Брандмауэр настройка

Настройка брандмауэра в Windows 8.1

Брандмауэр настройка

При использовании коммутируемых, широкополосных (PPPoE/ADSL-соединений) или VPN-подключений желательно дополнительно защитить компьютер от атак, используя брандмауэр Windows.

Этот встроенный в операционную систему брандмауэр защищает Windows 8.1, ограничивая типы передаваемой информации.

Принудительно применяя соответствующие ограничения, можно понизить вероятность проникновения в систему несанкционированных лиц.

Брандмауэр Windows представляет собой программный или аппаратный комплекс, который проверяет данные, входящие через Интернет или сеть, и в зависимости от параметров брандмауэра блокирует или разрешает их передачу на компьютер.

Брандмауэр Windows поможет предотвратить проникновение хакеров или вредоносного программного обеспечения (такого как черви) в ваш компьютер через сеть или Интернет. Брандмауэр также помогает предотвратить отправку вредоносных программ на другие компьютеры.

С помощью брандмауэра можно запретить входящие соединения и тем самым стопроцентно защитить себя от всевозможных атак. Также можно запретить доступ отдельно взятой программе или целому классу программ. Так, заблокировав 80-й порт, вы заблокируете работу по сути любого браузера, так как этот порт используется браузерами для получения веб-страниц.

В большинстве случаев параметры брандмауэра должны устроить всех пользователей. И настраивать его вам тоже не придется. Разве что при запуске новой программы указать, в каких сетях ей разрешено работать, а в каких – нет. На скриншоте ниже показано, что программа µTorrent (торрент-клиент) запущена в первый раз и брандмауэр спрашивает, что с ней делать.

По умолчанию предполагается, что вы хотите разрешить работу программы только в частных сетях, например в домашней или рабочей сети.

А в общественных сетях, например в бесплатной Wi-Fi-зоне в каком-нибудь публичном месте, программе доступ к Интернету будет закрыт.

Нужно разрешить программе работу в публичных сетях, иначе ваши программы не будут работать в общественных сетях, например (в библиотеке или кафе).

Если вы снимете еще и флажок Частные сети,например,домашняя или рабочая сеть, то программе вообще будет запрещен доступ к Интернету. Некоторые программы, которым для работы Интернет вообще не нужен, качают из Сети рекламу. Доступ к Интернету таким программам можно запретить. Работать они будут, а вместо рекламных баннеров станут появляться пустые места.

Иногда можно автоматически нажать кнопку Разрешить, забыв отметить флажок Общественные сети. В этом случае придется настраивать правила брандмауэра, чтобы программа заработала как следует.

Для того чтобы получить доступ к настройкам брандмауэра Windows, нажмите сочетание клавиш + R, в появившемся диалоговом окне Выполнить введите firewall.cpl и нажмите клавишу Enter ↵.

Откроется окно Брандмауэр Windows в котором видно, что сейчас компьютер подключен только к частной сети.

Для того чтобы настроить параметры Брандмауэра Windows, в левой части окна нажмите пункт Включение и отключение брандмауэра Windows.

Откроется окно Настроить параметры, в котором можно выбрать, для каких сетей он будет включен, а для каких – выключен. По умолчанию брандмауэр включен как для частных, так и для общественных сетей.

Не отключайте брандмауэр! Это можно сделать лишь перед установкой брандмауэра другого разработчика, чтобы между двумя программами одного класса не возник конфликт.

Для того чтобы получить доступ к дополнительным настройкам брандмауэра Windows, выберите команду Дополнительные параметры на панели слева.

Откроется окно Брандмауэр Windows в режиме повышенной безопасности в котором вы увидите дополнительные параметры — сводку по ним.

Самое главное в дополнительных параметрах брандмауэра – это правила. Правила можно создать как для входящих, так и для исходящих соединений. По умолчанию все входящие соединения, не соответствующие правилам, разрешающим эти соединения, запрещены. А вот с исходящими соединениями ситуация другая – они разрешены, если для них не созданы запрещающие правила.

Перейдите в раздел Правила для входящих подключений. В нем вы найдете все правила – как общие для входящих подключений, так и правила для отдельно созданных программ.

Дважды щелкните на любом из правил. На скриншоте ниже показано правило для µTorrent. Вы можете запретить работу µTorrent, выбрав Блокировать подключение.

