17 - IfC - Internet Firewall Connection

24/1/2014
Julio Battisti
Tutorial de TCP/IP Parte 17 IFC Internet Firewall

Connection (Windows XP)
Introduo:
Esta a dcima stima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
bsicos do protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importante
tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte
5apresentei mais alguns exemplos e anlises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name
System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.
Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.
Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.
Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversos
aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e
a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo
de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro
protocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre um
recurso bem til: O compartilhamento da conexo Internet, oficialmente conhecida
como ICS Internet Connection Sharing. Este recurso til quando voc tem uma
pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc
pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet.
Nesta dcima stima parte, aprenderemos a utilizar o IFC Internet Firewall
Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do
Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como
objetivo proteger o acesso do usurio contra ataques e perigos vindos da
Internet. Vou abordar a verso do Firewall baseada no Windows XP com o
Service Pack 2 instalado. Caso voc ainda no tenha instalado o SP2,
recomendo faz-lo com a maior brevidade possvel, pois, em termos de
segurana, o SP2 indispensvel. Se voc est usando o Windows XP sem o
SP2, poder haver diferenas nos passos prticos, descritos neste tutorial, o
qual baseado no Windows XP cm o SP2 instalado.
Introduo
Ao nos conectarmos com a Internet estamos em contato com o mundo; e o mundo
em contato conosco. A Internet uma via de mo dupla, ou seja, podemos acessar
recursos em servidores do mundo inteiro, porm o nosso computador tambm pode
ser acessado por pessoas do mundo inteiro, se no tomarmos alguns cuidados bsicos
com segurana.
Regra nmero 1: Sempre utilize um bom programa de anti-vrus. Escolha o programa
de sua preferncia, existem muitos, instale e utilize. inadmissvel no utilizar um
programa anti-vrus. Os custos so muito baixos, existindo inclusive programas
http://www.juliobattisti.com.br/artigos/windows/tcpip_p17.asp
1/17
24/1/2014
Julio Battisti
gratuitos, em comparao com os riscos que se corre em no usar um anti-vrus.

Mensagens contendo anexos com vrus, sites com contedo dinmico que podem
causar danos, etc, so muitas as ameaas e o anti-vrus capaz de nos proteger de
grande parte delas. No site www.invasao.com.br, voc encontra uma anlise
comparativa, sobre os principais anti-vrus do mercado.
Regra nmero 2: Informao. Procure estar sempre atualizado sobre novos tipos de
vrus, novos tipos de ataques e perigos que possam comprometer a segurana do seu
computador. Para informaes sobre segurana da informao consulte regularmente o
seguinte site:www.invasao.com.br ewww.terra.com.br/tecnologia, bem como a minha
coluna semanal emhttp://www.juliobattisti.com.br/coluna
Regra nmero 3: Se voc usa o Windows XP ou o Windows Server 2003, aprenda a
utilizar e configurar o IFC (justamente o assunto desta parte do tutorial). o que voc
aprender nesta parte do tutorial. Mostrarei o que o IFC, quais as suas funes e
como configur-lo para proteger o computador que voc utiliza, para acessar a
Internet.
Firewall de Conexo com a Internet ICF

Se fssemos traduzir firewallliteralmente, seria uma parede corta-foga. Esta
denominao pode parecer sem sentido prtico, mas veremos que a funo
exatamente esta. O firewall como se fosse uma parede, um proteo, colocada entre
o seu computador e a Internet. O fogo neste caso seriam os ataques e demais perigos
vindos da Internet. A funo do Firewall bloquear (cortar) estes perigos (fogo). Um
Firewall pode fazer mais do que isso, ele tambm pode ser utilizado para bloquear
determinados tipos de trfegos a partir do seu computador para a Internet. Esta
utilizao mais comum em redes de grandes empresas, onde existe um Firewall entre
a rede da empresa e a Internet. Todo acesso Internet passa, obrigatoriamente, pelo
Firewall. Atravs de configuraes adeqadas possvel bloquear determinados tipos de
informaes que no tem a ver com o trabalho dos funcionrios. Por exemplo,
podemos, atravs do Firewal, impedir o acesso a arquivos de vdeo e udio. Mas este
no o caso do uso do ICF, o qual mais indicado para um computador conectado
diretamente Internet ou para uma pequena rede na qual um dos computadores tem
acesso Internet e compartilha esta conexo com os demais computadores (para
detalhes sobre o compartilhamento de conexo, consulte aParte 16). Na Figura a seguir
temos um diagrama que ilustra a funo de um Firewall:
Funo do Firewall
2/17
24/1/2014
Julio Battisti
A utilizao do ICF depende da configurao que estamos utilizando, ou seja, se temos

