A Windowsok történetében elsőként az XP volt az, amely beépített tűzfalat kapott. Az első nekifutásra fapadosra sikeredett védelmi funkciót az elmúlt évek során a Microsoft folyamatosan finomította, így a Vista és a Windows 7 egyaránt javított e szolgáltatás biztonságán.
Előbbi platformban debütált például a Windows Filtering Platform (WPF), amelynek köszönhetően a Vista már nemcsak a bejövő, hanem a kimenő kapcsolatokat is képes egy időben monitorozni. A Windows 7 ezt az örökséget viszi tovább, kiegészítve azt az egyszerűbb kezelhetőséggel és továbbfejlesztett kétprofilos konfigurálással. Habár ennek kapcsán forradalmat botorság lenne említeni, csupán lassú evolúciót, mégis érdemes alaposan szemügyre venni az új operációs rendszer beépített biztonsági funkcióját, főként, ha nem rendelkezünk más, külső fejlesztő által készített tűzfallal hordozható gépünkön.
Kétprofilos üzemmód
A Vista óta két alapbeállítást ismer a Windows beépített tűzfala: személyeset és nyilvánosat. Ez a Windows 7-ben sem változott, annak ellenére, hogy az új platformban már három lehetőség közül választhatunk, úgymint otthoni, munkahelyi és nyilvános hálózat (illetve céges környezetben a tartományit is kiválaszthatjuk). A trükk az, hogy e hármas a tűzfal értelmezése szerint csak két változatnak felel meg, ahol a privát beállítás érvényes az otthoni és munkahelyi hálózatra, míg értelemszerűen a nyilvános a nevével megegyező lehetőséggel egyenlő. Ezen ok miatt a hordozható gépünkkel hazaérve az otthoni (a tűzfal értelmezése szerint személyes) hálózati beállításokat érdemes érvényesítenünk, míg egy vezeték nélküli interneteléréssel rendelkező kávézóban és könyvtárban a nyilvánosat, hogy a lehető legkisebbre mérsékeljük adataink és rendszerünk fenyegetésének kockázatát. Ezen esetben ugyanis a hálózati hely megadása alapján a Windows 7 automatikusan átállítja a vonatkozó tűzfal- és biztonsági beállításokat, így a felhasználó biztonságosan szörfölhet a megfelelően kiválasztott védelmi profil mellett.
Mindez meglehetősen jól hangzik, a gond csak az, hogy a Windows 7 beépített tűzfala a külső gyártók által fejlesztett védelmi megoldásokhoz képest viszonylag csendesen végzi a dolgát. Esetében nincs olyan tanuló mód, amikor mi magunk mondhatjuk meg a tűzfalnak, hogy mely kapcsolatokat szeretnénk ki-, illetve beengedni. Emellett a szoftver az újonnan telepített alkalmazásokkal szemben sem lép fel kemény kézzel, így azt a látszatot keltve, mintha nem is létezne, pedig ez egyáltalán nincs így. A védelmi mechanizmus a háttérben ugyanis automatikusan végzi a dolgát, a lehető legkevesebbszer zargatva a felhasználóját. Ám mivel egy elágazásokból, feltételekből és változókból álló algoritmussal van dolgunk, ezért jobb, ha néha rápillantunk a tűzfalra, hiszen bizonyos esetekben elképzelhető, hogy némely programok kifognak rajta, illetve nyilvános és személyes profilok között váltogatva más beállításokat szeretnénk érvénybe léptetni, mint amiket a Windows konfigurált.
Apró finomítások
Ezen művelethez nyissuk meg a Vezérlőpultot, majd a Rendszer és Biztonság beállításain belül kattintsunk a Windows tűzfal lehetőségre. A megjelenő panelen ezt követően megtudhatjuk a legfontosabb információkat. nevezetesen, hogy a Windows 7 éppen milyen hálózatokhoz, milyen profillal csatlakozik, hogy aktív-e az operációs rendszer beépített tűzfala, illetve, hogy az miként kezeli a bejövő kapcsolatokat, és mikor küld nekünk értesítést. Ha véletlenül a védelmi funkció inaktív lenne, s erre nem mi adtunk utasítást, illetve nem rendelkezünk más gyártó által készített tűzfallal, akkor gyorsan kapcsoljuk vissza. Szerencsétlen módon - valószínűleg egy ügyetlenül megoldott hivatkozás miatt - ezt két módon tehetjük meg. Az oldalsávon lévő Értesítési beállítások módosítása és a Windows tűzfal be- és kikapcsolása ugyanis ugyanarra a helyre navigál minket, így a két lehetőség közül gyakorlatilag bármelyikre klikkelhetünk. Amennyiben a Windows rendszergazdai jelszót vagy megerősítést kérne, akkor írjuk be azt, hogy továbbléphessünk.
