Настройка брандмауэра Windows Server 2016

Обновлено: 15.05.2024

Арчна имеет профессиональное высшее образование в области системного управления в области программирования, системного анализа и проектирования.

В этом уроке объясняются настройки программы брандмауэра Windows Server 2016. В нем описывается, как использовать интерфейс панели для настройки параметров домена, личных и общедоступных профилей, а также других параметров для управления приложением.

Брандмауэр Windows

Брандмауэр — это физическое устройство или программное обеспечение, обеспечивающее уровень безопасности сети или компьютера. Как показано на рис. 1, брандмауэр пропускает только тот трафик, который необходим для прохождения, и блокирует весь остальной трафик.

Настройки брандмауэра Windows в Windows Server 2016

Встроенный брандмауэр в Windows Server 2016, который установлен и включен по умолчанию, специально разработан для работы очень надежного механизма безопасности на основе правил. Он следует принципу «запретить, прежде чем разрешить» и тесно связан с операционной системой Windows. Большая часть входящего трафика в конкретную систему может быть заблокирована с помощью заранее написанных правил брандмауэра. Трафик можно легко заблокировать или разрешить на ваши серверы, настроив брандмауэр Windows на основе таких параметров, как IP-адреса, порты, серверы и программы.

Запуск брандмауэра в Windows Server 2016

Брандмауэр Windows можно запустить в Windows Server 2016 одним из следующих способов:

  1. Из папки «Администрирование» в меню «Пуск». Значок поиска можно найти рядом со значком меню «Пуск». Щелкните значок поиска и введите брандмауэр. Затем щелкните значок брандмауэра Windows в режиме повышенной безопасности.
  2. На панели управления.

Только администратор может вносить изменения в настройки брандмауэра.

Проверка текущих настроек брандмауэра

Открыв окно, вы можете развернуть элемент Мониторинг и просмотреть Брандмауэр. Это покажет список правил брандмауэра для каждого профиля, которые в настоящее время активны и влияют на трафик на сервер.

На рис. 2 показаны различные профили, доступные в Windows Server 2016:

Рисунок 2: Профили
Профили

  • Домен применяется к сетям, в которых хост-система может аутентифицироваться на контроллере домена.
  • Private используется для обозначения частных или домашних сетей и представляет собой профиль, назначаемый пользователем.
  • Общедоступный контролирует трафик, поступающий во всемирную паутину или из нелокальных источников и из них.

Чтобы установить правила Входящие или Исходящие, выберите любой из этих параметров на панели слева. Брандмауэр Windows включен по умолчанию для всех профилей. Конфигурация по умолчанию имеет следующие правила:

  • Входящие соединения, не соответствующие правилу, блокируются.
  • Исходящие соединения, не соответствующие правилу, разрешены.

Правила с зеленой галочкой активны, а правила с серой галочкой неактивны, как показано на рис. 3.

Включение или отключение правила брандмауэра

  1. В зависимости от правила, которое нужно изменить, выберите на левой панели Входящие или Исходящие.
  2. Чтобы включить правило, щелкните правой кнопкой мыши и выберите Включить правило в параметрах.
  3. Чтобы отключить правило, щелкните правой кнопкой мыши и выберите Отключить правило в параметрах.

Добавление правила брандмауэра

Редактирование правила брандмауэра

Резюме урока

Встроенный брандмауэр в Windows Server 2016 специально разработан для работы с очень надежным механизмом безопасности на основе правил, который блокирует или разрешает трафик к портам, серверам и программам.

Брандмауэр Windows Server 2016 установлен и включен по умолчанию. В брандмауэре Windows Server 2016 доступны различные профили: домен, общедоступный и частный. Входящие и исходящие правила можно добавлять, редактировать, включать или отключать с помощью различных параметров конфигурации.

Конор хорошо разбирается в электронных искусствах. Он занимается программированием с 1981 года и создает игры, приложения и веб-сайты.

