / filmide reaalajas vaatamise) ja onlain mängude puhul.

Kui Sa konfigureerid oma ruuterit või tulemüüri ja kui Sa ei tea, et kas mingi tarkvara kasutab TCP või siis UDP protokolli, siis vali talle mõlemad ("Both") parameeter, et kehtestada sama reegel nii TCP kui ka UDP andmeedastusele.


PS! QUIC (või Quick UDP Internet Connections) protokoll: Google teatas 2013. a. juunis oma eksperimentaalsest meetodist veebiühenduse kiiruse suurendamisel ja seda tänu uuele protokollile, mida kutsutakse QUIC või Quick UDP Internet Connections. Selle asemel, et kasutada TCP ja TLS (Transport Layer Security) interneti standardit, kasutatakse nüüd QUIC protokolli, mis vähendab vebilehe laadimise aega ja puhverdamist, sest ta nõuab kliendi ning serveri vahel vähem tagasi-ja-edasi vestlusi (konversatsioone). Google ise ütleb selle kohta järgmist:

The standard way to do secure web browsing involves communicating over TCP + TLS, which requires 2 to 3 round trips with a server to establish a secure connection before the browser can request the actual web page. QUIC is designed so that if a client has talked to a given server before, it can can start sending data without any round trips, which makes web pages load faster.

QUIC (või Quick UDP Internet Connections) protokoll

Praegu tehakse ligikaudu 50% Chrome brauseri päringutest QUIC protokolli abil ja tulemuseks on kiirem otsingutulemuste saamine ja näiteks YouTube puhul on puhverdamine vähenenud ligi 30%. Google arendab antud QUIC protokolli edasi ja üritab QUIC ühendust teha ametlikuks veebi standardiks.

Kui Sa tahad oma Chrome brauseris selle QUIC protokolli / ühenduse välja lülitada, siis tipi brauseri aadressiribale about:flags ja vajuta ENTER ning pane “Experimental QUIC protocol” jaoks “Disabled” parameeter.





OLULINE! Kui Sa ei taha installeerida mingeid kolmandate firmade tulemüüri ja kui Sa ei oska oma Win 7 tulemüüri seadistada, siis jäta tema vaikimisi seadistused ja kogu lugu - ta töötab ka nendega väga hästi.
Kui Sa installeerid ise oma Windows 7, siis vali installeerimise käigus, juhul kui alltoodud aken peaks ilmuma, kas kõige ülemine "Home network" (kui Sul on kodus arvutivõrk) või siis kõige alumine "Public network" (vali see kõige alumine juhul kui Sa ei oska määratleda ja pealegi on see palju turvalisem variant ning sobib ka sülearvutitele siis kui viibid kodust eemal) - kliki pisipildile, et teda suurendada:

Vali midagi...


Kui Sa ostsid poest arvuti koos eelinstallitud Windows 7-ga (OEM arvuti) või kui Win7 installeerimise käigus seda ülaltoodud akent ei ilmunud, sest Win 7 Setup ei suutnud Internetiühendust või võrku tuvastada, siis ilmub pärast Sinu esimest kordaläinud Internetiühendust aken, kus Sul palutakse valida endale võrguühenduse tüüp (võrgu asukoht), mida Sa hakkad momendil kasutama - see aken on peaaegu samasugune nagu ka eeltoodud Win 7 installimise ajal ilmuv aken - pilt.




Windows 7 tulemüüri uued vahendid:


Juba Windows XP omas sisseehitatud tulemüüri (esimene neist oli Internet Connection Firewall) ja alates temast on Windows'i tulemüüri kogu aeg ka täiendatud. Ka Windows 7 tulemüüri on täiustatud (eriti mobiilsuse tõstmise osas, näiteks sülearvutite suhtes) ja teda on tehtud ka rohkem kasutajasõbralikumaks kuid midagi revolutsioonilist uut ei ole.

 


Windows 7 tulemüüri (Windows Firewall) akna avamine ja oma võrgustaatuse kontrollimine:

Tulemüüri avamine:

1) Kõige kiirem on seda teha nii et klikid nupule Start ja tipid Search otsikasti sõnad firewall (või windows firewall) ja selle peale ilmuvad ülesse otsingutulemustesse kõik tulemüüriga seotud vajalikud käsud. Antud juhul klõpsa seal siis Windows Firewall lingile - kliki pisipildile, et teda suurendada:

Tulemüüri akna avamine


2) Start > Control Panel, kategoorialink System and Security ja siis Windows Firewall ning sel juhul avatakse tavaline Control Panel'i tulemüüri aken...

või

kui Sul on Control Panel'is ikoonivaade, siis kliki allosas lingile Windows Firewall.


