Межсетевой экран (firewall)

Содержание:

Создание исходящие правилаCreate outbound rules

Вот несколько общих рекомендаций по настройке исходящие правила.What follows are a few general guidelines for configuring outbound rules.

  • Конфигурация заблокированных для исходящие правил по умолчанию может рассматриваться для определенных высокобезопасной среды.The default configuration of Blocked for Outbound rules can be considered for certain highly secure environments. Однако конфигурация входящие правила никогда не должна быть изменена таким образом, чтобы разрешить трафик по умолчанию.However, the Inbound rule configuration should never be changed in a way that Allows traffic by default.

  • Рекомендуется разрешить исходящие по умолчанию для большинства развертывания для упрощения развертывания приложений, если только предприятие не предпочитает жесткие меры безопасности над удобством использования.It is recommended to Allow Outbound by default for most deployments for the sake of simplification around app deployments, unless the enterprise prefers tight security controls over ease-of-use.

  • В средах с высокой безопасностью администратор или администраторы должны пройти инвентаризацию всех приложений, охватывающих предприятия.In high security environments, an inventory of all enterprise-spanning apps must be taken and logged by the administrator or administrators. Записи должны включать, требуется ли используемое приложение подключение к сети.Records must include whether an app used requires network connectivity. Администраторам необходимо создать новые правила, специфические для каждого приложения, которое нуждается в сетевом подключении, и централизованно нажать эти правила с помощью групповой политики (GP), управления мобильными устройствами (MDM) или обоих (для гибридной или совместной среды управления).Administrators will need to create new rules specific to each app that needs network connectivity and push those rules centrally, via group policy (GP), Mobile Device Management (MDM), or both (for hybrid or co-management environments).

Для задач, связанных с созданием исходящие правила, см. в списке Контрольный список: Создание исходящие правила брандмауэра.For tasks related to creating outbound rules, see Checklist: Creating Outbound Firewall Rules.

В какой ситуации может понадобиться брандмауэр стороннего производителя

Родной фаервол работает в фоновом режиме, и пользователь видит его деятельность, когда осуществляет установку или запуск программ. Сторонний же файервол делает ту же работу, что и родной, но работает он далеко не в фоновом режиме, перегружая ПК всеми возможными предупреждениями. Поэтому сторонний файервол пригодится только в тех случаях, когда пользователь нуждается в постоянных отчетах и сообщениях о безопасности его системы.

Брандмауэр — это не антивирус, а межсетевой блокировщик, который полностью защищает компьютер от вредоносных подключений Сети и проникновения вирусов. Антивирус же призван блокировать вирусы и бороться с ними, чего не может брандмауэр. Антивирус не ограничивает работу программ в целях безопасности. Однако файервол для обеспечения исправной работы ОС блокирует некоторые возможности приложения. Тем не менее, достаточно выключить брандмауэр, и вирусы будут поступать в систему один за другим. В этой ситуации даже Eset или «Касперский» попросту не справится с нагромождением подозрительных подключений из Сети.

Об этом руководствеAbout this guide

Данное руководство предназначено для системных администраторов и системных инженеров.This guide is intended for use by system administrators and system engineers. В нем содержится подробное руководство по развертыванию брандмауэра Защитник Windows с расширенным дизайном безопасности, выбранным вами или специалистом по инфраструктуре или системным архитектором в организации.It provides detailed guidance for deploying a Windows Defender Firewall with Advanced Security design that you or an infrastructure specialist or system architect in your organization has selected.

Начните с просмотра сведений в планировании развертывания Защитник Windows брандмауэра с расширенными службами безопасности.Begin by reviewing the information in Planning to Deploy Windows Defender Firewall with Advanced Security.

Если вы еще не выбрали проект, рекомендуем подождать, чтобы следовать инструкциям в этом руководстве, пока не будут рассмотрены параметры разработки в руководстве по разработке брандмауэра Защитник Windows с расширенными службами безопасности и выбрано наиболее подходящее для вашей организации решение.If you have not yet selected a design, we recommend that you wait to follow the instructions in this guide until after you have reviewed the design options in the Windows Defender Firewall with Advanced Security Design Guide and selected the one most appropriate for your organization.