um nico computador, uma pequena rede ou uma rede empresarial. Vamos considerar
estas trs situaes distintas:
Um nico computador conectado Internet, quer seja via uma conexo dial-up ou via uma
conexo de acesso rpido: Para esta situao configuramos o ICF no computador que est
conectado Internet. O ICF protejer o computador de uma srie de ataques originados na
Internet.
Uma pequena rede onde somente um computador tem conexo com Internet: Nestas
situaes comum o computador que tem acesso Internet, compartilhar esta conexo com os
demais computadores da rede (veja a Parte 16 deste tutorial). Neste caso, quando o computador
que tem acesso Internet estiver conectado, todos os demais passaro a ter acesso Internet.
Ou seja, existe um nico ponto de acesso Internet que o computador no qual existe uma
conexo, quer seja dial-up ou de acesso rpido. Nesta situao temos que proteger o
computador que est conectado Internet, com isso protegeremos tambm os demais
computadores da rede. Nesta configurao, configuramos o computador com acesso Internet
para usar o ICF.
Uma rede empresarial com um grande nmero de computadores ligados em rede: Nestes
casos tambm comum existir um nico ponto de acesso Internet, o qual compartilhado para
todos os computadores da rede. Porm para grandes redes empresariais exigido um alto nvel
de sofisticao, capacidade de bloqueio e filtragem e proteo que somente produtos especficos
so capazes de fornecer. Nestas situaes comum existir um conjunto de equipamentos e
programas que atua como um Firewall para toda a rede da empresa. Obviamente que nestas
situaes no indicado o uso do ICF do Windows XP.
O ICF considerada uma firewall "de estado". Ela monitora todos os aspectos das
comunicaes que cruzam seu caminho e inspeciona o endereo de origem e de
destino de cada mensagem com a qual ele lida. Para evitar que o trfego no solicitado
da parte pblica da conexo (a Internet) entre na parte privada da rede (o seu
computador conectado Internet), o ICF mantm uma tabela de todas as
comunicaes que se originaram do computador no qual est configurado o ICF.
No caso de um nico computador, o ICF acompanha o trfego originado do
computador. Quando usado com o compartilhamento de conexo, no caso de uma
pequena rede com o Windows XP, o ICF acompanha todo o trfego originado no
computador com o ICF habilitado e nos demais computadores da rede. Todo o trfego
de entrada da Internet comparado s entradas na tabela e s tem permisso para
alcanar os computadores na sua rede quando houver uma entrada correspondente na
tabela mostrando que a troca de comunicao foi iniciada na rede domstica.
Na prtica o que acontece o seguinte: quando voc acessa um recurso da Internet,
por exemplo acessa o endereo de um site, o computador que voc est usando, envia
para a Internet uma requisio, solicitando que a pgina seja carregada no seu
Navegador, por exemplo. Assim pode acontecer com todos os computadores da rede,
cada um enviando as suas requisies. O ICF faz uma tabela com todas as requisies
enviadas para a Internet. Cada informao que chega no ICF, vinda da Internet
verificada. Se esta informao uma resposta a uma das requisies que encontra-se
na tabela de requisies, significa que esta informao pode ser enviada para o
computador que fez a requisio. Se a informao que est chegando, no
corresponde a uma resposta de uma das requisies pendentes, significa que pode ser
um ataque vindo da Internet, ou seja, algum tentando acessar o seu computador ou a
sua rede local. Este tipo de informao bloqueada pelo ICF. Vejam que desta forma o
ICF est protejando o seu computador, evitando que informaes no solicitadas (no
correspondentes a respostas para requisies enviadas) possam chegar at o seu
computador ou a sua rede, neste caso o ICF est cortando o fogo vindo da Internet.
Podemos configurar o ICF para simplesmente bloquear este tipo de informao no
solicitada ou, para alm de bloquear, gerar um log de registro, com informaes sobre
estas tentativas. Aprenderemos a fazer estas configuraes nos prximos tpicos.
3/17
24/1/2014
Julio Battisti
Tambm podemos configurar o ICF para permitir a entrada de informaes que