Создание нового правила

Рассмотрим небольшой пример – создание нового правила. Допустим, нам нужно заблокировать доступ к Сети. То есть чтобы ни один браузер не смог отобразить веб-страницу, но при этом почта, Skype и другие интернет-программы работали. Этого можно добиться лишь одним способом – заблокировав 80-й порт (точнее, исходящее подключение к 80-му порту).

В окне Брандмауэр Windows в режиме повышенной безопасности выберите раздел Правила для исходящего подключения.

В следующем окне справа на панели Действия выберите команду Создать правило.

В открывшемся окне Мастер создания правила для нового исходящего подключения нужно выбрать тип правила. Если бы мы хотели запретить какую-то конкретную программу, например Chrome, то выбрали бы правило Для программы. А раз нужно запретить все браузеры, то следует создать правило для порта, выбираем тип правила Для порта и нажимаем кнопку Далее.

Далее выберите Определенные удаленные порты и укажите порт 80, нажимаем кнопку Далее.

В следующем окне нужно выбрать действие, в нашем случае Блокировать подключение, нажимаем кнопку Далее.

Затем нужно определить, для каких профилей должно работать правило. Следует выбрать все три профиля, иначе в каких-то сетях правило будет работать, а в каких-то – нет.

В следующем окне введите имя правила и его описание (необязательно), и нажмите кнопку Готово.

Созданное правило отображено на скриншоте ниже.

Теперь проверим правило в работе. Откройте любой браузер и попытайтесь обратиться к любому сайту. Вы увидите сообщение об ошибке.

Вернитесь в окно дополнительных параметров.

Дважды щелкните по созданному нами правилу и в открывшемся окне Свойства: block http установите флажок Разрешить подключение и нажмите кнопку OK.

Теперь обновите страничку в браузере – она откроется.

Чтобы вам было проще составлять различного рода правила, в таблице ниже приведены некоторые стандартные TCP/UDP-порты.

Стандартные TCP/UDP-порты

Номер порта, протоколДля чего используется
20, TCPFTP (File Transfer Protocol), данные
21, TCPFTP (File Transfer Protocol), команды
22, TCPSSH (Secure Shell)
23, TCP(Modify)Telnet
25, TCP/UDPПротокол SMTP (Simple Mail Transfer Protocol), отправка почты
37, TCP/UDPПротокол синхронизации времени
53, TCP/UDPDNS (Domain Name System), система доменных имен
80, TCP/UDPHTTP (Hyper Text Transfer Protocol)
109, 110, TCP/UDPПротоколы POP2 и POP3, используются для получения почты
143, TCP/UDPПолучение почты и управление ею, протокол IMAP
220, TCP/UDPПротокол IMAP (Interactive Mail Access Protocol), версия 3
443, TCPБезопасный HTTP (HTTPS)
465,TCP/UDPБезопасный SMTP
989, 990, TCP/UDPБезопасный FTP
992, TCP/UDPБезопасный Telnet (поверх SSL/TLS)
1194, TCP/UDPOpenVPN
1234, TCP/UDPVLC Media Player, потоковое видео, IPTV
1214, TCPKazaa (клиент файлообменной сети)
5190, TCPICQ и AOL Instant Messenger
6881–6887, TCP/UDPПорты Torrent-клиентов
6889–6890, TCP/UDPЕще один набор портов для Torrent-клиентов

На самом деле портов намного больше, чем представлено в таблице. Некоторые из них назначаются официально, некоторые – неофициально. С официальными все ясно – они могут использоваться только для четко обозначенных действий. С неофициальными не все так просто. Сегодня их может использовать одна программа, завтра – другая.

Источник: https://winnote.ru/security/104-nastroyka-brandmauera-v-windows-81.html

Настройка брандмауэра Windows на предоставление Firefox доступа в Интернет | Справка Firefox

Брандмауэр настройка

Windows имеет встроенный межсетевой экран,также называемый брандмауэром, который контролирует доступ программ в Интернет. Если брандмауэр Windows не позволяет Firefox устанавливать соединения, Firefox генерирует ошибку “Сервер не найден”, когда вы пытаетесь просматривать веб-сайты.

Примечание: Эта статья относится только к Windows. Чтобы увидеть инструкции, выберите версию Windows из выпадающего меню выше.