После выбора проекта и сбора необходимых сведений о зонах (изоляции, границах и шифровании), поддерживаемых операционных системах и других сведениях, можно использовать это руководство для развертывания брандмауэра Защитник Windows с расширенным режимом безопасности в производственной среде.After you select your design and gather the required information about the zones (isolation, boundary, and encryption), operating systems to support, and other details, you can then use this guide to deploy your Windows Defender Firewall with Advanced Security design in your production environment. В этом руководстве описаны действия по развертыванию любого из следующих основных проектов, описанных в руководстве по проектированию:This guide provides steps for deploying any of the following primary designs that are described in the Design Guide:

Используйте контрольные списки в реализации брандмауэра Защитник Windows с расширенным планом проектирования безопасности, чтобы определить, как лучше всего использовать инструкции в этом руководстве для развертывания конкретной структуры.Use the checklists in Implementing Your Windows Defender Firewall with Advanced Security Design Plan to determine how best to use the instructions in this guide to deploy your particular design.

Внимание!

Рекомендуем использовать методы, задокументированные в этом руководстве, только для тех GOS, которые должны быть развернуты на большинстве устройств в организации, и только в том случае, если иерархия OU в домене Active Directory не соответствует требованиям развертывания этих GOS.We recommend that you use the techniques documented in this guide only for GPOs that must be deployed to the majority of the devices in your organization, and only when the OU hierarchy in your Active Directory domain does not match the deployment needs of these GPOs. Эти характеристики типичны для GOS для сценариев изоляции сервера и домена, но не являются типичными для большинства других GGPOs.These characteristics are typical of GPOs for server and domain isolation scenarios, but are not typical of most other GPOs. Если иерархия OU поддерживает его, развернем GPO, связав его с самым низким уровнем, содержающим все учетные записи, к которым применяется этот GPO.When the OU hierarchy supports it, deploy a GPO by linking it to the lowest level OU that contains all of the accounts to which the GPO applies.

В крупной корпоративной среде с сотнями или тысячами GOS использование этого метода с слишком большим количеством GOS может привести к использованию учетных записей пользователей или устройств, которые являются членами чрезмерного количества групп; Это может привести к проблемам с сетевым подключением при превышении ограничений сетевого протокола.In a large enterprise environment with hundreds or thousands of GPOs, using this technique with too many GPOs can result in user or device accounts that are members of an excessive number of groups; this can result in network connectivity problems if network protocol limits are exceeded.

Брандмауэр Windows — вводная

Прежде чем приступить, собственно, обязательно стоит понять следующее:

  • Описанная ниже методология требует вдумчивой настройки (и отталкивается от идеи о том, что разумный пользователь хочет самостоятельно контролировать все входящие+исходящие соединения с интернетом и сетью) и некоторого количества времени, т.е, если Вы ленивы, у Вас установлено очень много программ (да и вообще Вы их ставите без разбору), каждой из которых нужен доступ в интернет, то, вероятно, эта статья Вам не подходит (как и тема защиты с помощью брандмауэра вообще);
  • Тем не менее, статья рекомендуется для прочтения каждому, чтобы понимать как работает этот самый брандмауэр Windows (а он включен по умолчанию и работает практически у каждого) и как его, в случае чего, настроить, приструнить, им управлять и просто диагностировать возможные проблемы с доступом в интернет какой-либо программой.

Давайте, что называется, приступимс.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Первичный запуск и настройка

Здесь и далее я буду исходить из мысли, что мы находимся в Windows 10, но в общем и целом статья актуальна для Windows 7/8/8.1 и при некоторой сноровке её можно притулить в XP.

Для начала зайдите в панель управления и откройте управления этим самым брандмауэром, т.е нажмите правой кнопкой мышки на меню «Пуск».

Затем выберите пункт «Панель управления», в которой переключитесь на маленькие значки (справа вверху) и выберите из списка «Мелкие значки», после чего тыркнитесь в «Брандмауэр Windows»:

На выходе мы получим, собственно, окно этого самого брандмауэра, в котором необходимо сразу перейти к дополнительным настройкам, радостно тыркнув мышкой в соответствующий пункт (Дополнительные параметры):

Настройка Брандмауэра в ОС Windows

Основная функция брандмауэра – проверка данных поступающих из интернета и блокировка тех, которые вызывают опасения. Существует два режима «белый» и «черный» список. Белый – блокировать всё, кроме того, что разрешено, черный разрешать все кроме запрещенного. Даже после полной настройки брандмауэра остаётся необходимость устанавливать разрешения для новых приложений.

