Что такое правила брандмауэра
Обновлено: 21.11.2024
Правила брандмауэра используются для фильтрации сетевого трафика между локальным компьютером и сетью. Фильтровать трафик означает разрешать или блокировать трафик на основе условий фильтрации, указанных в правиле. Эти условия фильтрации могут включать протокол; локальный или удаленный порт; локальный или удаленный диапазон IP-адресов; пользователь, компьютер или группа; тип интерфейса; программа или услуга; и код типа ICMP. Дополнительные сведения об условиях фильтрации см. в разделе «Условия фильтрации для правил брандмауэра» далее в этом руководстве.
- Входящие и исходящие правила Определяет направление правила; то есть применяется ли правило к трафику, проходящему из сети на локальный компьютер или наоборот.
- Правила разрешения и блокировки Определяет действие, предпринимаемое правилом; то есть будет ли разрешен трафик, указанный правилом, или нет.
- Разрешить, если безопасные правила Указывает другое действие, которое может выполнять правило; а именно, будет разрешен только трафик, защищенный с помощью IPsec.
- Правила обхода с проверкой подлинности Отменяет правила блокировки для надлежащим образом прошедшего проверку подлинности трафика (необязательный подтип разрешенных правил безопасности).
- Правило для программы Этот тип правила используется для разрешения трафика для определенной программы (исполняемого файла) на компьютере.
- Правило порта Этот тип правила используется для разрешения трафика через определенный номер порта TCP или UDP или диапазон номеров портов.
- Предопределенные правила Брандмауэр Windows в режиме повышенной безопасности включает ряд предопределенных правил брандмауэра для определенных функций Windows. Примеры предопределенных правил включают Общий доступ к файлам и принтерам и Удаленный помощник. Каждое предопределенное правило на самом деле представляет собой группу правил, которые позволяют определенному интерфейсу или функции Windows получать доступ к сети нужным образом.
- Пользовательское правило Создайте этот тип правила, если другие типы правил брандмауэра не соответствуют потребностям вашей среды.
Дополнительную информацию см. в разделе "Создание и настройка правил брандмауэра" далее в этом руководстве.
Правила брандмауэра проверяют управляющую информацию в отдельных пакетах. Правила либо блокируют, либо разрешают эти пакеты на основе правил, определенных на этих страницах. Правила брандмауэра назначаются непосредственно компьютерам или политикам, которые, в свою очередь, назначаются компьютеру или группе компьютеров.
Создать новое правило брандмауэра
Добавить новое правило брандмауэра на странице Политики > Общие объекты > Правила > Правила брандмауэра можно тремя способами:
- Чтобы создать новое правило, нажмите «Создать» > «Новое правило брандмауэра».
- Чтобы импортировать правило из XML-файла, нажмите «Создать» > «Импорт из файла» .
- Чтобы скопировать и затем изменить существующее правило, выберите правило из списка и нажмите "Дублировать" . Чтобы изменить новое правило, выберите его и нажмите "Свойства" .
Правила брандмауэра, которые назначены одному или нескольким компьютерам или являются частью политики, не могут быть удалены.
Настроить свойства правила брандмауэра
Эти свойства доступны при создании нового правила или изменении существующего.
Общая информация
- Имя: имя правила брандмауэра.
- Описание: подробное описание правила брандмауэра.
- Действие. Ваше правило брандмауэра может работать четырьмя различными способами. Они описаны здесь в порядке приоритета:
- Трафик может полностью обходить брандмауэр. Это специальное правило, которое может заставить пакеты полностью обходить брандмауэр и механизм предотвращения вторжений. Используйте этот параметр для протоколов с интенсивным использованием мультимедиа, где фильтрация может быть нежелательной.
- Он может только вести журнал. Это означает, что он будет только делать записи в журналах и не будет мешать трафику.
- Он может принудительно разрешить определенный трафик (он разрешит трафик, определенный этим правилом, без исключения любого другого трафика).
- Он может блокировать трафик (он будет блокировать трафик, определенный этим правилом).
- Он может разрешить трафик (он будет исключительно разрешать трафик, определенный этим правилом).
Подробную информацию о том, как действия и приоритет работают вместе, см. в разделе Действия и приоритеты правил брандмауэра.
Если на компьютере не действуют разрешающие правила, разрешается весь трафик, если только он не заблокирован запрещающим правилом. После создания одного разрешающего правила весь остальной трафик блокируется, если только он не соответствует требованиям разрешающего правила. Есть одно исключение: трафик ICMPv6 всегда разрешен, если только он специально не заблокирован правилом запрета.
