Windows Güvenlik Duvarı özellikleri

Admin Perş. Kas. 05 2009, 01:01

Windows Güvenlik Duvarı, kendisini önceki Internet Bağlantısı Güvenlik Duvarı'ndan (ICF) farklılaştıran birçok özellik ve işlev farklılığına sahiptir. Windows Güvenlik Duvarı ile Internet Bağlantısı Güvenlik Duvarı arasındaki özellik ve işlev farklılıklarının bazıları şunlardır:

Tüm bağlantılara uygulanan genel yapılandırma seçenekleri

Denetim Masası'nda yeni Windows Güvenlik Duvarı bileşeni

Yeni Özel Durumlara İzin Verme çalışma modu

Başlatma güvenliği

Internet Protokolü sürüm 4 (IPv4) için gelen trafik kapsamını belirleme

Program veya sistem hizmeti adına göre belirlenebilen özel durumlar

Internet Protokolü sürüm 6 (IPv6) için yerleşik destek

Yeni yapılandırma seçenekleri

Tüm bağlantılara uygulanan genel yapılandırma seçenekleri
Windows Güvenlik Duvarı, bilgisayarın tüm bağlantılarına uygulanan ayarları yapılandırmanıza olanak sağlar. Yüklü hizmet paketi olmayan Windows Server 2003'te, ICF ayarları bağlantı başına yapılandırılır; bu, ICF'yi birden çok bağlantıda etkinleştirmek ve özel durumları yapılandırmak istiyorsanız, her bağlantıyı ayrı olarak yapılandırmanız gerektiği anlamına gelir. Genel Windows Güvenlik Duvarı ayarlarını değiştirdiğinizde bu değişiklik Windows Güvenlik Duvarı'nın etkinleştirildiği tüm bağlantılara uygulanır. Windows Güvenlik Duvarı bağlantı başına yapılandırmaya izin vermez, ancak bağlantıya özel yapılandırma genel yapılandırmayı geçersiz kılar.

Denetim Masası'nda yeni Windows Güvenlik Duvarı bileşeni
ICF'yi etkinleştirmek veya devre dışı bırakmak için, bağlantı özellikleri iletişim kutusundaki Gelişmiş sekmesinde görüntülenen Bu bilgisayara Internet üzerinden erişimi sınırlayarak ya da önleyerek bilgisayar ve ağımı koru onay kutusunu seçer veya seçimi kaldırırsınız. Ayrıca, bağlantı özellikleri iletişim kutusundaki Ayarlar düğmesini de tıklatabilir ve genel özel durumlar, günlüğe kayıt ayarları ve ICMP özel durumları yapılandırabilirsiniz.

Windows Güvenlik Duvarı'nda, bağlantının özellikler iletişim kutusundaki Gelişmiş sekmesi, Denetim Masası'ndaki yeni Windows Güvenlik Duvarı'nı başlatan Ayarlar düğmesiyle değiştirilmiştir. Denetim Masası'ndaki Windows Güvenlik Duvarı'nı tıklatarak da Windows Güvenlik Duvarı'nı başlatabilirsiniz. Windows Güvenlik Duvarı iletişim kutusu, genel ayarları, program (uygulama ve hizmet) özel durumlarını, bağlantıya özel ayarları, günlük ayarlarını ve ICMP özel durumlarını yapılandırmanıza olanak sağlar. Windows Güvenlik Duvarı'nı varsayılan yapılandırmasına da geri döndürebilirsiniz.

Yeni çalışma modu
ICF etkindir (yalnızca istekte bulunulmuş trafiğe ve özel durumlar listesinde belirtilen trafiğe izin verir) veya devre dışı bırakılmıştır (tüm trafiğe izin verir). Windows Güvenlik Duvarı'nda önceki çalışma modları bulunur, ancak Windows Güvenlik Duvarı'nı etkinleştiren ve tüm özel durumları yok sayan yeni çalışma modunu seçmenize de olanak sağlar. Windows Güvenlik Duvarı bu yeni modda çalışırken, özel durumlar listesinde belirtilen trafik de dahil olmak üzere, tüm istekte bulunulmamış gelen trafik bırakılır. Bu yeni mod, Internet'e otel veya havaalanı gibi genel bir konumdan bağlanırken veya bir ağ saldırısı ya da kötü niyetli program yayılması sırasında kuruluş ağındaki bilgisayarları geçici olarak kilitlemek için kullanılabilir. Ağ saldırısı sona erdiğinde ve gelecek saldırıları engellemek üzere uygun güncelleştirmeler yüklendikten sonra, Windows Güvenlik Duvarı özel durumlara izin veren normal çalışma moduna döndürülebilir. Özel durumların tüm özgün ayarları korunur.