correspondem a determinados servios. Por exemplo, se voc tem uma conexo 24
horas e utilzia o seu computador como um servidor Web, no qual est disponvel um
site pessoal, voc deve configurar o ICF para aceitar requisies HTTP, caso contrrio,
o seu computador no poder atuar como um servidor Web e todas as requisies dos
usurios sero bloqueadas pelo ICF. Tambm aprenderemos a fazer estas
configuraes nos prximos tpicos.
Ao ativar o ICF, toda a comunicao de entrada, vinda da Internet, ser examindada.
Alguns programas, principalmente os de email, podem apresentar um comportamento
diferente quando o ICF estiver ativado. Alguns programas de email pesquisam
periodicamente o servidor de email para verificar se h novas mensagens, enquanto
alguns deles aguardam notificao do servidor de email. As notificaes vindas do
servidor no tero requisies correspondentes na tabela de requisies e com isso
sero bloqueadas. Neste caso o cliente de email deixaria de receber as notificaes do
servidor.
O Outlook Express, por exemplo, procura automaticamente novas mensagens em
intervalos regulares, conforme configurao do Outlook. Quando h novas mensagens,
o Outlook Express envia ao usurio uma notificao. A ICF no afetar o
comportamento desse programa, porque a solicitao de notificao de novas
mensagens originada dentro do firewall, pelo prprio Outlook. O firewall cria uma
entrada em uma tabela indicando a comunicao de sada. Quando a resposta nova
mensagem for confirmada pelo servidor de email, o firewall procurar e encontrar uma
entrada associada na tabela e permitir que a comunicao se estabelea. O usurio,
em seguida, ser notificado sobre a chegada de uma nova mensagem.
Nota: No entanto, o Outlook do Office 2000, conectado a um servidor Microsoft
Exchange que utiliza uma chamada de procedimento remoto (RPC) para enviar
notificaes de novos emails aos clientes. Ele no procura novas mensagens
automaticamente quando est conectado a um servidor Exchange. Esse servidor o
notifica quando chegam novos emails. Como a notificao RPC iniciada no servidor
Exchange fora da firewall, no no Outlook do Office 2000, que est dentro da firewall, o
ICF no encontra a entrada correspondente na tabela e no permite que as mensagens
RPC passem da Internet para a rede domstica. A mensagem de notificao de RPC
ignorada. Os usurios podem enviar e receber mensagens, mas precisam verificar a
presena de novas mensagens manualmente, ou seja, a verificao de novas
mensagens tem que partir do cliente.
Como ativar/desativar o Firewall de Conexo com a Internet

Para ativar/desativar o Firewall de Conexo com a Internet, siga os passos indicados a
seguir (Windows XP Professional):
1. Abra o Painel de controle: Iniciar -> Painel de controle.
2. Se voc estiver no modo de exibio por Categoria d um clique no link Alternar
para o modo de exibio clssico. Se voc j estiver no modo de exibio clssico v
para o prximo passo.
3. Todas as configuraes do Firewall de Conexo so feitas atravs da opo Firewall
do Windows, do Painel de Controle. D um clique duplo na opo Firewall do Windows.
4. Ser aberta a janela Firewall do Windows. Se voc tiver mais de uma conexo de
rede (por exemplo, uma conexo de rede local e uma conexo via Modem), voc
4/17
24/1/2014
Julio Battisti
poder habilitar ou desabilitar o IFC, individualmente, em cada conexo. Na janela

Firewall do Windows, d um clique na guia Avanado. Ser exibida a janela indicada na
Figura a seguir. No nosso exemplo, temos duas conexes de Rede local (Conexo local
e Conexo local 2) e o Firewall est habilitado nas duas conexes. Para habilitar o
Firewall, basta marcar a caixa de seleo ao lado da respectiva conexo. Para
desabilitar o Firewall em um ou mais conexes, basta desmarcar a caixa de seleo, ao
lado da respectiva conexo.
A guia Avanado das propriedades da conexo Internet

5.
A recomendao de sempre manter o IFC ativado, em todas as conexes de
rede que voc tiver. Com isso voc ir garantir um nvel maior de proteo, contra uma
srie de ameaas, vindas da Internet.
6.
Aps ter feito as configuraes desejadas, clique em OK, para aplic-las e fechar
a janela Firewall do Windows.
Nota: Para ativar/desativar o ICF voc deve ter feito o logon como Administrador ou
como um usurio com permisses de Administrador. Para todos os detalhes sobre a
criao e administrao de usurios no Windows XP, consulte o Captulo 6 do meu
livro: Windows XP Home & Professional Para Usurios e Administradores Segunda
Edio.
Como ativar/desativar o log de Segurana do ICF

O log de segurana da Firewall de conexo com a Internet (ICF) permite que voc
5/17
24/1/2014
Julio Battisti
escolha quais as informaes sero registradas no log. Com o uso do Log de

Segurana possvel:
Registrar em log os pacotes eliminados, isto , pacotes que foram bloqueados pelo Firewall. Essa
opo registrar no log todos os pacotes ignorados que se originarem da rede domstica ou de
pequena empresa ou da Internet.
Registrar em log as conexes bem-sucedidas, isto , pacotes que no foram bloqueados. Essa
opo registrar no log todas as conexes bem-sucedidas que se originarem da rede domstica
ou de pequena empresa ou da Internet.
Quando voc marca a caixa de seleo Registrar em log os pacotes eliminados