3) Kliki Start nupule, tipi Search otsingukasti sõna firewall.cpl ja vajuta ENTER (siiski kõige kiirem moodus).


Võrgustaatuse kontroll:

Kõikide nende eelpooltoodud tegevuste tulemusel avatakse tavaline Windows Firewall'i baasversiooni aken (st tema põhiaken):

Tavaline tulemüüri aken


Nüüd näed Sa selles ülatoodud aknas, et kas Sinu tulemüür on sisse lülitatud ja et millist võrgu tüüpi Sa momendil kasutad. Antud näite puhul on aktiveeritud kõikide võrgu tüüpide/võrguasukohtade ("Home", "Work" ja "Public") tulemüürid, seda näitavad ka nende rohelist värvi ikoonid ja sõnad "On".
Veel on siit näha, et momendil on aktiveeritud ja kasutatakse "Public" võrgu tüüpi ("Public networks > Connected").
Tegelikult lülitatakse nende tulemüürid juba Win 7 installeerimise käigus automaatselt sisse, aga Sa saad seda siitkaudu üle kontrollida ja vaadata, et mis võrku Sa momendil kasutad (connected...).


Teine viis oma Windows Firewall'i staatuse kontrollimiseks on seda teha Action Center akna kaudu:

a) Tee ekraani paremal allääres Action Center ikoonil klõps ja vali avanevast teateaknast käsk Open Action Center - pilt.


b) Ava Security rippmenüü (temast paremal asuva noolnupu kaudu) ja vaata Network firewall staatust, järgmisel pildil on tulemüür sisse lülitatud ("On") ja seega on kõik korras - pilt.



Mida veel saab teha selle Windows Firewall'i põhiakna (Control Panel'is) kaudu?

Tavaline tulemüüri aken


Windows 7 Firewall'i juhtimise parameetrid on siin akna vasemas paanis (vaata ülemist pilti) ja toon siin kohe nad ka ära:

1) Allow a program or feature: Selle väga tähtsa lingi kaudu saame me määrata seda et millised programmid võivad teha sissetulevaid (incoming) või siis väljaminevaid (outgoing) ühendusi. Ühesõnaga Sa võid siin lisada või eemaldada programme, mida Windows Firewall ei hakka takistama nende võrkuminemise puhul ja ta ei hakka Sind ka teaviatama siis kui need programmid ühendavad end Internetiga. Neid seadistusi saab kehtestada igale võrgu tüübile (st Private või Public), mida Sa kasutad Windows 7-s.
Kuid ära siin ka liiale mine, sest mida rohkem Sa neid lubasid siin annad, seda "auklikumaks" Sinu tulemüür muutub ja seda suurem võimalus on häkkeritel Sind kimbutada.

Kui Sa lisad mingi programmi lubatud programmide loetellu või kui Sa avad mingi pordi (port), siis Sa lubad osadel programmidel saata või saada informatsiooni Windowsi tulemüüri kaudu. Lubades programmil pidada ühendust tulemüüri kaudu (seda nimetatakse ka tema deblokeerimiseks) sarnaneb sellele, et Sinu tulemüüri tekitati juurde veel üks "auk" (st lahtine "värav" - port).
Iga kord kui Sa avad mingi pordi või lubad mingil programmil pidada ühendust tulemüüri kaudu, muutub Sinu kompuuter vähem turvalisemaks. Mida rohkem neid lubatud programme ja avatud porte Sinu tulemüür sisaldab, seda suuremad võimalused on häkkeritel ja pahavaral Sinu kompuutrisse tungimiseks.
Eriti ohtlik on portide avamine, parem lisa mingi vajalik programm sinna lubatud programmide nimekirja selle asemel, et avada antud programmi jaoks mingit porti. Kui Sa avad mingi pordi, siis on ta avatud senimaani kuni Sa ta ise sulged vaatamata sellele et kas programm teda kasutab või ei kasuta. Kui Sa lisad programmi aga lubatud programmide loetellu, siis avatakse tema jaoks tulemüüri "auk" (port) ainult selleks ajaks kuni see programm seda vajab.