В Windows Server 2016 есть брандмауэр под названием «Брандмауэр Windows в режиме повышенной безопасности». В этом уроке вы узнаете, как получить доступ к брандмауэру и доступным настройкам.

Брандмауэр Windows в режиме повышенной безопасности

Windows Server 2016 устанавливается с уже установленным и настроенным брандмауэром Windows с расширенной безопасностью. Конфигурация по умолчанию разрешает весь исходящий трафик и ограничивает входящий трафик.

Брандмауэр — это часть политики безопасности, необходимая для работы сервера или сети. Брандмауэр Windows в режиме повышенной безопасности снижает риск угроз безопасности и защищает данные. На сервере может быть развернуто стороннее программное обеспечение безопасности, а брандмауэр сервера может быть отключен или некоторые его функции отключены.

Доступ к брандмауэру

К приложению брандмауэра в Server 2016 можно получить доступ несколькими способами:

  • В командной строке: введите "wf.msc"
  • В пользовательском интерфейсе Windows: нажмите "Поиск", введите "Брандмауэр Windows" и выберите "Брандмауэр Windows в режиме повышенной безопасности"
  • MMC: добавьте оснастку для «Брандмауэр Windows в режиме повышенной безопасности» и оттуда получите доступ к удаленному серверу
  • Урок
  • Опрос
  • Курс

Домены брандмауэра

В брандмауэре Windows в режиме повышенной безопасности пользователю доступны три профиля. У каждого могут быть свои правила.

Рисунок 1. Профили доменов в брандмауэре Windows
Профили домена в брандмауэре Windows

  1. Профиль домена: управляет трафиком в сети, которая использует тот же контроллер домена, что и администрируемый сервер.
  2. Частный профиль. Он управляет трафиком с локальным сервером или сетью, которая обычно находится за устройством NAT, например в домашних сетях или сетях малого бизнеса.
  3. Общедоступный профиль. Он контролирует входящий и исходящий трафик всех сетей, кроме сетей домена. На практике это влияет на все прямые подключения к общедоступному Интернету.

Обычно профиль домена имеет меньше правил, чем общедоступный, поскольку предполагается, что все компьютеры в сети аутентифицированы.

Правила

Существует два набора правил, которые можно применить: «Входящие» и «Исходящие». При первой установке уже будут присутствовать некоторые правила. Правила могут присутствовать, но не обязательно включены. Рядом со всеми активными (включенными) правилами стоит зеленая галочка.

Включение и отключение

Нажатие правой кнопкой мыши на правиле позволит включить или отключить его (в зависимости от того, включено оно уже или отключено).

Новое правило

Чтобы создать новое правило, нажмите «Новое правило» на панели «Действия» в правой части приложения брандмауэра. После выбора пользователь может создать правило для нескольких ситуаций:

  • Правило программы, которое применяется только к определенной программе
  • Правило порта, которое применяется только к порту TCP или UDP
  • Предопределенное правило, представляющее собой раскрывающееся меню встроенных правил.
  • Пользовательские, которые позволяют комбинировать программу, порт и IP-адрес в правиле

Любое правило может быть применено к любой комбинации доменных, частных или общедоступных профилей.

Правила редактирования

Любое правило, независимо от того, включено оно или нет, можно изменить. Щелчок правой кнопкой мыши по правилу позволит изменить его свойства. Откроется диалоговое окно, аналогичное тому, которое доступно при создании нового правила. Обратите внимание, что нельзя изменить все свойства предопределенных правил.

Копировать, вставлять, удалять

Щелкнув правило правой кнопкой мыши, можно сделать следующее:

  • Любое правило, независимо от того, включено оно или нет, можно скопировать, а затем вставить.
  • Любое правило, независимо от того, включено оно или нет, можно удалить.

Резюме урока

Брандмауэр Windows в режиме повышенной безопасности установлен и включен в новой установке Windows Server 2016. Он имеет три профиля домена: домен, частный и общедоступный.