(veremos como fazer isso no prximo tpico), as informaes so coletadas a cada
tentativa de trfego pela firewall a qual tenha sido detectada e negada/bloqueada pelo
ICF. Por exemplo, se as configuraes do protocolo ICMP no estiverem definidas para
permitir solicitaes de entrada, como as enviadas pelos comandos Ping e Tracert, e
uma solicitao deste tipo, for recebida de fora da rede, ela ser ignorada/bloqueada e
ser feito um registro no log. Os comandos ping e tracert so utilizados para verificar
se computadores de uma rede esto conectados a rede. Estes comandos so
baseados em um protocolo chamado ICMP Internet Control Message Protocol. O ICF
pode ser configurado para no aceitar este protocolo (aprenderemos a fazer estas
configuraes mais adiante). Neste caso, toda vez que utilizarmos os comandos ping
ou tracert, ser feita uma tentativa de trafegar informaes usando o protocolo ICMP,
o que ser bloqueado pelo Firewall e ficar registrado no log de segurana.
Quando voc marca a caixa de seleo Listar conexes de sada bem-sucedidas, so
coletadas informaes sobre cada conexo bem-sucedida que passe pela firewall. Por
exemplo, quando algum da rede se conecta com xito a um site da Web usando o
Internet Explorer, gerada uma entrada no log. Devemos ter cuidado com esta opo,
pois dependendo do quanto usamos a Internet, ao marcar esta opo ser gerado um
grande nmero de entradas no log de segurana do ICF, embora seja possvel limitar o
tamanho mximo do arquivo no qual so gravadas as entradas do log, conforme
aprenderemos mais adiante.
O log de segurana produzido com o formato de arquivo de log estendido no padro
W3C, que um formato padro definido pela entidade que define padres para a
internet, o W3. Maiores informaes no site: www.w3.org. O arquivo no qual est o log
de segurana um arquivo de texto comum, o qual pode ser lido utilizando um editor
de textos como o Bloco de notas.
Como configurar o log de segurana do IFC:

Por padro, ao ativarmos o ICF, o log de segurana no ativado. Para ativ-lo, de tal
maneira que passem a ser registrados eventos no log de segurana, siga os passos
indicados a seguir (Windows XP):
1.
Abra o Painel de controle: Iniciar -> Painel de controle.
2.
Se voc estiver no modo de exibio por Categoria d um clique no link Alternar
3.
Todas as configuraes do Firewall de Conexo so feitas atravs da opo
Firewall do Windows, do Painel de Controle. D um clique duplo na opo Firewall do
Windows.
4.
Ser aberta a janela Firewall do Windows. Na janela Firewall do Windows, d um
6/17
24/1/2014
Julio Battisti
clique na guia Avanado. Ser exibida a guia de Configuraes Avanadas.

5.
Na guia Avanado, d um clique no boto Configuraes..., ao lado da opo Log
de segurana.
6.
Ser exibida a janela Configuraes de log, com as opes indicadas na Figura a
seguir:
Configurando opes do log de segurana do ICF

Nesta guia temos as seguintes opes:
Registrar em logo os pacotes eliminados: Marque esta opo para que todos os pacotes
ignorados/bloqueados que se originaram da rede privada ou da Internet, sejam registrados no
log de segurana do ICF.
Registrar em log as conexes bem-sucedidas: Marque esta opo para que todas as conexes
bem-sucedidas que se originaram da sua rede local ou da Internet sero registradas no log de
segurana.
Campo Nome: Neste campo definimos o nome do arquivo onde sero gravadas as entradas do
log de segurana. Por padro sugerido o seguinte caminho: C:\Windows\pfirewall.log.
Substitua C:\Windows pela pasta onde est instalado o Windows XP, caso este tenha sido
instalado em outra pasta.
Limite de tamanho: Define o tamanho mximo para o arquivo do log de segurana. O tamanho
mximo admitido para o arquivo de log 32.767 quilobytes (KB). Quando o tamanho mximo for
atingido, as entradas de log mais antigas sero descartadas.
7.
Marque a opo Registrar em log os pacotes eliminados.
8.
Marque a opo Registrar em log as conexes bem sucedidas.
9.
D um clique no boto OK para aplicar as novas configuraes.
10.
Voc estar de volta guia Avanado da janela de Configuraes do Firewall. D
um clique no boto OK para fechar esta janela.
11.
Faa uma conexo com a Internet e acesse alguns sites, abra o Outlook e envie
algumas mensagens. Isto para gerar trfego atravs do Firewall, para que sejam
geradas entradas no log de segurana.
Agora vamos abrir o arquivo e ver os eventos que foram gravados no log de
seguranao.
7/17
24/1/2014
12.
Julio Battisti
Abra o bloco de Notas.
13.
Abra o arquivo definido como aqruivo de log, que por padro o arquivo
C:\Windows\pfirewall.log. Caso voc tenha alterado esta opo, abra o respectivo
arquivo.
Na Figura a seguir temos uma viso de algumas entradas que foram gravadas no
arquivo de log:
O arquivo do log de segurana.