Luba siin ainult neid programme, mida Sa kasutad tihti ja mida Sa reaalselt vajad ning kui Sa neid programme enam ei kasuta, siis eemalda nad siit loetelust. Ära kunagi luba neid programme, mida Sa täpselt ei tunne..., st kas nad peavad ikka Internetiga ühendust saama või nad ei pea seda.


Märkus: Portidest saad mingisuguse ülevaate sealt.


Kui Sa klikid antud 'Allow a program or feature' lingile, siis avatakse alltoodud aken, kus tee:

a) Kliki paremal ülaosas nupule Change settings.

b) Pane vasemal veerus "Name" vajaliku programmi eesasuvasse ruutu linnuke ja sellega Sa annad antud programmile "rohelise tule" võrkuminekuks. Kui Sa tahad aga tal selle loa ära võtta, siis korista sealt see linnuke jälle ära.

c) Kui Sa olid seal pannud linnukese ehk siis andnud loa, siis pane talle ka linnuke paremalpool asuvasse ühte või siis mõlemasse ruutu ("Home/Work (Private)" ja "Public" veergudes).

Lubatud programmid


Kui Sul ei ole seal loetelus mingit Sinule vajalikku programmi, siis kliki allpool nupule Allow another program... ja avatakse järgmine aken, kus kasuta "lifti" või nupu Browse... abi, et leida vajalik programm ülesse. Seejärel märgista ta ja kliki nupule Add ning antud proge lisatakse ülaltoodud akna loetellu - pilt.


Kui Sa tahad mingit programmi sellest nimekirjast eemaldada, siis märgista ta ja kliki nupule Remove (vaata üle-eelmist pilti) - eemaldada saad Sa ainult enda poolt lisatud programme...

Kui kõik sai valmis, siis klõpsa nupule OK.


Märkus: Siin peab ka seda mainima, et kui Sa installeerid mingi programmi ja mis vajab oma tööks Internetiühendust ning kui Sa käivitad ta esmakordselt, siis väljastab Windows Firewall Sulle umbes taolise järgneva teateakna. See aken küsib, et kas lubada antud programmil võtta ühendust Internetiga ja kui Sa klikid nupule Allow access, siis lubatakse tal võrku minna ja ta lisatakse ühtlasi ka sinna eeltoodud lubatud programmide loetellu. Kui aga selline teade ilmub täiesti ootamatult ja mingi Sulle tundmatu programmi puhul, siis kliki nupule Cancel ja hakka asja uurima; käivita oma antiviirus- ja pahavaratõrje programmid jne - pilt.


2) Change notification settings: Kui Sa klikid tulemüüri peaakna vasemas paanis sellele lingile, siis võid Sa muuta seda et kuidas Windows Firewall Sulle teateid edastab, st sa võid need teavitamised ka välja lülitada. Seda ei maksa siiski teha ja see väljalülitamine sobib ainult neile, kes on loonud mingitele oma veebipõhistele programmidele spetsiifilised tulemüüri reeglid.

3) Turn Windows Firewall on or off: Ära lülita tulemüüri välja ja isegi siis kui Sa kasutad mingit kolmandate firmade tulemüüri, pead Sa jätma ka Windows 7 enda tulemüüri töösse - see on mitmel põhjusel vajalik.
Kui Sa klikid antud lingile, siis ilmub järgmine aken, kus Sa võid iga võrgu tüübi jaoks kas lülitada Windows 7 tulemüüri välja või siis jälle sisse. Aktiveeri vastav raadionupp ja vajuta all nupule OK.
Peale selle saad Sa siin vastavate kontrollruutude abil määrata ka seda et kas Windows Firewall teavitab Sind sellest et ta blokeerib mingile uuele programmile pääsu Internetti - vaikimisi on see teavitamine lubatud ("Notify me when Windows Firewall blocks a new program").

Lülita tulemüür sisse või välja


Sa võid eelmises aknas blokeerida ka kõik sissetulevad ühendused kui paned linnukese ruutu "Block all incoming connections, ...". Seda täiendavat kaitset võid näiteks siis kasutada kui Sa kasutad avalikku traadita hotspot'i või kui Sinu kompuutrit rünnatakse teiste poolt.