Başlatma güvenliği
ICF yalnızca, Internet Bağlantısı Güvenlik Duvarı/Internet Bağlantısı Paylaşımı (ICS) hizmeti başarıyla başladığında ICF'nin etkinleştirildiği bağlantılarda etkindir. Bu nedenle, ağda bilgisayarın etkin olmasıyla bağlantıların ICF ile korunması arasında gecikme vardır. Bu gecikme, başlatma sırasında bilgisayarı saldırılara karşı açık hale getirir.

Windows Güvenlik Duvarı'nda, durum bilgisi olan paket filtrelemesi gerçekleştiren ve böylece bilgisayarın, bilgisayarı yapılandırmak ve Grup İlkesi güncelleştirmelerini almak üzere etki alanı denetleyicisiyle iletişim kurmak için Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) ve Etki Alanı Adı Sistemi (DNS) protokolünü kullanarak temel ağ başlatma görevlerini gerçekleştirmesine izin veren bir başlatma ilkesi vardır. Başlatma ilkesi, Grup İlkesi'nde yapılandırdığınız ayarlar da dahil olmak üzere Windows Güvenlik Duvarı için yapılandırdığınız hiçbir bir ayarı içermez. Windows Güvenlik Duvarı/ICS hizmeti başladıktan sonra, Windows Güvenlik Duvarı kendisi için yapılandırdığınız ayarları kullanır ve başlatma ilkesini kaldırır. Başlatma ilkesi ayarları yapılandırılamaz.

Gelen trafik kapsamını belirleme
ICF'de izin verilen trafik herhangi bir IPv4 adresinden gelebilir. Windows Güvenlik Duvarı'nda, izin verilen trafiğin nereden geleceğini belirleyebilirsiniz. Bu yapılandırma ayarı kapsam seçeneği olarak bilinir ve özel durum kapsamını, herhangi bir IPv4 adresinden gelen, doğrudan erişilebilen bir IPv4 adresinden gelen (IPv4 yönlendirme tablosu girişine göre), bir veya daha fazla özel IPv4 adresinden gelen veya bir veya daha çok IPv4 adresi aralığından gelen trafikle sınırlamanıza olanak sağlar.

Gelen IPv6 trafiği için, Windows Güvenlik Duvarı özel durumların herhangi bir IPv6 adresinden veya doğrudan erişilebilen IPv6 adresinden (IPv6 yönlendirme tablosu girişine göre) gelen trafiğe izin vermesini belirlemenize olanak sağlar.

Program adına göre belirlenebilen özel durumlar
ICF'de, uygulama veya hizmet olabilen belirli bir programın trafiğine karşılık gelen TCP ve UDP bağlantı noktaları kümesini belirterek özel durumları el ile yapılandırırsınız. Bu, uygulamanın veya hizmetin TCP ve UDP bağlantı noktaları kümesini bilmeyen kullanıcılar için yapılandırmayı zorlaştırır. Ayrıca, bu yapılandırma belirli bir TCP ve UDP bağlantı noktasını dinlemeyen uygulamalar için çalışmayacaktır.

Özel durumları yapılandırmayı kolaylaştırmak için, Windows Güvenlik Duvarı programın TCP ve UDP bağlantı noktası kümesini veya dosya adını belirtmenize olanak sağlar Program çalıştırıldığında, Windows Güvenlik Duvarı programın dinlediği bağlantı noktalarını izler ve bunları açar.

Genel olarak izin verilen gelen istekte bulunulmamış trafik için özel durumları kolayca etkinleştirmenize olanak sağlamak üzere Windows Güvenlik Duvarı'nda, Dosya ve Yazıcı Paylaşımı ve Uzak Masaüstü gibi önceden tanımlanmış özel durumlar vardır. Buna ek olarak, Windows Güvenlik Duvarı'ndaki bildirim düzeneği, program özel durumlar listesine yeni programları otomatik olarak eklemelerine olanak sağlamak için yerel yöneticileri Windows Güvenlik Uyarısı iletisiyle uyarır.