Правила можно применять к каждому профилю для входящего и исходящего трафика в сети. Правила можно включать, редактировать и копировать. Каждое правило может применяться в нескольких ситуациях. Можно использовать программу, порт и предопределенные правила, а также пользовательскую опцию, позволяющую создать комбинацию правил программы, порта или IP-адреса.

Руководства, учебные пособия, обзоры и новости для системных администраторов.

Настройка брандмауэра Windows в режиме повышенной безопасности

В Windows Server 2016 брандмауэр Windows включен по умолчанию. Это разрешает весь исходящий трафик в любой пункт назначения или порт, но ограничивает входящий трафик на основе определенных правил. Мы расскажем, как настроить брандмауэр Windows в режиме повышенной безопасности, показав, как открыть его через графический интерфейс и PowerShell, а затем продемонстрируем, как создать пользовательское правило брандмауэра.

Этот пост является частью нашей серии руководств по подготовке к экзамену Microsoft 70-744 Securing Windows Server 2016. Для получения дополнительных сообщений и информации по теме ознакомьтесь с нашим полным учебным пособием 70-744.

Брандмауэр Windows — панель управления

Основные настройки брандмауэра Windows можно изменить, выбрав «Панель управления» > «Система и безопасность» > «Брандмауэр Windows», как показано ниже. Доступ к этому интерфейсу также можно получить через PowerShell или командную строку, введя «firewall.cpl».

Брандмауэр Windows Панель управления

Здесь мы можем графически просмотреть состояние брандмауэра для доменного, частного и общедоступного профилей. Эти разные профили используются в зависимости от вашего текущего сетевого подключения.Например, если вы присоединены к домену Active Directory, будут использоваться правила, применяемые в профиле домена, а если вы подключены к общедоступной беспроводной сети, будут использоваться настройки общедоступного профиля.

Задачи, которые можно здесь выполнить, показаны в меню слева, мы не будем вдаваться в подробности, так как в основном будем иметь дело с расширенными настройками. Чтобы получить доступ к дополнительным параметрам, вы можете выбрать ссылку дополнительных параметров в этом меню слева в брандмауэре Windows.

Брандмауэр Windows в режиме повышенной безопасности

Как упоминалось выше, мы можем открыть брандмауэр Windows в режиме повышенной безопасности, нажав кнопку дополнительных настроек в брандмауэре Windows. Мы также можем запустить «wf.msc» либо в PowerShell, либо в командной строке, чтобы напрямую открыть расширенный интерфейс безопасности. На изображении ниже показан расширенный интерфейс безопасности после открытия.

Брандмауэр Windows в режиме повышенной безопасности

В этом окне мы видим обзор доменного, частного и общедоступного профилей, которые по умолчанию должны быть включены и блокировать входящий трафик и разрешать исходящий трафик.

В меню слева мы можем выбрать входящие или исходящие правила. Поскольку все исходящие сообщения разрешены по умолчанию, здесь мы сосредоточимся на правилах для входящих. Правила безопасности подключения также можно настроить для настройки подключений IPSec, а мониторинг можно использовать для регистрации различных событий брандмауэра.

В разделе правил для входящего и исходящего трафика мы можем просмотреть правила, которые существуют и включены в данный момент. Эти правила доступны по умолчанию, правила со значком зеленой галочки слева включены и пропускают трафик, в то время как правила без значка отключены.

Входящие правила

Отключенное правило можно включить, просто щелкнув его правой кнопкой мыши и выбрав «Включить». Точно так же мы можем щелкнуть правой кнопкой мыши включенное правило и изменить его на отключенное. Мы также можем просмотреть свойства правила, щелкнув его правой кнопкой мыши и выбрав свойства. Это позволит вам увидеть, что на самом деле делает правило, в том числе порты, которые разрешены через брандмауэр для определенных программ, мы увидим это более подробно позже, когда будем создавать собственное правило.