Чтобы найти брандмауэр:

  • зайдите в Панель управления и воспользуйтесь поиском;
  • в открывшемся окне можно изменить параметры защиты для частных и публичных сетей;

Если у вас уже установлен антивирус, отключите брандмауэр как показано на этой картинке.

Блокирование исходящих соединений

Брандмауэр и иногда антивирус могут полностью блокировать все исходящие соединения.

Чтобы перекрыть файерволом исходящие подключения в режиме белого фильтра нужно:

  • зайти в «дополнительные параметры» брандмауэра;
  • открыть окошко «Свойства»;
  • поставить «исходящие подключения» в режим «блокировать» в частном и общем профиле.

Правила для приложений

Есть специальный список программ, которым разрешен обмен данными с интернетом и если нужная вам блокируется, нужно просто настроить разрешения для нее в этом списке. Кроме того, можно настроить уведомления так, чтобы если блокируется новое приложение, вы имели выбор – оставить все как есть и разрешить доступ этой программе.

Например, можно закрыть доступ к интернету для скайпа или гугл хром, или наоборот, оставить доступ только для пары конкретных рабочих программ.

Правила для служб

Чтобы настроить доступ для служб:

  1. заходим в углубленные настройки брандмауэра;
  2. слева выбираем входящие или исходящие правила;
  3. справа выбираем пункт «Создать правило»;
  4. в списке выбираем «Настраиваемое»;
  5. вводим имя службы или выбираем его из предложенного списка.

В новых версиях Windows, начиная с Vista, предусмотрена возможность выбирать службу из списка, не вводя имя службы вручную. Если нет доступа к компьютеру в сети windows xp или windows server, вам нужно настроить службу политики доступа, то подробное описание можно найти в справках системы.

Активируем зарезервированное правило

Чтобы активировать зарезервированное правило, нужно повторить пункты 1-3 из предыдущего раздела, затем:

  • выбрать пункт «Предопределенные»;
  • отметить желаемое разрешение, например для «Удаленного помощника»;
  • выбрать нужное правило из списка;
  • указать действие для указанных условий – разрешить подключение, разрешить безопасное подключение или блокировать.

Разрешаем VPN-подключение

Для установки особого разрешения VPN подключения, нужно снова повторить пункты 1-3, далее:

  • выбрать пункт «Для порта»;
  • указать протокол TCP или UDP;
  • выбрать применение правила ко всем или определенным портам;
  • отметить нужный пункт: разрешить подключение, разрешить безопасное подключение, блокировать подключение;
  • выбрать профили, для которых должно применяться это правило – доменный, частный или публичный;
  • дать название готовому правилу.

Способы отключения брандмауэра Windows 10

Существует 4 основных способа отключения файервола при помощи системных утилит, встроенных в операционную систему.

Отключение защитника в самом брандмауэре

Самый легкий способ – это отключение защитника через его же интерфейс. Чтобы попасть в программу нам необходимо проделать следующие шаги:

  1. Кликаем правой кнопкой мыши по кнопке «Пуск», и в выпадающем контекстном меню выбираем пункт «Параметры».
  1. В открывшемся окне «Параметры» находим и открываем раздел «Обновление и безопасность».
  1. В следующем окне в меню слева жмем на строку «Безопасность Windows». В правой половине окна выбираем подраздел «Брандмауэр и защита сети».
  1. Откроется окно «Безопасность Windows» в котором необходимо выбрать активную сеть. У меня это «Общедоступная сеть. (активный)».
  1. В блоке «Брандмауэр Защитника Windows» переводим переключатель в положение «Откл.».
  1. Теперь можете закрыть все окна.

Отключаем брандмауэр через командную строку

Открываем командную строку от имени администратора. Кликаем правой кнопкой мыши по кнопке «Пуск», и выбираем в открывшемся списке пункт «Командная строка (администратор)». У меня вместо командной строки «Windows PowerShell (администратор)».

Введите в командной строке следующую команду. Лучше скопируйте её отсюда и вставьте.

netsh advfirewall set allprofiles state off

Нажмите на клавиатуре клавишу «Enter».

Если все сделано правильно, то ниже появится слово «ОК», а брандмауэр будет отключен.