Märkus: Kui Sa aktiveerid "Block all incoming connections, ..." parameetri, siis ei tähenda see veel seda et Sa ei pääse enam Internetti. Isegi antud režiimis võid Sa kasutada oma brauserit, et pääseda Internetti. Kui Sa tahad aga reaalselt Internetist ja välismaailmast lahti saada, siis lülita oma wifi adapter või juurdepääsu punkt füüsiliselt välja.


4) Restore defaults: Ka see on väga vajalik link, sest tema abil saad Sa taastada Windows Firewall'i esialgsed vaikimisi seadistused ja alustada nullist peale. Kui Sa läksid Win 7 tulemüüri seadistamisega omadega "metsa" (eriti tema Windows Firewall With Advanced Security konsoolis askeldamisega), siis saad oma tulemüüri kõik seadistused viia tagasi oma algseisundisse nii nagu nad olid kohe pärast Windows 7 installeerimist - kasuta selleks Windows Firewall peaakna vasemas paanis asuvat Restore defaults linki (pilt).

5) Advanced settings: Vot see tulemüüri peaakna vasemas paanis asuv link avabki tolle täiendavate seadistustega akna (Firewall with Advanced Security konsooli). See konsool on ikka mõeldud kogenud kasutajatele ja kui Sa ei ole endas kindel, siis ära roni sinna sest Sulle piisab ka Windows'i vaikimisi seadistustest ning ka sellest, millest siin eelpool juttu oli (+ veel paar asja, millest tuleb edaspidi juttu).



Võrguühenduse tüübi (ehk võrgu asukoha) muutmine:

Kui Sul on vaja oma käesolevat võrgu tüüpi muuta, näiteks kui Sa kasutasid siiani Public network võrgu tüüpi, aga nüüd tahad luua kodust võrku ja Homegroup'i, siis tuleb Sul luua ja aktiveerida ka Home network.

Kõige kiirem seda teha on nii:

a) Kliki ekraani paremal allääres teadeteribal ikoonile 'Network' ja vali käsk 'Open Network and Sharing Center':

Kliki 'Network' ikoonile


b) Avatakse "Network and Sharing Center" aken, kus kliki momendil aktiveeritud (kasutatavale) võrgu tüübi lingile (antud näite puhul siis Public network lingile):

Avatakse 'Network and Sharing Center' aken


c) Järgmises aknas loo endale uus võrgu tüüp - pilt.


Märkus: Sa võid selle "Network and Sharing Center" akna avada ka nii:

Kliki nupule Start > Control Panel > Network and Sharing Center

Kui Control Panel'i aknas on kategooriavaade, siis muuda tema vaadet enne nii et avad paremal üleval View by ripmenüü ja valid vajaliku ikoonivaate.





Windows Firewall with Advanced Security konsool:


Võrguprofiilide konfigureerimine 'Windows Firewall with Advanced Security' konsooli kaudu:

Siin tulebki siis natuke juttu sellest Windows Firewall with Advanced Security konsoolist, kus Sa võid konfigureerida iga võrgu tüübi profiile ja teha ka palju muud, aga see sobib rohkem kogenumatele arvutikasutajatele. Sa võid selle Windows Firewall with Advanced Security konsooli avada näiteks nii:

* Kliki nupule Start ja tipi Search kasti sõna firewall
* Kliki üleval otsingutulemustes Windows Firewall with Advanced Security lingile ja avataksegi antud aken - pilt.


Windows Firewall With Advanced Security kasutab eraldi võrguprofiile, et defineerida tulemüüri konfiguratsiooni, mis baseerub keskkonnale milles kompuuter asub. Windows 7 defineerib kolme tüüpi profiile:

 

Igal profiilil on eraldi seadistused:

 

Sa võid iga profiili jaoks määrata järgmist:

- On/off: See näitab, et kas Windows 7 tulemüüri võrguprofiilid on sisse või välja lülitatud; ülemine pilt näitab, et nii "Domain Profile", "Private Profile" kui ka "Public Profile" on sisse lülitatud (aktiveeritud).
- Inbound connections: Blokeerib; blokeerib kõik või siis lubab sissetulevad ühendused.
- Outbound connections: Lubab või blokeerib väljaminevad ühendused.
- Teadete kuvamine: Ta kas kuvab või siis ei kuva teateid blokeeritud programmide kohta (olenevalt Sinu seadistustest).
- Rakendada lokaalsed tulemüüri reeglid (firewall rules), mis loodi lokaalse administraatori poolt, lisaks ka Group Policy tulemüüri reeglitele.
- Rakendada lokaalsed tulemüüri turvareeglid (firewall security rules), mis loodi lokaalse administraatori poolt, lisaks ka Group Policy tulemüüri turvareeglitele.