Miután ezt megtettük, akkor a Beállítások testreszabása nevezetű ablaknál találjuk majd magunkat, ahol rögtön találkozhatunk a fentebb már említett kettős profillal. Itt ugyanis megadhatjuk, hogy magánjellegű (értsd: otthoni vagy munkahelyi) és nyilvános hálózati hely megadása esetén miként viselkedjen a tűzfal. Egyrészt profilonként bekapcsolhatjuk a védelmi mechanizmust, amelyen belül letilthatjuk az összes bejövő kapcsolatot, illetve arra utasíthatjuk az operációs rendszert, hogy küldjön értesítést, ha valamely kérésnek megálljt parancsol. Másik opcióként pedig, ha teljes mértékben megbízunk a hálózati forgalomban, akkor akár ki is kapcsolhatjuk a beépített tűzfalat. Bizonyos esetekben érdemes itt átállítani a jellemzőket, például ha a személyes hálózatunknál nincs szükségünk a tűzfal védelmére, vagy ha nyilvános helyen blokkolni akarjuk a forgalmat.
Mindez azonban csak nagyvonalú konfigurációhoz elegendő. Ha pontosabban bele akarunk látni a Windows tűzfalának a lelkivilágába, akkor lépjünk vissza a Vezérlőpulthoz, majd kattintsunk a Program vagy szolgáltatás átengedése a Windows tűzfalon opcióra. A megjelenő panelen ezt követően gyorsan áttekinthetjük, hogy az operációs rendszer mely szolgáltatásokat és szoftvereket leltározza e szempont szerint, és azon belül is mely profilok esetén engedélyezi az adatcserét, azaz azt, hogy az alkalmazások információkat küldjenek a tűzfalon keresztül.
A rövid áttekintésből talán mindenki érzékelheti majd, hogy a Windows tűzfala valamilyen ok miatt meglehetősen nagyvonalúan kezeli a kimenő és bemenő forgalmat: sok programot elfelejt leltározni, illetve soknak az eltávolítás után is külön szabályt tart fent. Azaz nem árt itt néha egy kis rendet rakni, törölve az inaktív szoftvereket, külön szabályokat alkotva, és a meglévőket módosítva. E művelethez kattintsunk a Beállítások módosítása ikonra, adjuk meg a rendszergazdai jelszót, amennyiben szükséges, és kezdjünk hozzá a finomításhoz. Elsőként is töröljük a már korábban száműzött szoftvereket: válasszuk ki azokat az egérrel, majd kattintsunk az Eltávolítás gombra. Ha ezzel megvagyunk, akkor érdemes kettéválasztanunk programjainkat aszerint, hogy melyeknek szeretnénk biztosítani a kommunikációt a tűzfalon keresztül magánhálózat, illetve nyilvános hálózat esetén. Egy példával élve veszedelmes lehet például a Windows Media Player, valamint a fájl- és nyomtatómegosztás számára engedélyezni a nyilvános helyen történő hozzáférést, hasonlóan sok olyan programhoz és szolgáltatáshoz, amelyeket otthonunkon kívül nem szeretnénk használni. Ezen esetekben a nyilvános opciók mellől vegyük ki a pipát, így a továbbiakban elegendő lesz a gép kapcsolódásánál megadnunk, hogy nyilvános hálózathoz csatlakozunk, amelyet követően a rendszer automatikusan érvényesíteni fogja az ennek megfelelő tűzfalbeállításokat.
Járjunk el ugyanígy azon alkalmazásoknál is, amelyeket egyébként nem tart nyilván a listában a beépített tűzfal. Ehhez kattintsunk a Másik program engedélyezése… ikonra, majd a megjelenő panelen adjuk meg, hogy pontosan mely alkalmazásról van szó. Utána a Hálózati helyek típusai… opcióra kattintva válasszuk ki, hogy magán- vagy nyilvános kapcsolódás esetén akarjuk-e az adatcserét engedélyezni (legalább egyet meg kell adni), majd végül klikkeljünk a Hozzáadás gombra, hogy véglegesítsük a műveletet.
A tűzfal mélyén
Ha igazán jó munkát akarunk végezni, akkor azonban még ez is kevés, mivel ezen esetben nem tudjuk csak a kimenő, vagy a bejövő forgalmat tiltani. Utóbbi konfigurálásához lépjünk vissza a Vezérlőpult tűzfal menüjébe, majd válasszuk ki a Speciális beállítások lehetőséget. Ezen esetben egy új ablakban megjelenik majd a Fokozott biztonságú Windows tűzfal kezelőfelülete, itt finomhangolhatjuk a védelmi funkció működését.