Чтобы убедиться, что вы используете брандмауэр Windows:

  1. Щёлкните правой кнопкой мыши по значку Windows. Появится меню Пуск.
  2. Найдите в поиске Панель управления. Появится Панель управления.
  3. В Панели управления выберите Система и безопасность.
  4. В Системе и безопасности выберите Брандмауэр Windows.

Настройка брандмауэра Windows 10

Если вы используете брандмауэр Windows и у вас есть проблемы с подключением в Firefox:

  1. На левой панели в Брандмауэра Windows щёлкните Разрешить взаимодействие с приложением или компонентом в Брандмауэре Windows. Появятся доступные приложения.
  2. Щёлкните по кнопке Изменить параметры.
  3. Найдите Mozilla Firefox в списке программ. Если он там есть, щёлкните, чтобы выбрать его. Если нет, пропустите следующий шаг.
  4. Выбрав Mozilla Firefox (или firefox.exe), щёлкните по кнопке Удалить. Подтвердите, что вы хотите удалить запись.
  5. Щёлкните по кнопке Разрешить другое приложение…. Появится окно Добавление программы.
  6. В окне добавления приложения щёлкните по кнопке Обзор….
  7. Перейдите в каталог программы Firefox (т.е. C:\Program Files\Mozilla Firefox\) и дважды щелкните по firefox.exe.
  8. Щёлкните по кнопке Добавить.
  9. Щёлкните по кнопке OK для закрытия панели Разрешенные Программы.

Чтобы убедиться, что вы используете брандмауэр Windows:

  1. Со стартового экрана нажмите на плитку Рабочий стол. Откроется вид Рабочего стола.
  2. На рабочем столе, наведите мышкой в правый нижний угол, чтобы открыть Боковую Панель.
  3. Выберите в разделе . Откроется окно Панели Управления.
  4. Нажмите Система и безопасность. Появится панель Система и безопасность.
  5. Нажмите Брандмауэр Windows. Появится панель Брандмауэр Windows.
  6. Если вы увидите зеленую галочку, Брандмауэр Windows включён.

Настройка брандмауэра Windows 8

Если вы используете брандмауэр Windows и имеете проблемы с подключением в Firefox:

  1. На левой стороне панели брандмауэра Windows нажмите Разрешение взаимодействия с приложением или компонентом в брандмауэре Windows. Появится панель Разрешенные программы.
  2. Щёлкните по кнопке Изменить параметры.
  3. Найдите Mozilla Firefox в списке программ. Если он есть, щёлкните по нему для его выбора. Если нет, то пропустите следующий шаг.
  4. Выбрав Mozilla Firefox (или firefox.exe), щёлкните по кнопке Удалить. Подтвердите, что вы хотите удалить запись.
  5. Щёлкните по кнопке Разрешить другое приложение…. Появится окно Добавление программы.
  6. В окне Добавление программы щёлкните по кнопке Обзор….
  7. Перейдите в каталог программы Firefox (т.е. C:\Program Files\Mozilla Firefox\) и дважды щелкните на firefox.exe.
  8. Нажмите кнопку Добавить.
  9. Нажмите кнопку OK для закрытия панели Разрешенные Программы.

Чтобы убедиться, что вы используете брандмауэр Windows:

  1. Нажмите значок Windows и выберите Панель Управления. Откроется окно Панель Управления.
  2. Нажмите Система и безопасность. Появится панель Система и безопасность.
  3. Нажмите Брандмауэр Windows. Появится панель Брандмауэр Windows.
  4. Если вы увидите зеленую галочку, Брандмауэр Windows включён.

Настройка брандмауэра Windows 7

Если вы используете брандмауэр Windows и имеете проблемы с подключением в Firefox:

  1. На левой стороне панели брандмауэра Windows нажмите Разрешение взаимодействия с приложением или компонентом в брандмауэре Windows. Появится панель Разрешенные программы.
  2. Щёлкните по кнопке Изменить параметры.
  3. Найдите Mozilla Firefox в списке программ. Если он есть, щёлкните по нему для его выбора. Если нет, то пропустите следующий шаг.
  4. Выбрав Mozilla Firefox (или firefox.exe), щёлкните по кнопке Удалить. Подтвердите, что вы хотите удалить запись.
  5. Щёлкните по кнопке Разрешить другое приложение…. Появится окно Добавление программы.
  6. В окне Добавление программы нажмите кнопку Обзор….
  7. Перейдите в каталог программы Firefox (т.е. C:\Program Files\Mozilla Firefox\) и дважды щёлкните на firefox.exe.
  8. Нажмите кнопку Добавить.
  9. Нажмите кнопку OK для закрытия панели Разрешенные Программы.