Tulemüüri seisundi seadmine (konfigureerimine):
  1. Ava Windows Firewall With Advanced Security konsool.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security on Local Computer sõlmel.

  3. Overview paanis (akna keskosas) kliki lingile Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile sakk (vahekaart):
Tulemüüri seisundi konfigureerimine


5. Et ativeerida antud pofiili (st käivitada tulemüür), selleks vali oblastis Firewall state rippmenüüst parameeter On (recommended).

6. Et konfigureerida globaalset vaikimisi seadistust sissetulevate ühenduste jaoks, klõpsa Inbound Connections rippmenüüle ja siis:

- Vali Block (default), et blokeerida kõik programmid, mis ei ole spetsiaalselt loetletud Inbound Allowed reeglites.

- Vali Block all connections, et blokeerida kõik programmid, isegi need mis on loetletud Inbound Allowed reeglites.

- Vali Allow, et lubada kõikidel programmidel võtta ühendust oma kompuutriga. See ei ole enamikel juhtumitel soovitatav.

7. Et konfigureerida globaalset vaikimisi seadistust väljuvate ühenduste jaoks, klõpsa Outbound Connections rippmenüüle ja siis:

 

8. Seejärel ava järgmine leht (vahekaart, sakk) kus tee sedasama...

9. Kui kõik sai valmis, siis kliki OK ja sulge see dialoogiaken.


Võrguprofiili 'Behavior' (käitumise) seadmine:
  1. Ava Windows Firewall With Advanced Security konsool.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security on Local Computer sõlmel.

  3. Overview paanis (akna keskosas) kliki lingile Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile sakk (vahekaart).

  5. Klõpsa oblastis Settings nupule Customize.

  6. Ilmub Customize Settings dialoogiaken, kus konfigureeri tulemüüri käitumist; alumisel pildil seatakse Public Profile käitumist - pilt.



Profiili Logging seadistuste konfigureerimine:
  1. Ava Windows Firewall With Advanced Security konsool.

  2. Klõpsa vasakus paanis Windows Firewall With Advanced Security on Local Computer sõlmel.

  3. Overview paanis (akna keskosas) kliki lingile Windows Firewall Properties.

  4. Windows Firewall with Advanced Security on Local Computer dialoogiaknas vali vastavalt Domain Profile, Private Profile või Public Profile sakk (vahekaart).

  5. Klõpsa oblastis Logging nupule Customize.

  6. Customize Logging Settings dialoogiaknas vali Log successful sonnections rippmenüüt Yes ja klõpsa OK:

    Logimise seadmine


Märkus: Sa võid selle Windows Firewall with Advanced Security konsooli avada ka nii:

a) Start > All Pograms > Administrative Tools > Windows Firewall with Advanced Security
b) Start > Control Panel, kategoorialink System and Security > Administrative Tools ja seejärel 2x klõps 'Windows Firewall with Advanced Security' lingile

või

kui Sul on Control Panel'i aknas ikoonivaade, siis kliki Administrative Tools ja 2x klikk Windows Firewall with Advanced Security

c) Windows Firewall'i põhiaknas klikime vasemas paanis Advanced settings lingile (ülevalpool oli sellest ka juba juttu).