Observe que cada entrada segue um padro definido, como por exemplo:
2002-03-18 23:07:57 DROP UDP
------Data
tamanho.
200.176.2.10 200.176.165.149 53 3013 379
Hora Ao Prot. End. IP origem End. IP Destino po pd
Onde:
Prot. = Protocolo utilizado para comunicao.
po
= Porta de origem.
pd
= Porta de destino.
Nota: Estas informaes so especialmente teis para tcnicos em segurana de
redes, os quais conhecem bem o protocolo TCP/IP, para que eles possam analisar a
origem de possveis ataques. Para mais detalhes sobre Portas no Protocolo TCP/IP,
consulte a Parte 12deste tutorial.
14.
Feche o arquivo de log.
Nota: Para desabilitar o log de segurana, repita os passos de 1 a 6 e desmarque as

opes desejadas. Por exemplo, se voc no deseja registrar um log das conexes
bem sucedidas, as quais no representam perigo de ataque, desmarque a opo
Registrar em log as conexes bem sucedidas.
Habilitando servios que sero aceitos pelo ICF

8/17
24/1/2014
Julio Battisti
Se voc tem uma conexo permanente com a Internet e quer utilizar o seu
computador com Windows XP como um servidor Web (disponibilizando pginas), um
servidor ftp (disponibilizando arquivos para Download) ou outro tipo de servio da
Internet, voc ter que configurar o ICF para aceitar requisies para tais servios.
Lembre que, por padro, o ICF bloqueia todo trfego vindo da Internet, que no seja
resposta a uma requisio da rede interna, enviada pelo usurio. Se voc vai utilizar o
seu computador como um Servidor, o trfego vindo de fora corresponder as
requisio dos usurios, requisies estas que tero que passar pelo ICF para chegarem
at o servidor e ser respondidas.
Por padro nenhum dos servios est habilitado, o que garante uma maior segurana.
Para habilitar os servios necessrios, siga os seguintes passos:
1.
Faa o logon com uma conta com Permisso de Administrador e abra o Painel de
controle: Iniciar -> Painel de controle.
2.
3.
Windows.
4.
Ser aberta a janela Firewall do Windows. Se voc tiver mais de uma conexo de
poder fazer as configuraes de servios, individualmente, em cada conexo. Na
janela Firewall do Windows, d um clique na guia Avanado. No nosso exemplo, temos
duas conexes de Rede local (Conexo local e Conexo local 2) e o Firewall est
habilitado nas duas conexes. Para configurar os servios de uma das conexes, clique
na respectiva conexo para marc-la e d um clique no boto Configuraes...,ao lado
da lista de conexes
5.
Ser exibida a janela Configuraes avanadas. D um clique na guia Servios,
ser exibida a janela indicada na Figura a seguir:
9/17
24/1/2014
Julio Battisti
Habilitando/desabilitando servios para o ICF.

Para habilitar um determinado servio, basta marcar a caixa de seleo ao lado do
respectivo servio. Ao clicar em um determinado servio, ser aberta,
automaticamente, uma janela Configuraes de servio. Esta janela vem com o valor
padro para os parmetros de configurao do respectivo servio. Somente altere
estes valores se voc souber exatamente o que cada parmetro significa, pois ao
informar parmetros incorretamente, o servio deixar de funcionar.
Voc tambm pode utilizar o boto Adicionar..., para adicionar novos servios, no
constantes na lista.
6.
Aps ter habilitados os servios necessrios, d um clique no boto OK para
aplicar as alteraes.
7.
Voc estar de volta janela Propriedades da conexo. D um clique no boto
OK para fech-la.
Configuraes do protocolo ICMP para o Firewall

Conforme descrito anteriormente, o protocolo ICMP utilizado por uma srie de
utilitrios de rede, utilitrios estes que so usados pelo Administrador da rede para fazer
testes de conexes e monitorar equipamentos e linhas de comunicao. Por padro o
ICF bloqueia o trfego ICMP. Ns podemos personalizar a maneira como o trfego
ICMP ser tratado pelo ICF. Podemos liberar todo o trfego ICMP ou apenas
determinados tipos de uso, para funes especficas.
Para configurar o padro de trfego ICMP atravs do Firewall, siga os passos indicados
a seguir:
10/17
24/1/2014
Julio Battisti
1.
Faa o logon com uma conta com Permisso de Administrador e abra o Painel de
controle: Iniciar -> Painel de controle.
2.
3.
Windows.
4.
Ser aberta a janela Firewall do Windows. Se voc tiver mais de uma conexo de
poder fazer as configuraes do protocolo ICMP, individualmente, em cada conexo.
Na janela Firewall do Windows, d um clique na guia Avanado. No nosso exemplo,
temos duas conexes de Rede local (Conexo local e Conexo local 2) e o Firewall est
habilitado nas duas conexes. Para configurar as opes do protocolo ICMP de uma das
conexes, clique na respectiva conexo para marc-la e d um clique no boto
Configuraes...,ao lado da lista de conexes
5.
Ser exibida a janela Configuraes avanadas. D um clique na guia ICMP, ser
exibida a janela indicada na Figura a seguir:
Configurando o trfego ICMP atravs do Firewall.