К любому конкретному пакету применяется только одно действие правила, а правила (с одинаковым приоритетом) применяются в порядке, указанном выше.
Приоритет определяет порядок применения правил. Правила с высоким приоритетом применяются раньше правил с низким приоритетом.Например, правило запрета входящих входящих портов 80 с приоритетом 3 отбрасывает пакет до того, как к нему будет применено правило принудительного разрешения входящих портов 80 с приоритетом 2.
Правила брандмауэра применяются только к одному направлению; поэтому правила брандмауэра для определенных типов трафика часто идут парами.
Агенты Solaris будут проверять только пакеты с типом кадра IP, а агенты Linux будут проверять только пакеты с типами кадра IP или ARP. Пакеты с другими типами кадров будут пропущены. Обратите внимание, что виртуальное устройство не имеет этих ограничений и может проверять все типы фреймов, независимо от операционной системы виртуальной машины, которую оно защищает.
Если вы выберете тип фрейма Интернет-протокола (IP), поле Протокол станет активным, где вы указываете транспортный протокол, который будет искать ваше правило. Установите флажок, чтобы указать, будете ли вы фильтровать для этого протокола или что-либо кроме этого протокола. Вы можете выбрать из раскрывающегося списка предопределенные общие протоколы или выбрать «Другое» и ввести код протокола самостоятельно (трехзначное десятичное значение от 0 до 255).
Источник пакета и пункт назначения
Брандмауэр может использовать IP-адрес , MAC-адрес или порт для определения источника и назначения трафика:
IP-адрес
Эти параметры доступны для определения IP-адресов:
- Любой: адрес не указан, поэтому любой хост может быть как исходным, так и целевым.
- Один IP-адрес: конкретная машина идентифицируется по ее IP-адресу.
- Маскированный IP-адрес. Правило применяется ко всем компьютерам с одной и той же маской подсети.
- Диапазон. Правило применяется ко всем компьютерам, которые попадают в определенный диапазон IP-адресов.
- IP-адреса: используйте это при применении правила к нескольким компьютерам, которые не имеют последовательных IP-адресов.
- Список IP-адресов: позволяет выбрать значение, определенное на странице Политики > Общие объекты > Списки > Списки IP-адресов.
MAC-адрес
Для определения MAC-адресов доступны следующие параметры:
- Любой: MAC-адрес не указан, поэтому правило применяется ко всем адресам
- Один MAC-адрес: правило применяется к определенному MAC-адресу
- MAC(-а): Правило применяется к MAC-адресам, указанным здесь
- Список MAC-адресов: позволяет выбрать значение, определенное на странице Политики > Общие объекты > Списки > Списки MAC-адресов.
Для определения адресов портов доступны следующие параметры:
- Любой: правило применяется ко всем портам.
- Порт(ы): правило применяется к нескольким портам, указанным здесь
- Список портов: позволяет выбрать значение, определенное на странице Политики > Общие объекты > Списки > Списки портов.
Особые флаги
Если вы выбрали TCP, ICMP или TCP+UDP в качестве протокола в разделе «Общая информация», вы можете настроить правило брандмауэра на отслеживание определенных флагов. Если правило не применяется ко всем флагам, вы можете выбрать один из следующих флагов:
Есть несколько способов использования этих флагов в различных атаках. Здесь будет обсуждаться только выбор.
Флаг URG указывает, что пакет является срочным и должен быть обработан раньше всех остальных, а флаг PSH устанавливает стек TCP для очистки своих буферов и отправки всей информации приложению. Оба флага можно использовать при сканировании портов типа, называемом сканированием Xmas, которое обычно представляет собой пакет FIN с включенными флагами URG и PSH. Это сканирование получило свое название из-за чередования битов, включенных и выключенных в байте флагов (00101001), очень похоже на огни рождественской елки.
Когда незащищенная машина получает пакеты, относящиеся к сканированию Xmas, происходит следующее:
Условие | Ответ |
---|---|
Закрытый порт | Возвращает пакет RST td> |
Открыть порт | Нет ответа, выявляющего наличие открытого порта |
Флаг RST или RESET внезапно прерывает соединения TCP. Как описано выше, одним из его законных применений является прекращение соединений с закрытыми портами, указывающее на невозможное или запрещенное соединение. Однако флаг RST также может использоваться как часть атаки RESET, предназначенной для прерывания существующих сеансов. Следующая диаграмма иллюстрирует ситуацию, когда атакующий узел C смог вычислить порядковый номер TCP, который узел A ожидал от пакета от узла B, тем самым заставив узел A поверить в то, что узел B отправил ему пакет RST. Конечным результатом является атака типа «отказ в обслуживании»:
События
Выберите, следует ли включить или отключить регистрацию событий в соответствии с этим правилом. Если ведение журнала событий включено, вы можете записывать данные пакета вместе с событием.