Для его включения через эту же командную строку, необходимо ввести команду

netsh advfirewall set allprofiles state on

Отключаем брандмауэр через «Панель управления»

Тем, кто привык работать с «Панелью управления», можно отключить брандмауэр через неё. Для этого кликаем по значку «Лупа» на панели задач, пишем в сроке ввода слова «панель управления», и выбираем в выпадающем списке пункт «Панель управления».

Если у вас нет значка лупы на панели задач, то можно вызвать панель управления через окно «Выполнить». Для этого нажмите на клавиатуре комбинацию клавиш Win + R

и введите в сроке «Открыть» команду control panel, а затем нажмите кнопку «ОК» или на клавиатуре кнопку «Enter».

В открывшейся «Панели управления» выбираем режим отображения «Крупные значки», и переходим в раздел «Брандмауэр Защитник Windows».

В следующем окне в меню слева выбираем строку «Включение и отключение брандмауэра Защитника Windows».

В настройках параметров для каждого типа сети устанавливаем переключатели напротив записей «Отключить брандмауэр Защитника Windows» и жмем внизу кнопку «ОК».

Отключаем брандмауэр через средства администрирования

В Windows 10 имеется отдельное окно настроек файервола, в котором можно задать различные правила фильтрации или вовсе отключить их.

Посмотрим, как это делается.

Жмем кнопку «Пуск» и находим папку «Средства администрирования». Открываем эту папку и находим в ней пункт «Монитор брандмауэра Защитника Windows».

В центре окна находим строчку «Свойства брандмауэра Защитника Windows» и кликаем по ней.

В окне свойств напротив строки «Брандмауэр» выставляем команду «Отключить» и жмем внизу кнопку «ОК».

Отключаем службу файервола

В Windows 10 имеется собственная служба файервола, которая работает в фоновом режиме даже тогда, когда вы отключаете брандмауэр. Её можно отключить только через реестр.

Чтобы это осуществить, вызываем утилиту «Выполнить» (Win + R). В строке «Открыть» прописываем команду regedit и жмем ниже кнопку «ОК».

В древовидном списке переходим к папке:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mpssvc

Внутри неё находим файл Start. Открываем его двойным нажатием левой кнопки мыши.

Откроется небольшое окошко «Изменение параметра DWORD (32 бита)» в котором в строке «Значение» необходимо поставить цифру «4», и нажать внизу кнопку «ОК».

Теперь закрываем все окна и перезагружаем компьютер.

Если захотите вернуть все назад, то откройте реестр, найдите там вышеуказанную папку, откройте файл Start и вместо цифры «4» пропишите цифру «2».

Теперь вы знаете, как можно отключить брандмауэр, но делать это на постоянной основе не следует. Если правильно настроить файервол, то ваша система будет гарантировано защищена.

Отключение службы брандмауэр Windows

Перед тем как отключить брандмауэр виндовс 7, стоит помнить, что это чревато тяжелыми последствиями для системы. Если в этот момент компьютер подключен к Сети, и некоторые приложения работают в фоновом режиме, то это может привести к проникновению вирусов, на которые защитник накладывал санкции.

На Windows 7 брандмауэр отключить можно 3 способами:

  • через «Панель управления»;
  • через службы диспетчера;
  • через остановку службы в разделе «Конфигурации системы».

Панель управления

Это самый распространенный и простейший способ отключить блокировщик компьютера:

  1. Выбрать «Пуск», затем «Панель управления».
  2. Выбрать пункт «Система и безопасность».
  3. Выбрать «Брандмауэр Windows».
  4. В главном окне на боковой панели выбрать пункт «Включение и отключение брандмауэра Windows».
  5. На 2 пунктах, относящихся к домашним и общественным сетям, установить флажок на «Отключить», после чего будет осуществлен возврат в главное окно.

Отключение брандмауэра в панели управления

Службы диспетчера

В службу «Диспетчер задач» можно перейти с панели управления, однако есть более короткий путь. Чтобы на Windows 7 брандмауэр отключить быстро, надо нажать на сочетание клавиш «Ctrl + Alt + Delete», после чего откроется диспетчер задач. В нем нужно выбрать вкладку «Службы». Здесь отобразится перечень запущенных служб, под управлением которых находится семерка. Надо найти службу «Брандмауэр Windows», кликнуть по пункту и нажать на раздел боковой панели «Отключить службу».

