Служба новостей IDG, Сан-Франциско

Новый сетевой экран, который войдет в состав операционной системы Windows Vista, называют «двунаправленным», поскольку он фильтрует как входящий, так и исходящий сетевой трафик

Корпорация Microsoft начала разрабатывать сетевой экран с широкими возможностями конфигурации для новой операционной системы Windows Vista. Этот продукт позволит расширить возможности контроля работы приложений для системных администраторов.

Для того чтобы применить новые возможности сетевого экрана, пользователям Vista необходимо создать настраиваемую консоль управления, а затем сконфигурировать ее для того, чтобы загрузить Windows Firewall with Advanced Security

После того как брандмауэр в течение месяца тестировался пользователями Community Technology Preview (CTP), Остин Вилсон, директор группы Microsoft Windows Client, заявил, что, скорее всего, этот сетевой экран будет добавлен в окончательную версию Vista, которая должна быть выпущена к концу текущего года. Более того, вполне возможно, что аналогичные функции будут предложены не только для корпоративных, но и для домашних пользователей.

Новый сетевой экран называют «двунаправленным», поскольку он фильтрует как входящий, так и исходящий сетевой трафик, то есть он может использоваться для блокировки попыток подключиться к ПК под управлением Windows, а также для контроля приложений, работающих на ПК и делающих попытки связаться с другими системами в сети.

В Windows XP возможность блокировки исходящего трафика сейчас отсутствует. За счет использования экрана администраторы могли бы, например, гарантировать, что их ПК применяют только рекомендованное в данной организации приложение мгновенной передачи сообщений.

Несмотря на то что представители Microsoft ранее говорили о намерении корпорации добавить экран в состав Vista, только недавно стало известно, как именно он будет работать.

Новые возможности сетевого экрана были анонсированы в выпущенном в декабре документе CTP build 5270, но использование этих функций было сопряжено с рядом трудностей и, кроме того, оказалось, что они обходятся значительно дороже, чем предполагали тестеры. Так в своем блоге, посвященном Windows, заявил соавтор книги «Microsoft Windows XP изнутри» Эд Ботт.

«После установки Windows Vista Build 5270 и проверки всех функций защиты в Control Panel можно прийти к выводу, что Windows Firewall совсем не изменился», — писал он в блоге 14 января.

Для того чтобы применить новые возможности сетевого экрана, пользователям Vista необходимо создать настраиваемую консоль управления, а затем сконфигурировать ее для того, чтобы загрузить Windows Firewall with Advanced Security.

Консоль можно использовать двумя способами. Она может применяться в «режиме одной машины» для управления только ПК, на котором она установлена, или ее можно сконфигурировать с помощью Active Directory для установки правил, которые применяются к большому количеству машин.

«Допустим у меня есть 10 тыс. машин и я могу один раз ввести правило, которое блокирует данное приложение. Это правило будет растиражировано на все мои 10 тыс. машин», — заметил Вилсон.

Похожие функции существуют во многих продуктах защиты, но блокировка исходящего трафика, которая будет встроена в операционную систему, значительно упростит работу администраторов корпоративных систем. Сейчас они вынуждены создавать специальные скрипты и правила работы группы для того, чтобы наложить некие ограничения на использование ПК с Windows.

Базовый код сетевого экрана, получивший название Windows Filtering Platform, был переписан для Vista, однако, по словам Вилсона, большинство пользователей не заметят никаких существенных различий между XP и новой операционной системой.

«В Vista на самом деле есть две различные консоли сетевого экрана. Если вы выберете в Control Panel опцию Firewall, то получите традиционную консоль, которая была в Windows XP, — заметил Вилсон. — Если вы обратитесь к другой консоли, под названием Windows Firewall with Advanced Security, тогда вы получите в свое распоряжение фильтрацию и входящего, и исходящего трафика». В обеих консолях используется Windows Filtering Platform, которая была переписана с тем, чтобы улучшить возможности перехвата сетевого трафика в Windows и повысить эффективность работы программного обеспечения с ядром Windows.

В Microsoft подумывают о том, чтобы добавить функции фильтрации исходящего трафика для потребителей в продукт, который будет выпущен после Vista Windows. Однако необходимо еще многое сделать для того, чтобы упростить использование двунаправленного сетевого экрана. «Прежде всего мы должны убедиться в полной совместимости приложений при активации этих функций», — заметил Вилсон.