Elsőként is ne ijedjünk meg tőle, mivel céges rendszergazdáknak tervezték ugyan (erre utal például a tartományi profil opció is), ám az otthoni felhasználók is egyszerűen létrehozhatják itt a számukra szükséges szűrési szabályokat. Ezen ok miatt a házirend importálásával és exportálásával ne foglalkozzunk túl sokat, inkább a bal oldalsávon megtalálható mezőben navigáljunk a bejövő és a kimenő szabályokhoz. Ezen opcióknál ugyanis egy helyen megtekinthetjük, hogy mely alkalmazásokra és szolgáltatásokra alkalmaz a Windows tűzfala külön szabályt, hogy azokat mely profilok esetén használja (személyes, nyilvános és tartományi), hogy milyen műveletet hajt végre, valamint azt is megtudhatjuk többek között, hogy mely protokollra, helyi és távoli portra vonatkozik a regula.
A szoftverek közül próbából válasszunk ki egyet, amelyet pontosan ismerünk, majd kattintsunk a jobb oldalsávon megtalálható Tulajdonságok opcióra. A megjelenő panelen ezek után az általános beállításoknál megnézhetjük, hogy a szabály engedélyezve van-e, illetve hogy milyen műveletet hajt végre az esetében a tűzfal. Emellett a Speciális fülnél többek közt a profilok szerinti bontást találhatjuk meg, míg a Felhasználók fül alatt fiókonként definiálhatjuk a szabályt. Mi most elégedjünk meg ennyivel, s hacsak nem vagyunk biztosak a dolgukban, akkor ne bolygassuk a többi beállítást.
A fenti konfigurációs elemek közül a legérdekesebb az Általános fülnél megtalálható Csak akkor engedélyezze a kapcsolatot, ha biztonságos művelet. Az ugyanis, hogy mi számít biztonságosnak, egy relatív fogalom, ami így bővebb magyarázatra szorul. Ekkor alapesetben a Windows 7 a kapcsolatot akkor engedélyezi, ha azt a készítői hitelesítették és sértetlenség-védelemmel látták el. A Vista óta ugyanis, ha a programok megfelelnek az operációs rendszer által támasztott kapcsolatbiztonsági szabályoknak (IP sec-hitelesítés és az adatok sértetlenségét biztosító algoritmus), akkor a platform engedélyezi a kapcsolatot, mivel ekkor elfogadja, hogy úgymond jóhiszemű szoftverrel van dolga. Azaz, ha az alkalmazás fejlesztői figyeltek a Microsoft ezen iránymutatásaira, akkor a programot a Windows tűzfala gond nélkül képes kezelni. Hasonló elv alapján működik a Kapcsolatok titkosításának a megkövetelése is, amely esetben a hálózati csomagoknak egy előre definiált adattitkosítási szabálynak kell megfelelniük, míg a NULL- beágyazás használatának engedélyezése a kapcsolat számára opcióval az IP sec-hitelesítést kérhetjük számon. Megjegyzendő, hogy utóbbi két opció inkább céges környezetben lehet érdekes, otthoni felhasználók jobb, ha nem kérnek számon a szoftvereiken ilyen megfelelőségi szabályokat. Végezetül a Blokkolási szabályok felülírása opcióval arra utasíthatjuk a tűzfalat, hogy akkor is engedélyezze a kapcsolatokat, ha két szabály ütközik. Azaz ekkor a tiltásnál erősebb az engedékenység. Ezek tudatában érdemes körbenézni a tűzfal beállításainál, hiszen a fentebb tárgyalt panelhez képest az operációs rendszer itt mélyebb betekintést enged a tűzfal dolgaiba.
Veled, vagy nélküled?
Számítógéphasználati szokásaiknak megfelelően bátran vigyünk fel új szabályokat, módosítsunk meglévőket, hogy gépünk a lehető legjobb védelmet élvezhesse.
Ha így teszünk, akkor idővel meglehetősen jól beállíthatjuk a Windows 7 beépített tűzfalát, így az képes lesz megfelelő védelmet nyújtani rendszerünk és adataink számára. Végezetül fontos megjegyeznünk, hogy ezt az utat azonban csak nagyon keveseknek ajánljuk. Főként, hogy a különféle "internet security" csomagok mind tartalmaznak megbízható tűzfalat, vagy ha ilyenre nem kívánunk pénzt kiadni, akkor az interneten sok ingyenes professzionális tűzfalat találhatunk, amelyekkel megkímélhetjük magunkat mindezen fáradtságoktól. Ha csak néhányat akarunk megemlíteni, akkor ilyen például az Ashampoo, a Comodo, az Online Armor és a ZoneAlarm ingyenesen elérhető tűzfala, amelyek a telepítést követően leveszik a terhet a Windows beépített védelmi mechanizmusáról, azonnal hozzákezdve gépünk védelméhez (itt eredetileg szerepelt az Agnitum Outpost linkje is, de a cég azóta megszűnt). Egyet azonban ne tegyünk: ne kezeljük mellékesen a tűzfal kérdését, főként, hogy napjainkban hemzsegnek az interneten a kártevők és a rosszindulatú programok, amelyek mind arra várnak, hogy rés keletkezzen a felhasználók rendszerein. Tűzfal híján könnyű dolguk van.