Создайте правило брандмауэра

Выберите «Правила для входящих подключений» в меню слева, а затем выберите «Новое правило» на панели действий справа. Откроется мастер нового входящего правила. Отсюда мы можем выбрать, хотим ли мы создать правило для конкретной программы, для определенного порта или на основе существующего правила. В этом случае мы выберем пользовательский, так как это дает нам наибольший выбор.

Мастер создания нового правила для входящих подключений — тип правила

На следующем экране мы можем выбрать конкретную программу или службу, для которых брандмауэр должен разрешать трафик. В этом случае мы просто выберем все программы, однако обратите внимание, что это можно использовать для дальнейшей блокировки правила, а не только для разрешения на основе порта/IP-адреса, мы также можем разрешить трафик только для определенной программы.

Мастер создания новых правил для входящих подключений — программа

Далее мы можем выбрать порт и протокол, к которым должно применяться правило. В раскрывающемся списке можно выбрать множество различных протоколов, в этом примере мы указываем, что локальный TCP-порт 9000 должен быть разрешен через брандмауэр. Здесь мы используем локальный порт, так как порт 9000 доступен локально на этом сервере и прослушивает подключения.

Мастер создания нового правила для входящих подключений — протоколы и порты

Теперь мы можем выбрать IP-адрес или диапазон адресов, которые разрешены нашим правилом брандмауэра. В этом случае я разрешаю удаленный диапазон адресов 192.168.0.0/24 через брандмауэр, поэтому только этот диапазон IP-адресов будет разрешен для подключения к серверу через TCP-порт 9000.

Мастер создания нового правила для входящих подключений — область действия

На этом этапе мы указываем, хотим ли мы разрешить или запретить правило, которое мы создаем, мы оставим его на разрешении, так как мы хотим разрешить 192.168.0.0/24 на TCP-порту 9000, однако мы могли бы по желанию вместо этого явно заблокируйте это. Мы также могли бы разрешить подключение только в том случае, если оно безопасно, что зависит от настройки IPSec.

Мастер создания правила для нового входящего трафика — действие

Мы можем выбрать, к каким профилям брандмауэра будет применяться наше новое правило. По умолчанию выбраны все профили, однако вы можете изменить это в соответствии с вашими требованиями.

Мастер создания нового правила для входящих подключений — профиль

Наконец, мы можем указать имя и необязательное описание для идентификации нашего правила. После завершения нажмите «Готово», отметив, что как только вы это сделаете, правило будет действовать в соответствии с тем, как вы его настроили.

Мастер создания нового правила для входящих подключений — Имя

Наше новое правило теперь будет отображаться в верхней части списка правил для входящего трафика над всеми правилами по умолчанию. Мы можем идентифицировать его по имени и кратко посмотреть, что он делает, он разрешает диапазон удаленных адресов 192.168.0.0/24 в локальный порт 9000 с протоколом TCP во всех профилях и включен.

Новое правило брандмауэра

Создав настраиваемые правила брандмауэра, подобные этому, мы можем успешно настроить брандмауэр Windows с повышенной безопасностью.

Обзор

Мы можем настроить очень простые правила брандмауэра с помощью брандмауэра Windows, однако брандмауэр Windows в режиме повышенной безопасности используется для создания гораздо более настраиваемых и детализированных правил, как мы видели здесь.

Этот пост является частью нашей серии руководств по подготовке к экзамену Microsoft 70-744 Securing Windows Server 2016. Для получения дополнительных сообщений и информации по теме ознакомьтесь с нашим полным учебным пособием 70-744.

Брандмауэр Windows позволяет ограничивать входящий/исходящий сетевой трафик для определенного приложения, протокола или порта TCP/IP. Это простой способ ограничить сетевой доступ к/от пользовательских рабочих станций или серверов. Вы можете настроить правила брандмауэра Windows индивидуально на каждом компьютере или, если пользовательский компьютер присоединен к домену Active Directory, администратор может управлять настройками и правилами брандмауэра Защитника Windows с помощью GPO.

На крупных предприятиях правила фильтрации портов обычно устанавливаются на уровне маршрутизаторов, коммутаторов L3 или выделенных устройств брандмауэра. Однако ничто не мешает вам развернуть правила ограничения сетевого доступа брандмауэра Windows на рабочие станции или серверы Windows.

