Apprendre par l’exemple

ports. Mais Windows Firewall permet aussi de restreindre l’accès de certains programmes et de certains services à un protocole ou à un port.

Restreindre par application. Pour illustrer le degré de flexibilité et de granularité qu’un Windows Firewall peut atteindre, voyons la règle qui régit le BITS (Background Intelligent Transfer Service) – un service chargé de télécharger des mises à jour à partir d’ordinateurs distants. Cette règle vous permet de ne verrouiller que le service BITS en spécifiant l’application parente et le port réseau de la manière suivante. Dans le snap-in Firewall with Advanced Security, cliquez sur Inbound Exceptions dans le panneau de gauche et double-cliquez sur la règle BITS Service dans le panneau du milieu pour amener les propriétés de la règle. Sur l’onglet General, vous pouvez nommer la règle, la valider et préciser si tous les programmes ou certains seulement doivent l’utiliser. Comme le montre la figure 2, j’ai spécifié que seul svchost.exe (l’enveloppe sous laquelle les services s’exécutent) peut utiliser la règle. Dès que je clique sur OK, tous les autres programmes se voient interdire d’utiliser la règle. La section Actions me permet d’autoriser ou de bloquer toutes les connexions ou de sélectionner Allow only secure connections. Les connexions sûres comptent sur IPsec pour configurer le cryptage et l’intégrité de la communication réseau et vous permettent de spécifier un utilisateur ou un ordinateur pour authentifier la connexion.

Restreindre par protocole et par port. La première version de Windows Firewall permet de configurer le port distant de deux protocoles seulement : TCP et UDP. Ainsi, si vous vouliez permettre des connexions HTTP entrantes, vous spécifieriez le protocole et le numéro de port (par exemple, TCP 80) pour les connexions. Le parefeu de Vista vous permet de spécifier plus de 20 protocoles prédéfinis ou de définir le vôtre propre ; et vous permet aussi de spécifier le port local ainsi que le port distant. Vous pouvez également associer plusieurs ports avec une seule règle. Par exemple, pour couvrir le trafic Web crypté et non crypté, vous pourriez définir une règle appelée Web Traffic pour autoriser TCP sur les ports 80 et 443. Sur l’onglet Protocols and Ports pour la règle BITS Service, Microsoft définit le trafic BITS comme TCP sur le port local 2126. Vous pouvez aussi spécifier les paramètres de ICMP (Internet Control Message Protocol) prédéfinis, comme la demande d’écho et la réponse du routeur, ou un type et code ICMP personnalisés.