Windows Vista

Чтобы убедиться, что вы используете брандмауэр Windows:

  1. Нажмите на значок Windows и выберите Панель Управления. Откроется окно Панель Управления.
  2. Нажмите заголовок Система. Появится Панель безопасности.
  3. Нажмите Брандмауэр Windows. Появится панель Брандмауэр Windows.
  4. Если вы увидите зеленую галочку и сообщение Брандмауэр Windows помогает защитить ваш компьютер, вы используете Брандмауэр Windows.

Настройка брандмауэра Windows Vista

Если вы используете брандмауэр Windows и имеете проблемы с подключением в Firefox:

  1. На левой стороне панели брандмауэра Windows, нажмите Разрешение взаимодействия с приложением или компонентом в брандмауэре Windows. Появится панель Параметры Брандмауэра Windows.
  2. Найдите Mozilla Firefox в списке программ. Если он есть, щёлкните по нему для его выбора. Если нет, то пропустите следующий шаг.
  3. Выбрав Mozilla Firefox (или firefox.exe), щёлкните по кнопке Удалить. Подтвердите, что вы хотите удалить запись.
  4. Нажмите кнопку Добавить программу…. Появится окно Добавление программы.
  5. В окне Добавление программы нажмите кнопку Обзор….
  6. Перейдите в каталог программы Firefox (т.е. C:\Program Files\Mozilla Firefox\) и дважды щелкните на firefox.exe.
  7. Нажмите кнопку OK, чтобы закрыть окно добавления программы.
  8. В окне Параметры Брандмауэра Windows, выберите вкладку Общие.
  9. Убедитесь, что не выбрано Блокировать все входящие соединения.
  10. Нажмите кнопку OK чтобы закрыть окно Параметры Брандмауэра Windows.

Чтобы убедиться, что вы используете брандмауэр Windows:

  1. Нажмите кнопку Пуск и выберите . Откроется окно Панели Управления.
  2. Щёлкните по ссылке Центр обеспечения безопасности. Откроется окно Центр обеспечения безопасности.
  3. Если в заголовке Брандмауэр сказано ВКЛЮЧЕНО, вы используете Брандмауэр Windows.

Настройка брандмауэра Windows XP

Если вы используете брандмауэр Windows и имеете проблемы с подключением в Firefox:

  1. Проверьте, включён ли брандмауэр Windows.
  2. В Центре обеспечения безопасности щёлкните по Брандмауэр Windows. Откроется окно Брандмауэр Windows.
  3. Выберите вкладку Исключения.
  4. Найдите Mozilla Firefox (или firefox.exe) в списке программ. Если он есть, щёлкните по нему для его выбора. Если нет, то пропустите следующий шаг.
  5. Выбрав Mozilla Firefox, щёлкните по кнопке Удалить. Подтвердите, что вы хотите удалить запись.
  6. Нажмите на кнопку Добавить программу….
  7. В окне Добавление программы нажмите кнопку Обзор….
  8. Перейдите в каталог программы Firefox (т.е. C:\Program Files\Mozilla Firefox\) и дважды щёлкните на firefox.exe.
  9. Нажмите кнопку OK, чтобы закрыть окно Добавление программы.
  10. Нажмите кнопку OK, чтобы закрыть окно Параметры брандмауэра Windows.

Основано на информации с Firewalls (mozillaZine KB)

Эти прекрасные люди помогли написать эту статью:

Источник: https://support.mozilla.org/ru/kb/nastrojka-brandmauera-windows-na-predostavlenie-fi

Настройка правил брандмауэра Windows групповыми политиками

Брандмауэр настройка

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам.

Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO.

Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services.

Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended).

В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Важно. Прежде, чем применять политику файервола к OU с продуктивными компьютерами, настоятельно рекомендуется проверить ее на тестовых компьютерах. В противном случае из-за неправленых настроек брандмауэра вы можете парализовать работу предприятия. Для диагностики применения групповых политик используйте утилиту gpresult.exe. 

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows.

Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции.

Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие ->Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил.

Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен.

Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный.

Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное.

По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Источник: https://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.