Параметры групповой политики для управления правилами брандмауэра Защитника Windows

С помощью редактора групповой политики домена (консоль управления групповыми политиками — gpmc.msc) создайте новый объект групповой политики (политику) с именем Firewall-Policy и перейдите в режим редактирования.

изменить политику брандмауэра

В консоли управления групповыми политиками есть два раздела, которые позволяют управлять настройками брандмауэра:

настройка параметров брандмауэра Windows в домене через GPO

  1. Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows — этот раздел объекта групповой политики использовался для настройки правил брандмауэра в ОС Vista/Windows Server 2008 или более ранних версиях. Если у вас нет компьютеров с этими старыми версиями ОС, используйте следующий раздел политики для настройки брандмауэра;
  2. Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Брандмауэр Windows в режиме повышенной безопасности — фактический раздел для настройки брандмауэра Windows в современных версиях ОС Windows, интерфейс которого аналогичен интерфейсу локальной консоли управления брандмауэра Defender.

    3. Как включить брандмауэр Windows с помощью GPO?

    Чтобы пользователи (даже с правами локального администратора) не могли остановить службу брандмауэра, рекомендуется настроить автоматический запуск брандмауэра Windows с помощью GPO. Для этого перейдите в «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Системные службы». Найдите Брандмауэр Windows в списке служб и измените режим запуска на автоматический (Определите этот параметр политики -> Режим запуска службы Автоматический). Убедитесь, что у ваших пользователей нет прав на остановку службы.

    Тип запуска службы брандмауэра Windows — «Автоматически» width=

    Перейдите в раздел Конфигурация компьютера -> Параметры Windows -> Параметры безопасности в консоли GPO.Щелкните правой кнопкой мыши Брандмауэр Windows в режиме повышенной безопасности и откройте свойства.

    Измените состояние брандмауэра на «Вкл.» (рекомендуется) на всех трех вкладках: «Профиль домена», «Частный профиль» и «Общий профиль» (Что такое сетевые расположения в Windows?). В зависимости от политик безопасности в вашей компании вы можете указать, что все входящие подключения по умолчанию блокируются (Входящие подключения -> Блокировать), а исходящие подключения разрешены (Исходящие подключения -> Разрешить). Сохраните изменения.

    брандмауэр Windows с расширенными настройками безопасности через групповую политику

    Как создать правило брандмауэра с помощью GPO?

    Попробуем создать разрешающее правило брандмауэра Windows для входящего трафика. Например, мы хотим разрешить входящее RDP-подключение ко всем компьютерам (порт TCP 3389). Щелкните правой кнопкой мыши раздел "Правила для входящих подключений" и выберите "Новое правило".

    создать новое правило брандмауэра защитника Windows через gpo

    Мастер правил брандмауэра имеет интерфейс, аналогичный интерфейсу локального брандмауэра Windows на настольном компьютере пользователя.

    Выберите тип правила. Вы можете разрешить доступ к:

    правило порта брандмауэра Windows

    В нашем случае мы выберем правило порта. В качестве протокола укажем TCP, а в качестве порта — порт 3389 (это порт RDP по умолчанию, но вы можете изменить его через реестр).

    новый входящий правило для 3389

    Затем вы должны выбрать, что делать с таким сетевым подключением: разрешить подключение, разрешить, если оно защищено, или заблокировать подключение.

    правило брандмауэра - разрешить подключение

    Затем выберите профили брандмауэра, к которым нужно применить правило. Вы можете оставить все профили включенными (доменные, частные и общедоступные).

    выберите профиль брандмауэра

    На последнем шаге укажите имя и описание правила. Нажмите «Готово», и оно появится в списке правил брандмауэра.

    Таким же образом вы можете настроить другие правила для входящего трафика, которые будут применяться к вашим клиентам Windows. Не забудьте создать правила для входящего и исходящего трафика.