Остановка службы в конфигурации системы

Также брандмауэры Windows 7 отключить можно и более сложным способом:

  1. Пройти путь: «Панель управление» — «Система и безопасность» — «Администрирование».
  2. Выбрать пункт «Конфигурации системы».
  3. В появившемся окне выбрать вкладку «Службы».
  4. В списке выбрать «Брандмауэр Windows», снять с него галочку и нажать «Ок».
  5. Перезагрузить ПК.

Разрешение на получение информации через приложения

По умолчанию большинство приложений блокируется Брандмауэром Windows, чтобы повысить уровень безопасности компьютера. Однако, некоторым приложениям для правильной работы может потребоваться возможность получения информации через брандмауэр.

Перед тем, как дать приложению разрешение на прием информации через брандмауэр, необходимо учитывать связанные с этим риски.

  1. Откройте Брандмауэр Windows.
  2. Нажмите Разрешение обмена данными приложения или компонента через Брандмауэр Windows .
  3. Нажмите Изменить настройки.
  4. Установите флажок рядом с названием программы, которую вы хотите разрешить, выберите тип сети, в которой вы хотите разрешить обмен, а затем нажмите кнопку ОК.

Как добавить программу в исключения Брандмауэра Windows разрешить или запретить доступ к интернету

В окне «Разрешенные программы» мы видим список настроенных программ и приложений. Разберем настройки блокировки и разрешения использования интернет трафика.

  1. Чтобы была возможность ставить галочки нужно первым делом включить Изменить параметры.
  2. Снимите галочку с той программы, которую вы хотите заблокировать подключение к интернету.
  3. Если вы хотите, чтобы программа блокировалось в Частной или Публичной сети > снимите галочки как вам нужно, для блокировки трафика.
  4. Если вы хотите разрешить использовать новое приложение, то нажмите Разрешить другое приложение и добавьте путь к программе или игре.

Хочу заметить, если вы используете стандартный антивирус windows defender, то ни в коем случае не отключайте Брандмауэр виндовс. Ведь он идет как Firewal Windows, фильтрует трафик программ и игр.

Смотрите еще:

Разрешение для программ

После блокировки исходящих подключений необходимо дать доступ в интернет тем программам которыми пользуемся. Например браузеру Google Chrome. Для этого переходим в левой части на Правила для исходящего подключения и в колонке Действия справа нажимаем Создать правило…

В открывшемся мастере выбираем Для программы. Жмем Далее >

C помощью кнопки Обзор… указываем путь к нашей программе. (На примере браузера Google Chrome).

Если не знаете где установочный файл программы можно воспользоваться поиском в Windows 7 или нажать правой кнопкой на ярлыке программы и выбрать Свойства. В разделе Объект будет указан путь к программе.

Можно его скопировать и вставить в мастер создания правила, только убрать кавычки при необходимости.

Указав путь к программе нажимаем Далее >

На следующем шаге выбираем Разрешить подключение и Далее >

Указываем профили или сети в которых будет действовать создаваемое правило. Применяем правило для всех профилей и жмем Далее >

На следующем шаге задаем имя и при необходимости описание правила. Нажимаем Готово.

Правило создано и работает (отмечено зеленой галочкой).

Теперь мы можем в Google Chrome выходить в интернет.

Таким же образом необходимо создать правила для других программ.

Локальные адресаLocal addresses

Запятая разделила список локальных адресов, охваченных правилом.Comma separated list of local addresses covered by the rule. Допустимые маркеры:Valid tokens include:

  • * указывает любой локальный адрес.* indicates any local address. Если она присутствует, это должен быть единственный включенный маркер.If present, this must be the only token included.
  • Подсеть можно указать с помощью маски подсети или сетевой префикс.A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, ни сетевой префикс, значение по умолчанию подсети равно 255.255.255.255.If neither a subnet mask nor a network prefix is specified, the subnet mask default is 255.255.255.255.
  • Допустимый адрес IPv6.A valid IPv6 address.
  • Диапазон адресов IPv4 в формате «начните адрес-адрес» без пробелов.An IPv4 address range in the format of «start address-end address» with no spaces included.
  • Диапазон адресов IPv6 в формате «начните адрес-адрес» без пробелов.An IPv6 address range in the format of «start address-end address» with no spaces included. По умолчанию — любой адрес.Default is Any address.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector