Добавление и изменение правила брандмауэра

С помощью мастера настройки программного обеспечения (SCW) можно создавать правила брандмауэра, разрешающие компьютеру отправлять или получать трафик от программ, системных служб, компьютеров или пользователей. Можно создать правила брандмауэра, выполняющие одно из трех действий для всех подключений, отвечающих условиям правила: разрешить подключение, разрешить только подключение с использованием IP-безопасности (IPsec), явно блокировать подключение.

Важно!

Правила брандмауэра разрешают прохождение трафика через брандмауэр, но не защищают трафик. Для защиты трафика с помощью IPsec можно создать правила безопасности подключения. Однако создание правила безопасности подключения не разрешает прохождение трафика через брандмауэр. Чтобы разрешить прохождение трафика, который по умолчанию блокируется брандмауэром, необходимо создать правило брандмауэра. Правила безопасности подключения не применяются к программам и службам, они применяются к соединению между двумя компьютерами. Для создания правил безопасности подключений необходимо использовать оснастку «Брандмауэр Windows в режиме повышенной безопасности» (FW.msc).

Вкладка «Общие»

Правила можно создать либо для входящего, либо для исходящего трафика. При настройке правила можно указать программу, службу, протокол или порт. При изменении ИТ-среды можно изменять, создавать или удалять правила.

Правила брандмауэра применяются в следующем порядке.

  • Обход с проверкой подлинности (правила, перекрывающие правила блокирования)

  • Блокирование подключения

  • Разрешение подключения

Правила входящих подключений

Правила входящих подключений явно разрешают или явно блокируют трафик, формируемый при попытке доступа к компьютеру и соответствующий условиям правила. Например, можно создать правило, чтобы явно разрешить прохождение через брандмауэр защищенного посредством IPsec трафика для удаленного рабочего стола, но блокировать тот же трафик, не защищенный IPsec. При первоначальной установке Windows входящий трафик блокируется, для его разрешения необходимо создать правило входящих подключений.

Правила исходящих подключений

Правила исходящих подключений явно разрешают или явно блокируют трафик, исходящий с компьютера и соответствующий условиям правила. Например, можно создать правило, явно блокирующее исходящий трафик к определенному компьютеру через брандмауэр, но разрешающее тот же трафик к другим компьютерам. Исходящий трафик по умолчанию разрешен, поэтому для его блокирования необходимо создать правило исходящего трафика.

Вкладка «Программы и службы»

Поскольку брандмауэр Windows в режиме повышенной безопасности по умолчанию блокирует весь входящий незапрошенный трафик TCP/IP, может потребоваться настройка правил программы, порта и системной службы для программ и служб, действующих как серверы, прослушиватели или одноранговые узлы. Необходимо регулярно проверять правила программы, порта и системной службы на случай изменения ролей сервера или его конфигурации.

Важно!

Настройки правила брандмауэра добавляют возрастающие уровни ограничения к условиям правила, по которым будут отбираться запросы на подключение. Например, если на вкладке Программы и службы не указана программа или служба, соединение будет разрешено для всех программ и служб, отвечающих другим условиям. Таким образом, уточнение условий делает правило все более строгим и снижает вероятность соответствия его условиям.

Для добавления программы в список правил необходимо указать полный путь к исполняемому файлу программы (EXE-файлу). Системная служба, запускаемая из собственного уникального EXE-файла и не содержащаяся в контейнере службы, считается программой и может быть добавлена к списку правил. Таким же образом программа, работающая как системная служба и выполняемая независимо от наличия пользователя в системе, также считается программой, если она запускается из собственного уникального EXE-файла.

Внимание!

Внесение в список правил программ, содержащих службы, таких как Svchost.exe, Dllhost.exe и Inetinfo.exe, без дополнительных ограничений в правиле может нарушить безопасность компьютера. Добавление этих программ может также противоречить другим ограничительным политикам служб на компьютерах под управлением ОС Windows Server 2008 R2 или Windows Server 2008.

При добавлении программы в список правил брандмауэр Windows в режиме повышенной безопасности динамически открывает (разблокирует) и закрывает (блокирует) порты, требуемые программой. Когда программа выполняется и прослушивает входящий трафик, брандмауэр Windows в режиме повышенной безопасности открывает нужные порты. Когда программа не выполняется или не прослушивает входящий трафик, брандмауэр Windows в режиме повышенной безопасности закрывает эти порты. Из-за подобного динамического поведения добавление программ в список правил является рекомендуемым методом разрешения незапрошенного входящего трафика через брандмауэр Windows в режиме повышенной безопасности.

Примечание

Правила программ, разрешающие прохождение незапрошенного входящего трафика через брандмауэр Windows в режиме повышенной безопасности можно применять только в том случае, если программа использует для создания назначений портов сокеты Windows (Winsock). Если программа не использует сокеты Windows для назначения портов, необходимо определить, какие порты она использует и добавить их к списку правил.

Вкладка «Протоколы и порты»

В случаях, когда невозможно добавить программу или системную службу в список правил, необходимо определить используемые программой или службой порты и добавить их в список правил брандмауэра Windows в режиме повышенной безопасности.

На вкладке Протоколы и порты можно выбрать из списка наиболее часто используемых протоколов и сопоставленных им номеров. Если протокол, который требуется добавить, отсутствует в списке, выберите Другое и укажите номер протокола.

Если выбран протокол TCP или UDP, можно затем указать локальные и удаленные порты, к которым это правило применяется. Порт TCP или UDP, добавленный в список правил, всегда открыт (разблокирован) при запущенном брандмауэре Windows в режиме повышенной безопасности, независимо от наличия программы или системной службы, прослушивающей входящий трафик для данного порта. Поэтому для разрешения незапрошенного входящего трафика через брандмауэр Windows в режиме повышенной безопасности следует создавать правила программ, а не правила портов.

Вкладка «Область»

Используйте вкладку Область для указания IP-адреса, подсети или диапазона IP-адресов. Можно использовать адреса IPv4 и IPv6.

Локальные IP-адреса

В группе Локальные IP-адреса можно настроить правило брандмауэра для применения в случае, когда конечным компьютером является локальный компьютер. Можно затем определить, когда правило применяется к локальному компьютеру, указав IP-адрес или диапазон IP-адресов для применения правила к компьютерам, находящимся в определенной ветви сети.

Удаленные IP-адреса

В группе Удаленные IP-адреса можно настроить правило брандмауэра для применения в случае, когда конечным компьютером является удаленный компьютер. Можно затем определить, когда правило применяется к удаленным компьютерам, указав IP-адрес или диапазон IP-адресов для применения правила к компьютерам, находящимся в определенной ветви сети.

О задании IP-адресов

  • IPv4. Если в сети используется адресация IPv4, можно указать один IP-адрес (например, 172.30.160.169) или подсеть (например, 146.53.0.0/24).

  • IPv6. Если в сети используется адресация IPv6, можно указать один IP-адрес как восемь разделенных двоеточиями наборов по четыре шестнадцатеричных цифры (или в другом разрешенном формате) или подсеть.

  • В обоих форматах для указания диапазона адресов просто укажите первый (с) и последний (до) IP-адрес, включенный в правило.

Дополнительные ссылки