Windows 7-s tulemüüri reeglite (Firewall Rules) loomine ja kasutamine:

Tulemüüri tarkvara kasutamine sõltub sellest et mis tüüpi arvutit Sa kasutad, kuhu Sa tahad ühendust luua ja mida Sa tahad lubada võrku. See sõltub ka sellest et kas Sinu mingid programmid nõuavad täielikku Internetti pääsu iga avatud pordi kaudu või siis ainult mõne pordi kaudu.
Et kasutada Windows Firewall'i oma koduse või töökoha võrgu jaoks, pead Sa oma kompuutrit usaldama, et Sa saaksid täieliku juurdepääsu võrgu teistele komputritele ja omakorda nende juurdepääsu Sinu arvutile. Sel juhul peab Sul olema lubatud File and Printing Sharing vahend oma "Private" võrgu jaoks, aga mitte "Public" võrkude jaoks.
Sa pead sel juhul vaatama üle Windows 7 tulemüüri vaikimisi seadistused ja vajaduse korral neid korrigeerima. Tulemüüri reeglite loomiseks tuleb Sul kõigepealt avada seesama Windows Firewall with Advanced Security konsool; tema avamisest oli juba eelpool juttu.

Tulemüüri kõikide profiilide vaikimisi konfiguratsioonid blokeerivad kompuutrisse sissetulevad ühendused. Seda ei tehta ainult siis kui me olime kehtestanud spetsiifilised sisenemisreeglid, mis lubavad meie poolt määratud sissetulevad ühendused. Me võime Windows Firewall With Advanced Security konsoolis vaadata jooksvalt defineeritud sisenemisreegleid kui valime vasemast paanist Inbound Rules haru.


Natuke nendest tulemüüri reeglitest:

Windows Firewall With Advanced Security omab järgmisi sõlmi/harusid (need asuvad akna vasemas paanis, vaata alumist pilti):

 


Alltoodud pildil saab hakata muutma ja looma tulemüüri sissetulevaid reegleid (inbound rules):

inbound rules aken


Defineeritud sisenemisreeglid (inbound rules) ei ole Windows Firewall With Advanced Security'i konsoolis tingimata lubatud. Ainult mõned sisenemisreeglid (sissetuleku reeglid) on vaikimisi lubatud ja need kehtivad Remote Assistance ja veel mõnede vahendite kohta. (Remote Assistance tuleks siin hoopis blokeerida.)

Sissetulekureeglitega (inbound rules) me saame:

 

Et konfigureerida mingit juba olemasolevat eeldefineeritud sisenemisreeglit ('inbound rule'), tee:
  1. Ava Windows Firewall With Advanced Security konsool.
  2. Vali vasakus paani Inbound Rules haru.
  3. Tee paremal 2x klõps sisenemisreeglil, mida Sa soovid muuta ja ilmub dialoogiaken:

    'Inbound rule' seadistamine


  4. ... Properties dialoogiaknas saame me konfigureerida seadistusi järgmistel vahelehtedel:

    General - Panna reeglile nime, kirjelduse ja loa tegutsemiseks ning tegevuse (action: lubada, lubada ühendus siis kui ta on turvaline või siis blokeerida).
    Users ja Computers vahekaardid (sakid) - Kui reegli action lubab turvalise ühenduse, siis me võime kehtestada kompuutrid või kasutajakontod või grupid, kes võivad teha selliseid ühendusi.
    Protocols and Ports - Seada reeglile IP protokolli, lähte ja sihtkoha TCP või UDP pordid ja Internet Control Message Protocol (ICMP) või ICMPv6 seadistused. Programs and Services - Määrata programmi või servise, millele see reegel rakendatakse.
    Scope  - Määrata reeglis lubatud lähte ja sihtaadressid.
    Advanced - Määrata profiilid, kasutajaliidese (kuva) tüübid.

     5. Kui Sa soovid kehtestada mingit sisenemisreeglit, siis pane lehel General linnuke Enabled kontrollruutu ja klõpsa OK.



Outbound Rules seadistused:

Tulemüüri kõikide profiilide vaikimisi konfiguratsioonid lubavad kompuutrist väljuvaid ühendusi. Seda ei tehta ainult sel juhul kui me olime eelnevalt kehtestanud mingid eraldi spetsiifilised väljumisreeglid (outbound rules). Me võime Windows Firewall with Advanced Security konsoolis vaadata jooksvalt defineeritud väljumisreegleid kui valime vasemast paanist Outbound Rules sõlme (haru) - vaata üle-eelmist pilti.

Defineeritud väljumisreeglid (outbound rules) ei ole Windows Firewall With Advanced Security'i konsoolis tingimata lubatud. Ainult mõni väljumisreegel on vaikimisi lubatud ja see kehtib Internet Group Management Protocol (IGMP) jms jaoks.
Väljumisreegleid saab konfigureerida samamoodi nagu me tegime seda ka sisenemisreglite (inbound rules) konfigureerimisel...