Обратите внимание, что любая форма разрешающего правила (Разрешить, Принудительно разрешить, Обойти) не будет регистрировать какие-либо события, поскольку они могут привести к перегрузке базы данных.
Параметры
Предупреждение
Укажите, должно ли это правило брандмауэра вызывать оповещение при срабатывании. Если вы хотите, чтобы это правило было активным только в определенные периоды времени, назначьте расписание из списка.
Только правила брандмауэра, для которых для параметра "Действие" задано значение "Запретить" или "Только журнал", можно настроить для запуска оповещения. (Это связано с тем, что оповещения инициируются счетчиками, которые увеличиваются с помощью данных из файлов журналов.)
Расписание
Укажите, должно ли правило брандмауэра быть активным только в запланированное время.
Правила брандмауэра, которые активны только в запланированное время, отображаются на странице правил брандмауэра с небольшими часами над значком .
При защите на основе агента расписания используют тот же часовой пояс, что и операционная система конечной точки. При защите без агента в расписании используется тот же часовой пояс, что и в Deep Security Virtual Appliance.
Контекст
Контексты правил — это мощный способ реализации различных политик безопасности в зависимости от сетевой среды компьютера. Чаще всего вы будете использовать контексты для создания политик, применяющих различные правила брандмауэра и предотвращения вторжений к компьютерам (обычно мобильным ноутбукам) в зависимости от того, находится ли этот компьютер в офисе или за его пределами.
Контексты предназначены для связи с правилами брандмауэра и предотвращения вторжений. Если условия, определенные в контексте, связанном с правилом, соблюдены, правило применяется.
Чтобы определить местоположение компьютера, контексты проверяют характер подключения компьютера к его контроллеру домена. Дополнительные сведения о контекстах см. в разделе Политики > Общие объекты > Другое > Контексты.
Пример политики, реализующей правила брандмауэра с использованием контекстов, см. в свойствах политики «Портативный компьютер с Windows Mobile».
Назначено
На этой вкладке отображается список политик, включающих это правило брандмауэра, а также всех компьютеров, которым это правило брандмауэра было назначено напрямую. Правила брандмауэра можно назначать политикам на странице "Политики" и компьютерам на странице "Компьютеры".
Крис Хоффман
Крис Хоффман
Главный редактор
Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.
Встроенный брандмауэр Windows скрывает возможность создания мощных правил брандмауэра. Блокируйте доступ программ к Интернету, используйте белый список для управления доступом к сети, ограничивайте трафик определенными портами и IP-адресами и т. д. — и все это без установки дополнительного брандмауэра.
Брандмауэр включает три разных профиля, поэтому вы можете применять разные правила к частным и общедоступным сетям. Эти параметры включены в оснастку Брандмауэр Windows в режиме повышенной безопасности, впервые появившуюся в Windows Vista.
Доступ к интерфейсу
Существует множество способов открыть окно брандмауэра Windows в режиме повышенной безопасности. Один из наиболее очевидных – на панели управления брандмауэра Windows – нажмите ссылку "Дополнительные параметры" на боковой панели.
Вы также можете ввести «Брандмауэр Windows» в поле поиска в меню «Пуск» и выбрать приложение Брандмауэр Windows в режиме повышенной безопасности.
Настройка сетевых профилей
Брандмауэр Windows использует три разных профиля:
- Профиль домена: используется, когда ваш компьютер подключен к домену.
- Частный: используется при подключении к частной сети, например рабочей или домашней сети.
- Общедоступная: используется при подключении к общедоступной сети, такой как общедоступная точка доступа Wi-Fi или прямое подключение к Интернету.
Windows спрашивает, является ли сеть общедоступной или частной при первом подключении к ней.
Компьютер может использовать несколько профилей в зависимости от ситуации. Например, бизнес-ноутбук может использовать профиль домена при подключении к домену на работе, частный профиль при подключении к домашней сети и общедоступный профиль при подключении к общедоступной сети Wi-Fi — и все это в один и тот же день.< /p>
Нажмите ссылку "Свойства брандмауэра Windows", чтобы настроить профили брандмауэра.