Na guia ICMP podemos marcar/desmarcar as seguintes opes:
Permitir solicitao de eco na entrada: Se esta opo estiver marcada, as mensagens enviadas
para este computador sero repetidas para o remetente. Por exemplo, se algum de fora der um
ping para este computador, uma resposta ser enviada. Se esta opo estiver desmarcada o
computador no responder a comandos como pint e tracert.
11/17
24/1/2014
Julio Battisti
Permitir solicitao de carimbo de data/hora de entrada: Os dados enviados para o

computador podem ser confirmados por uma mensagem indicando quando foram recebidos.
Permitir solicitao de mscara de entrada: A mscara de entrada um parmetro de
configurao do protocolo TCP/IP, parmetro este que utilizado pelo protocolo para definir se
duas mquinas que esto tentando se comunicar, pertencem a mesma rede ou a redes
diferentes (veja todos os detalhes na Parte 2). Se este parmetro estiver marcado, o
computador ser capaz de fornecer diversas informaes sobre a rede a qual ele est conectado.
Esta opo importante quando estamos utilizando programas de gerenciamento de rede que,
utilizam o protocolo ICMP para obter informaes sobre os equipamentos da rede.
Permitir solicitao de roteador de entrada: Se esta opo estiver marcada o computador ser
capaz de responder s solicitaes sobre quais rotas ele conhece.
Permitir destino de sada inacessvel: Os dados enviados pela Internet, tendo como destino
este computador e, que no conseguiram chegar at ele devido a algum erro sero
descartados e ser exibida uma mensagem explicando o erro e informando que o destino est
inacessvel. A mensagem ser exibida no computador de origem, o qual tentou enviar dados para
este computador, dados estes que no conseguiram chegar.
Permitir retardamento de origem de sada: Quando a capacidade de processamento de dados
de entrada do computador no for compatvel com a taxa de transmisso dos dados que esto
chegando, os dados sero descartados e ser solicitado ao remetente que diminua a velocidade
de transmisso.
Permitir problema no parmetro de sada: Se este computador descartar dados devido a um
problema no cabealho dos pacotes de dados, ele enviar ao remetente uma mensagem de erro
informando que h um cabealho invlido.
Permitir hora de sada ultrapassada: Se o computador descartar uma transmisso de dados por
precisar de mais tempo para conclu-la, ele enviar ao remetente uma mensagem informando que
o tempo expirou.
Permitir redirecionamento: Os dados enviados pelo computador seguiro uma rota alternativa,
se uma estiver disponvel, caso o caminho (rota) padro tenha sido alterado.
6.
Marque as opes que forem necessrias, de acordo com as funes que estiver
desempenhando o comuptador.
7.
Aps ter marcado as opes necessrias, d um clique no boto OK para aplicar
as alteraes.
8.
Voc estar de volta janela Propriedades do Firewall. D um clique no boto OK
para fech-la.
Novidades do Firewall do Windows XP SP2

A primeira novidade que o prprio nome mudou. Antes do SP2, o Firewall era
referenciado como ICF. A partir do SP2, passamos a utilizar a denominao Firewall do
Windows. Com o SP2 foram introduzidas uma srie de modificaes, bastante
significativas, as quais trouxeram muitas melhorias e uma maior segurana.
Novidade 01 - O Firewall do Windows Ativado por padro: Nas verses anteriores, antes do
SP2, o Firewall vinha desativado por padro. O usurio que tinha que ativar o Firewall,
manualmente, usando os passos descritos anteriormente. Com o SP2, o Firewall do Windows
ativado por padro, o que oferece uma maior proteo, por padro, contra ataques e invases
vindas da Internet. Isso tambm ajuda a proteger qualquer conexo de rede que seja
adicionada ao sistema, pois o Firewall ser ativado, por padro, para qualquer nova conexo de
rede que for adicionada.
Novidade 02 - Maior segurana no momento da inicializao: Antes do SP2, quando o
Windows XP era inicializado, havia um pequeno espao de tempo entre os servios de rede
serem inicializados e o firewall ser ativado, pequeno perodo este, durante o qual o computador
ficava vulnervel (sem a proteo do Firewall). Com o SP2, durante a inicializao e o
desligamento, o driver do firewall usa uma regra chamada filtro de inicializao para evitar
12/17
24/1/2014
Julio Battisti
ataques durante esses breves perodos de tempo. Uma vez ligado e em execuo, o Firewall do
Windows carrega as configuraes personalizadas pelo usurio e remove os filtros de
inicializao. Isso torna o computador menos vulnervel a ataques durante as operaes de
inicializao e desligamento.
Novidade 03 - Lista de excees do Firewall do Windows: Talvez voc veja um alerta de
segurana ao executar um programa que exija conexo e comunicao bidirecional (enviar e
receber dados), atravs de uma rede ou da Internet. Por exemplo, muitos jogos multi-usurios
da Internet, usam portas de comunicao que so bloqueadas pelo Firewall do Windows, por
padro. Geralmente, so as mesmas portas usadas por vrus, trojans e pelos crackers para
tentar invadir e acessar indevidamente o computador do usurio. Para abrir uma porta para um
jogo, voc pode adicion-lo lista de excees do Firewall do Windows. A porta ser aberta
somente quando o jogo estiver em andamento e ser fechada assim que ele terminar. Com isso,
as portas utilizadas por estes jogos e programas, somente ficaro abertas enquanto o jogo
estiver em execuo. Este bloqueio garante um elevado grau de segurana contra ataques de
crackers, contra o seu computador.
Para adicionar um programa lista de Excees do Firewall do Windows, siga os passos

indicados a seguir:
1.
Faa o logon como Administrador ou com uma conta com permisso de
Administrador.
2.
Abra o Painel de Controle: Iniciar -> Painel de Controle.
3.
Abra a opo Firewall do Windows.
4.
Na guia Geral, voc tem a opo No permitir excees. Se voc marcar esta
opo, nenhuma exceo ser permitida. Para o nosso exemplo, mantenha esta opo
desmarcada.
5.
Clique na guia Excees. Observe que, por padro, j vem algumas excees
ativadas, conforme indicado na Figura a seguir:
13/17
24/1/2014
Julio Battisti
Figura Configurando Excees no Firewall do Windows.

6.
Para adicionar um novo programa, lista de excees, clique no boto Adicionar
programa. Ser exibida a janela Adicionar um programa, com a lista de programas
instalados no seu computador. Clique no programa a ser adicionado e clique em OK.
Voc estar de volta guia Excees, com o novo programa j adicionado.
7.
Voc pode habilitar ou desabilitar as excees, para os programas adicionados
lista de excees. Para isso, basta marcar ou desmarcar a caixa de seleo, ao lado do
nome do programa.
8.
Para remover um programa da lista de Excees, clique no programa para
selecion-lo e depois clique no boto Excluir. Ser exibida uma mensagem de
confirmao. Clique em Sim, para confirmar a excluso do programa, da lista de
excees.
9.
Voc pode clicar em um programa da lista para marc-lo e depois clicar no boto
Editar. Por exemplo, clique no item Compartilhamento de Arquivo e Impressora, para
marc-lo e depois clique no boto Editar. Ser aberta a janela Editar um servio,
indicada na Figura a seguir, onde so exibidas as portas utilizadas pelo programa (no
caso o Servio de Compartilhamento de Arquivo e Impressora). Se necessrio, voc
pode desabilitar uma ou mais das portas utilizadas por um programa/servio. S
desabilite uma porta, se voc tiver certeza do que est fazendo, com base na
documentao do programa, pois ao desabilitar uma ou mais portas, determinadas
funcionalidades do programa em questo, podero deixar de funcionar corretamente.
14/17
24/1/2014
Julio Battisti
Figura Editando as portas de um programa/servio.

10.
Aps ter feito as alteraes desejadas, clique em OK para fechar a janela Editar
um Servio. Voc estar de volta guia Excees.
11.
Voc pode usar o boto Adicionar porta..., para adicionar uma porta especfica
(tanto UDP quanto TCP), lista de excees do Firewall. Por exemplo, se voc tem um
programa que precisa utilizar a porte TCP 2500, voc pode usar o boto Adicionar
porta..., para adicionar esta porta lista de excees do Firewall do Windows. Com
isso, o programa que utiliza a porta TCP 2500, poder funcionar, normalmente, mesmo
com o Firewall ativado. Observe que com isso, o Firewall do Windows nos oferece, ao
mesmo tempo, segurana e flexibilidade.
12.
Aps ter configurado as excees desejadas, clique em OK para fechar a janela
de configuraes do Firewall do Windows.
Novidade 04 - Modo operacional Ativado sem excees: Este recurso permite desativar
facilmente todas as excees na lista de excees do Firewall do Windows. Embora voc precise
delas para usar determinados programas, s vezes recomendvel desativar todas as excees
para obter segurana mxima. Por exemplo, se voc usar seu computador no ponto de acesso
de um aeroporto ou em um cyber caf, ele estar vulnervel a vrus e outras ameaas
segurana. Configurando o Firewall do Windows para Ativado sem excees sempre que usar o
computador em um local pblico, voc reduzir os riscos Quando voltar a usar o computador em
uma configurao mais segura, voc poder habilitar a lista de excees novamente sem
problemas.
Para habilitar o modo operacional Ativado sem excees, siga os passos indicados a
seguir:
1.
Administrador.
2.
3.
4.
Na guia Geral, marque a opo No permitir excees e clique em OK.
5.
Para desativar o modo operacional Ativado sem excees, siga os passos de 1
a 3 novamente e, na guia Geral, desmarque a opo No permitir excees e clique
em OK
15/17
24/1/2014
Julio Battisti
Novidade 05 - Restaurar padres: Com o tempo, ao adicionar programas ou portas lista de

excees do Firewall do Windows, possvel que ele seja configurado indevidamente para
aceitar trfego de entrada no solicitado, comprometendo a segurana do computador. Nas
verses anteriores do Firewall do Windows (chamado anteriormente de firewall de conexo com
a Internet ou ICF), no havia uma maneira prtica e rpida de reverter para as configuraes e
padres originais. Esta opo permite restaurar o Firewall do Windows a suas configuraes
padro. Alm disso, esses padres podem ser modificados para oferecer opes de configurao
personalizadas.
Para restaurar as configuraes Padro do Firewall do Windows, siga os passos

indicados a seguir:
1.
Administrador.
2.
3.
4.
Clique na guia Avanado. Na guia Avanado, clique no boto Restaurar padres,
indicado na Figura a seguir:
Figura A opo Restaurar padres.