    настройка входящих правил брандмауэра Windows через gpo

    Теперь просто назначьте политику брандмауэра организационной единице с пользовательскими компьютерами.

    Важно. Прежде чем применять политику брандмауэра к OU с продуктивными компьютерами, настоятельно рекомендуется опробовать ее на нескольких тестовых компьютерах. В противном случае из-за неправильных настроек брандмауэра вы можете парализовать корпоративную сеть. Чтобы диагностировать, как применяется ваша групповая политика, используйте инструмент gpresult.

    Тестирование политик брандмауэра Windows на клиентах

    Обновите параметры групповой политики на своих клиентах (gpupdate /force). Убедитесь, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или инструмент Portqry).

    На пользовательском ПК откройте Панель управления -> Система и безопасность -> Брандмауэр Защитника Windows и убедитесь, что есть сообщение Для вашей безопасности некоторые параметры контролируются групповой политикой и вашими настройками брандмауэра. используются.

    В целях безопасности некоторые параметры брандмауэра контролируются групповой политикой

    Теперь пользователь не может изменять настройки брандмауэра, и все созданные вами правила должны отображаться в списке правил для входящих подключений.

    список правил брандмауэра

    Вы также можете отобразить настройки брандмауэра с помощью этой команды:

    показать состояние брандмауэра netsh

    Как импортировать/экспортировать правила брандмауэра Windows в/из объекта групповой политики?

    Конечно, процесс создания правил брандмауэра Windows — кропотливая и трудоемкая задача (однако она того стоит). Чтобы упростить задачу, вы можете импортировать/экспортировать настройки брандмауэра Windows.Для этого достаточно настроить локальный брандмауэр на эталонной рабочей станции так, как вам нужно. Затем перейдите в корень оснастки брандмауэра Windows (брандмауэр Windows в режиме повышенной безопасности) и выберите «Действие» -> «Экспортировать политику».

    экспортировать правила брандмауэра защитника Windows в файл wfw

    Политика будет экспортирована в файл WFW, который можно импортировать в редактор управления групповыми политиками, выбрав параметр «Импортировать политику» и указав путь к файлу .wfw (текущие параметры политики будут перезаписаны).

    импортировать настройки брандмауэра в gpo

    Доменные и локальные правила брандмауэра Защитника Windows

    В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать свои собственные правила брандмауэра на своих компьютерах для объединения с правилами, полученными из групповой политики, вы можете выбрать параметр объединения правил. Откройте свойства политики и просмотрите параметры в разделе Объединение правил. По умолчанию слияние правил включено. Вы можете разрешить локальному администратору создавать свои собственные правила брандмауэра: выберите Да (по умолчанию) в параметре Применить локальные правила брандмауэра.

    gpo windows правила объединения брандмауэра

    Совет. Блокирующие правила брандмауэра имеют более высокий приоритет, чем разрешающие. Это означает, что пользователь не может создать разрешающее правило доступа, если оно противоречит блокирующему правилу, настроенному администратором с помощью GPO. Однако пользователь сможет создать локальное правило блокировки, даже если доступ разрешен в политике администратором.

    Советы: управление брандмауэром Windows с помощью объектов групповой политики

    Конечно, вам следует создать отдельные политики для управления правилами брандмауэра Windows для серверов и рабочих станций (возможно, вам придется создать отдельные политики для каждой группы похожих серверов в зависимости от их роли). Это означает, что правила брандмауэра для контроллера домена, почтового сервера Exchange и SQL-сервера будут отличаться.

    Вы можете узнать, какие порты должны быть открыты для каждой службы, на веб-сайте поставщика. Процесс довольно кропотливый и сложный на первый взгляд. Однако вы, наконец, можете получить работающую конфигурацию брандмауэра Windows, которая разрешает только разрешенные сетевые подключения и блокирует другие. Из своего опыта хочу отметить, что вы можете быстро найти список используемых портов TCP/UDP для программного обеспечения Microsoft.

    Читайте также: