Самая большая проблема, связанная с брандмауэром Windows, заключается в том, что он легко может быть преодолен программами. Несмотря на то что Windows сообщает вам о случаях попытки подключения, которое было заблокировано, интеллектуальные программы установки и приложения могут создать в межсетевой защите новые правила без вашего согласия. Конечно, маршрутизаторы могут быть обмануты программами, но это не так легко, особенно если вы выключили поддержку маршрутизатором функции UPnP, рассмотренной в предыдущем разделе.

Одной из главных причин эффективности маршрутизатора является то, что он организует отдельный уровень между вашей сетью и внешним миром. Рассмотрим отдельный пакет входящих данных. Если ваш компьютер подключен к источнику угрозы прямо (без маршрутизатора), то все, что нужно сделать этому пакету, — прокрасться через одно из исключений брандмауэра Windows (рассмотрены ниже), л дело сделано. Но при наличии маршрутизатора этот входящий пакет наткнется на стену, как только доберется до сети. За исключением случая, когда включена

функция переадресации портов, описанная в разделе «Удаленное управление компьютером», этому пакету некуда будет идти. Это называется «безопасность, основанная на скрытии механизмов защиты». Ознакомьтесь с пунктом «Плохо: уязвимость протокола UPnP» (с. 393) о том, как правила переадресации портов мог>^гт быть созданы без участия пользователя.

Для иллюстрации еще одной разницы между безопасностью, предложенной брандмауэром Windows, и той, которую может обеспечить маршрутизатор, рассмотрите рис. 6.29. Большой пунктирный контур окружает то, что защищено межсетевой защитой маршрутизатора, а меньший - то, что защищено брандмауэром Windows. Масштаб защиты позволяет вам безопасно передавать файлы между компьютерами в локальной сети, не делясь ими с остальным миром.

Теперь, полагая, что вы согласились с предыдущими доводами, вы, возможно, подумаете, что сочетание брандмауэра Windows с маршрутизатором лучше защитит вашу систему, чем маршрутизатор в одиночку. Проблема, однако, в том, что, как видно из рис. 6.29, брандмауэр Windows до некоторой степени изолирует ваш компьютер от остальных компьютеров в рабочей группе. Это может быть хорошо в том смысле, что вирусы и другие вредоносные программы, находящиеся в других компьютерах сети, будут испытывать трудности в заражении вашего компьютера (что особенно полезно, когда вы исследуете общедоступную сеть). Но это может быть и плохо в том смысле, что брандмауэр Windows может блокировать функции, которые вы используете.

t*?-

Находясь не за стеной межсетевой защиты маршрутизатора, следует всегда

I использовать брандмауэр Windows или защиту на основе какой-либо другой

* v программы для того, чтобы защитить компьютер от различных неприятностей,

которые поджидают вас в используемой общедоступной сети.

В отличие от предыдущих версий Windows брандмауэр Windows 7 включается и выключается не для отдельных сетевых подключений, а скорее для каждой категории: домашней, сети предприятия или общественной, - которые можно найти в Центре

Если вы подозреваете, что брандмауэр Windows мешает работать какой-либо прикладной программе, попробуйте его временно выключить. Если это решит проблему, следует создать новое правило.

Контроль межсетевой защиты находится не на Панели управления. Откройте окно Брандмауэр Windows в режиме повышенной безопасности (Windows Firewall with Advanced Security), показанное на рис. 6.31. Для этого нажмите ссылку Дополнительные параметры (Advanced settings) на странице Брандмауэр Windows (Windows Firewall) или запустите wf. ms с.

Обычно брандмауэр Windows создает новые правила по мере надобности. Обнаружив, что программа, которую он видит впервые, хочет открыть порт, брандмауэр спрашивает вашего разрешения. В результате создается новое правило, и оно остается в силе неограниченное время или до тех пор, пока вы его не измените.

Инсталляторы прикладных программ тоже могут создавать новые правила "v А брандмауэра, поэтому неплохо периодически проверять брандмауэр Windows

I i* относительно правил, имеющих силу в данный момент. Это можно делать с помощью окна Режим повышенной безопасности.

Вот как можно вручную создать новое правило для межсетевой защиты. Выберите категорию Правила для входящих подключений, а затем нажмите Создать правило, чтобы открыть окно Мастер создания правила для нового входящего подключения (New Inbound Rule Wizard), как показано на рис. 6.32.