Двунаправленный экран

Новый сетевой экран, который войдет в состав операционной системы Windows Vista, называют «двунаправленным», поскольку он фильтрует как входящий, так и исходящий сетевой трафик

Корпорация Microsoft начала разрабатывать сетевой экран с широкими возможностями конфигурации для новой операционной системы Windows Vista. Этот продукт позволит расширить возможности контроля работы приложений для системных администраторов.

После того как брандмауэр в течение месяца тестировался пользователями Community Technology Preview (CTP), Остин Вилсон, директор группы Microsoft Windows Client, заявил, что, скорее всего, этот сетевой экран будет добавлен в окончательную версию Vista, которая должна быть выпущена к концу текущего года. Более того, вполне возможно, что аналогичные функции будут предложены не только для корпоративных, но и для домашних пользователей.

Новый сетевой экран называют «двунаправленным», поскольку он фильтрует как входящий, так и исходящий сетевой трафик, то есть он может использоваться для блокировки попыток подключиться к ПК под управлением Windows, а также для контроля приложений, работающих на ПК и делающих попытки связаться с другими системами в сети.

В Windows XP возможность блокировки исходящего трафика сейчас отсутствует. За счет использования экрана администраторы могли бы, например, гарантировать, что их ПК применяют только рекомендованное в данной организации приложение мгновенной передачи сообщений.

Несмотря на то что представители Microsoft ранее говорили о намерении корпорации добавить экран в состав Vista, только недавно стало известно, как именно он будет работать.

Новые возможности сетевого экрана были анонсированы в выпущенном в декабре документе CTP build 5270, но использование этих функций было сопряжено с рядом трудностей и, кроме того, оказалось, что они обходятся значительно дороже, чем предполагали тестеры. Так в своем блоге, посвященном Windows, заявил соавтор книги «Microsoft Windows XP изнутри» Эд Ботт.

«После установки Windows Vista Build 5270 и проверки всех функций защиты в Control Panel можно прийти к выводу, что Windows Firewall совсем не изменился», — писал он в блоге 14 января.

Для того чтобы применить новые возможности сетевого экрана, пользователям Vista необходимо создать настраиваемую консоль управления, а затем сконфигурировать ее для того, чтобы загрузить Windows Firewall with Advanced Security.

Консоль можно использовать двумя способами. Она может применяться в «режиме одной машины» для управления только ПК, на котором она установлена, или ее можно сконфигурировать с помощью Active Directory для установки правил, которые применяются к большому количеству машин.

«Допустим у меня есть 10 тыс. машин и я могу один раз ввести правило, которое блокирует данное приложение. Это правило будет растиражировано на все мои 10 тыс. машин», — заметил Вилсон.

Похожие функции существуют во многих продуктах защиты, но блокировка исходящего трафика, которая будет встроена в операционную систему, значительно упростит работу администраторов корпоративных систем. Сейчас они вынуждены создавать специальные скрипты и правила работы группы для того, чтобы наложить некие ограничения на использование ПК с Windows.

Базовый код сетевого экрана, получивший название Windows Filtering Platform, был переписан для Vista, однако, по словам Вилсона, большинство пользователей не заметят никаких существенных различий между XP и новой операционной системой.

«В Vista на самом деле есть две различные консоли сетевого экрана. Если вы выберете в Control Panel опцию Firewall, то получите традиционную консоль, которая была в Windows XP, — заметил Вилсон. — Если вы обратитесь к другой консоли, под названием Windows Firewall with Advanced Security, тогда вы получите в свое распоряжение фильтрацию и входящего, и исходящего трафика». В обеих консолях используется Windows Filtering Platform, которая была переписана с тем, чтобы улучшить возможности перехвата сетевого трафика в Windows и повысить эффективность работы программного обеспечения с ядром Windows.

В Microsoft подумывают о том, чтобы добавить функции фильтрации исходящего трафика для потребителей в продукт, который будет выпущен после Vista Windows. Однако необходимо еще многое сделать для того, чтобы упростить использование двунаправленного сетевого экрана. «Прежде всего мы должны убедиться в полной совместимости приложений при активации этих функций», — заметил Вилсон.