IPv6 için yerleşik destek
Windows Güvenlik Duvarı'na IPv6 desteği dahil edilmiştir ve tüm IPv6 bağlantılarında otomatik olarak etkinleştirilir. Özel durumlar listesindeki trafik için IPv4 ve IPv6 aynı ayarları paylaşır. Örneğin, dosya ve yazıcı paylaşımı trafiğine izin verdiyseniz, IPv4 ve IPv6 tabanlı istekte bulunulmamış gelen dosya ve yazıcı paylaşımı trafiğine izin verilir.

Not

Windows Güvenlik Duvarı, IPv4 trafiği ve IPv6 trafiği aynı kapsam seçeneklerini desteklemez.

Yeni yapılandırma seçenekleri
ICF'yi etkinleştirmenin veya devre dışı bırakmanın tek yolu bunu Ağ Bağlantıları klasörüyle, Ağ Kurulum Sihirbazı'yla veya Internet Bağlantı Sihirbazı'yla gerçekleştirmektir. Özel durumları yapılandırmak için Ağ Bağlantıları klasörünü kullanmanız gerekir veya uygulamanız ICF kullanmalıdır; her iki durumda da özel durumları listeye otomatik olarak ekler.

Windows Güvenlik Duvarı'nda ayarları ve seçenekleri yapılandırmanın çeşitli yolları vardır, örneğin:

Netsh komutları
Netsh, ağ bileşenleri ayarlarını yapılandırmak için kullanabileceğiniz komut satırı aracıdır. Ancak, bir bileşeni yapılandırmak için bileşenin netsh bağlamı aracılığıyla bir komut kümesini desteklemesi gerekir. Windows Güvenlik Duvarı, bir komut grubuyla Windows Güvenlik Duvarı ayarlarını yapılandırmak için kullanabileceğiniz bir güvenlik duvarı bağlamı sağlar. Netsh firewall kullanarak, IPv4 ve IPv6 trafiği için Windows Güvenlik Duvarı ayarları kümesini otomatik olarak yapılandırmak üzere komut dosyaları oluşturabilirsiniz. Netsh firewall komutlarını Windows Güvenlik Duvarı'nın durumunu ve yapılandırmasını görüntülemek için de kullanabilirsiniz.

Grup İlkesi ayarları
Windows Güvenlik Duvarı, Active Directory dizin hizmeti kullanan bir kuruluştaki çok sayıda bilgisayarı merkezi olarak yapılandırabileceğiniz ve yönetebileceğiniz çeşitli yeni Grup İlkesi ayarı sağlar. Bu yeni Grup İlkesi ayarları Windows Güvenlik Duvarı'nın çalışma modlarını, özel durumları ve diğer ayarları yapılandırmanıza olanak sağlar.

Profil tabanlı ayarlar
Windows Güvenlik Duvarı iki farklı profilde ayarları yapılandırmanıza olanak sağlar: etki alanı profili ve standart profil. Etki alanı profili, bilgisayar kuruluşun etki alanı denetleyicilerinin bulunduğu ağa bağlandığında gereken Windows Güvenlik Duvarı ayarları kümesidir. Örneğin, etki alanı profili kuruluş ağındaki bilgisayarı yönetmek için gereken uygulamaların özel durumlarını içerebilir. Standart profil, bilgisayar kuruluşun etki alanı denetleyicilerinin bulunduğu ağa bağlı değilken gereken Windows Güvenlik Duvarı ayarları kümesidir (örneğin, bir çalışan seyahatte kuruluş dizüstü bilgisayarını kullandığı ve genel geniş ağı veya kablosuz Internet servis sağlayıcısını kullanarak Internet'e bağlandığı zaman). Kuruluşun dizüstü bilgisayarı doğrudan Internet'e bağlandığından, standart profil etki alanı profiline göre daha kısıtlayıcı ayarlar içermelidir.

Notlar

Internet Bağlantısı Güvenlik Duvarı yalnızca Windows Server 2003 Standard Edition ve Windows Server 2003 Enterprise Edition'ın özgün sürümlerinde bulunur.

Windows Güvenlik Duvarı, Windows Server 2003 işletim sistemlerinin özgün sürümünde bulunmaz.