5.
Ser exibida uma mensagem de confirmao. Clique em Sim para restaurar as
configuraes padro do Firewall do Windows.
6.
Voc estar de volta janela de configuraes do Firewall. Clique em OK para
16/17
24/1/2014
Julio Battisti
fech-la.
Concluso
Nesta parte do tutorial mostrei como funciona o servio firewall do Windows XP,
conhecido como ICF Internet Connection Firewall. O ICF apresenta funcionalidades
bsicas e um nvel de proteo satisfatrio para usurios domsticos e de pequenas
redes. Para redes empresarias, sem nenhuma dvida, faz-se necessria a utilizao de
produtos projetados especificamente para proteo e desempenho. Um destes
produtos o Internet Security and Acceleration Server ISA Server. Maiores detalhes
no seguinte endereo:http://www.microsoft.com/isaserver
Ao fazer uma conexo com a Internet estamos em contato com o mundo; e o mundo
em contato conosco. A Internet uma via de mo dupla, ou seja, podemos acessar
recursos em servidores do mundo inteiro, porm o nosso computador tambm pode
ser acessado por pessoas do mundo inteiro, se no tomarmos alguns cuidados bsicos
com segurana.
Para nos proteger contra estes perigos digitais, aprendemos a habilitar e configurar o
ICF Internet Connector Firewall. Aprendemos sobre o conceito de Firewall e como
configurar o ICF.
17/17

17 - IfC - Internet Firewall Connection

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

17 - IfC - Internet Firewall Connection

Загружено:

Авторское право:

Доступные форматы

24/1/2014

Tutorial de TCP/IP Parte 17 IFC Internet Firewall

gratuitos, em comparao com os riscos que se corre em no usar um anti-vrus.

Firewall de Conexo com a Internet ICF

A utilizao do ICF depende da configurao que estamos utilizando, ou seja, se temos

Tambm podemos configurar o ICF para permitir a entrada de informaes que

Como ativar/desativar o Firewall de Conexo com a Internet

poder habilitar ou desabilitar o IFC, individualmente, em cada conexo. Na janela

A guia Avanado das propriedades da conexo Internet

Como ativar/desativar o log de Segurana do ICF

escolha quais as informaes sero registradas no log. Com o uso do Log de

Quando voc marca a caixa de seleo Registrar em log os pacotes eliminados

Como configurar o log de segurana do IFC:

Abra o Painel de controle: Iniciar -> Painel de controle.

Ser aberta a janela Firewall do Windows. Na janela Firewall do Windows, d um

clique na guia Avanado. Ser exibida a guia de Configuraes Avanadas.

Configurando opes do log de segurana do ICF

Marque a opo Registrar em log os pacotes eliminados.

Marque a opo Registrar em log as conexes bem sucedidas.

D um clique no boto OK para aplicar as novas configuraes.

Abra o bloco de Notas.

O arquivo do log de segurana.

200.176.2.10 200.176.165.149 53 3013 379

Hora Ao Prot. End. IP origem End. IP Destino po pd

Feche o arquivo de log.

Nota: Para desabilitar o log de segurana, repita os passos de 1 a 6 e desmarque as

Habilitando servios que sero aceitos pelo ICF

Habilitando/desabilitando servios para o ICF.

Configuraes do protocolo ICMP para o Firewall

Configurando o trfego ICMP atravs do Firewall.

Permitir solicitao de carimbo de data/hora de entrada: Os dados enviados para o

Novidades do Firewall do Windows XP SP2

Para adicionar um programa lista de Excees do Firewall do Windows, siga os passos

Abra o Painel de Controle: Iniciar -> Painel de Controle.

Abra a opo Firewall do Windows.

Figura Configurando Excees no Firewall do Windows.

Figura Editando as portas de um programa/servio.

Abra o Painel de Controle: Iniciar -> Painel de Controle.

Abra a opo Firewall do Windows.

Na guia Geral, marque a opo No permitir excees e clique em OK.

Novidade 05 - Restaurar padres: Com o tempo, ao adicionar programas ou portas lista de

Para restaurar as configuraes Padro do Firewall do Windows, siga os passos

Abra o Painel de Controle: Iniciar -> Painel de Controle.

Abra a opo Firewall do Windows.

Figura A opo Restaurar padres.

Voc estar de volta janela de configuraes do Firewall. Clique em OK para

Вам также может понравиться