Uute tulemüüri reeglite loomine:

1. Ava Windows Firewall With Advanced Security konsool.

2. Märgista vasemas paanis Inbound Rules või siis Outbound Rules haru ja kliki akna paremas paanis New Rule... lingile ning selle peale avatakse uue reegli loomise nõustaja esimene aken...


Järgmisel pildil on avatud uue sissetuleva reegli (inbound rule) loomise nõustaja esimene aken - pilt.


NB! Uue 'Outbound rule' loomise näide koos piltidega on seal (samamoodi luuakse ka 'Inbound' reegleid).


Kui Sa läksid Win 7 tulemüüri seadistamisega omadega "metsa" (eriti tema Windows Firewall With Advanced Security konsoolis askeldamisega), siis saad oma tulemüüri kõik seadistused viia tagasi oma algseisundisse nii nagu nad olid kohe pärast Windows 7 installeerimist - kasuta selleks Windows Firewall peaakna vasemas paanis asuvat Restore defaults linki (tulemüüri peaakna ja tema vasema paani pilt on siin ülal ka ära toodud - pilt - tule pärast brauseri "< Back" noolnupu abil siia jälle tagasi).


Kui Sa tahad kiiret ülevaadet sellest et millised reeglid on jooksvas profiilis aktuaalselt kasutuses, siis ava vasemas paanis "Monitoring - Firewall" haru, mis toob keskmises paanis esile kõik inbound ja outbound reeglid - kliki pisipildile:

Reeglite kiire ülevaade



PS! Netsh käsk:

Windows 7 sisaldab ka selliseid käskusid nagu 'netsh firewall' ja 'netsh advfirewall' (see on parem) millede abil saab Command Prompt aknas samuti seadistada Windows Firewall'i.
Sel juhul tuleb administraatoriõigustega CMD aken avada.

'netsh' käsk


NB! Command Prompt (CMD) aknas käskude sisestamisel jälgi tühiklahvide Pane tühiklahv õigesse kohta panemist, et nad oleksid tipitud sinna kus nad olema peavad - tühiklahvide (Spacebar) ärajätmine on üheks enamlevinud vigadest nende cmd käskude sisestamisel.


Kui Sa tahad teada, et kui haavatav on Internetist tulevate ohtude suhtes Sinu kompuuter, siis saab selleks kasutada mitmeid häid saite, kus Sa saad seda testida:

 


Mõned paremad tasuta (vabavara) tulemüürid Windows 7 ja ka Win XP ning Vista jaoks:

Osade puhul neist pakutakse nii tasuta kui ka tasulisi versioone...

Comodo Firewall + AntiVirus for Windows

Online Armor Firewall

Outpost Firewall 2009

PC Tools Firewall Plus

Sunbelt Personal Firewall

Windows 7 Firewall Control


NB! Loe ka muudest tasuta tulemüüridest ja enda tulemüüri ning süsteemi töökindluse testimisest täpsemaid juhiseid - sealt.



Lõpetuseks üks väga tark ja kasulik näpunäide! Kui Sulle ei meeldi nii Windows 7 enda sisseehitatud tulemüür ega ka mingid muud tulemüürid, siis soovitaksin Sul ehitada oma modemi, võrgukaardi, ruuteri ja arvuti vahele see päris tellistest tulemüür. See reaalne/tõeline tulemüür tuleb ehitada kindlasti šamott-tellistest, siis saab ta ikkagi hästi tulekindel olema. See tellisemüür peab olema piisavalt lai ja pärast tema valmisladumist uuri ta luubiga üle, et temasse mingeid mikroskoopilisi pragusid ning auke (arvutikeeles siis porte) ei jääks, muidu tulevad igasugused pahalased nende kaudu ikkagi Sinu arvutisse - peaks patendi selle peale võtma.


Etteotsa

 

Edasi Win 7 turvalisus III. ossa >

< Tagasi

< Tagasi Windows 7 pealehele ja sisukorda


Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju | About Us | About Me | Site Map | POSTKASTI EI OLE! Sorry, no mailbox | © Ahv & Co Eesti Vabariik nov. 2008