Окно свойств брандмауэра содержит отдельную вкладку для каждого профиля. Windows по умолчанию блокирует входящие подключения и разрешает исходящие подключения для всех профилей, но вы можете заблокировать все исходящие подключения и создать правила, разрешающие определенные типы подключений. Этот параметр зависит от профиля, поэтому вы можете использовать белый список только в определенных сетях.
Если вы заблокируете исходящие подключения, вы не будете получать уведомление о блокировке программы — сетевое подключение автоматически прервется.
Создание правила
Чтобы создать правило, выберите категорию «Правила для входящих подключений» или «Правила для исходящих подключений» в левой части окна и нажмите ссылку «Создать правило» в правой части.
Брандмауэр Windows предлагает четыре типа правил:
- Программа — блокировка или разрешение программы.
- Порт — заблокируйте или разрешите порт, диапазон портов или протокол.
- Предопределенный – используйте предустановленное правило брандмауэра, входящее в состав Windows.
- Пользовательский — укажите комбинацию программы, порта и IP-адреса для блокировки или разрешения.
Пример правила: блокировка программы
Допустим, мы хотим заблокировать связь определенной программы с Интернетом — для этого нам не нужно устанавливать сторонний брандмауэр.
Сначала выберите тип правила программы. На следующем экране нажмите кнопку «Обзор» и выберите файл .exe программы.
На экране «Действие» выберите «Заблокировать подключение». Если бы вы настраивали белый список после блокировки всех приложений по умолчанию, вы бы выбрали «Разрешить подключение», чтобы добавить приложение в белый список.
На экране «Профиль» вы можете применить правило к определенному профилю. Например, если вы хотите, чтобы программа блокировалась только при подключении к общедоступной сети Wi-Fi и другим незащищенным сетям, оставьте флажок «Общедоступный» установленным. . По умолчанию Windows применяет правило ко всем профилям.
На экране "Имя" вы можете назвать правило и ввести необязательное описание. Это поможет вам определить правило позже.
Созданные вами правила брандмауэра вступают в силу немедленно. Созданные вами правила появятся в списке, так что вы сможете легко отключить или удалить их.
Пример правила: ограничение доступа
Если вы действительно хотите заблокировать программу, вы можете ограничить порты и IP-адреса, к которым она подключается. Например, предположим, что у вас есть серверное приложение, к которому вы хотите получить доступ только с определенного IP-адреса.
В списке «Правило для входящих подключений» нажмите «Новое правило» и выберите тип пользовательского правила.
На панели «Программы» выберите программу, доступ к которой вы хотите ограничить. Если программа работает как служба Windows, используйте кнопку «Настроить», чтобы выбрать службу из списка. Чтобы ограничить весь сетевой трафик на компьютере связью с определенным IP-адресом или диапазоном портов, выберите «Все программы» вместо указания конкретной программы.
На панели «Протокол и порты» выберите тип протокола и укажите порты. Например, если вы используете приложение веб-сервера, вы можете ограничить приложение веб-сервера соединениями TCP через порты 80 и 443, введя эти порты в поле Локальный порт.
Вкладка "Область" позволяет ограничить IP-адреса. Например, если вы хотите, чтобы сервер обменивался данными только с определенным IP-адресом, введите этот IP-адрес в поле удаленных IP-адресов.
Выберите параметр «Разрешить подключение», чтобы разрешить подключение с указанного вами IP-адреса и портов. Убедитесь, что к программе не применяются никакие другие правила брандмауэра. Например, если у вас есть правило брандмауэра, разрешающее весь входящий трафик серверному приложению, это правило ничего не сделает.
Правило вступает в силу после того, как вы укажете профили, к которым оно будет применяться, и назовете его.
Брандмауэр Windows не так прост в использовании, как сторонние брандмауэры, но он предлагает удивительную мощность. Если вам нужен больший контроль и простота использования, возможно, лучше использовать сторонний брандмауэр.
- › Почему вам не нужен исходящий брандмауэр на ноутбуке или настольном ПК
- › Почему вам не нужен полный набор средств обеспечения безопасности в Интернете
- › Как запустить собственный игровой сервер
- › Почему вам не нужно устанавливать сторонний брандмауэр (и когда это необходимо)
- › Как открыть порт в брандмауэре Windows?
- › Как расширить возможности брандмауэра Windows и легко блокировать исходящие подключения
- › Как бесплатно создать собственный пакет безопасности в Интернете
- ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)
Читайте также: