Снимаем ограничение сетевого трафика в брандмауэре

Содержание

Защита Windows Server 2008 R2 с помощью брандмауэра

Снимаем ограничение сетевого трафика в брандмауэре

26.06.2012 Алан Сугано

В наши дни модель безопасности целиком строится на концепции уровней безопасности. Если средства защиты вашей сети окажутся скомпрометированными, уровни безопасности могут, по меньшей мере, ограничить фронт атаки злоумышленников или ослабить удар. .

Профили брандмауэров

Пользователи системы Server 2008 R2 могут применять три различных профиля Windows Firewall. В каждый момент активным может быть только один из них.

  1. Профиль домена (Domain profile). Этот профиль активен в ситуации, когда сервер подключен к домену Active Directory (AD) по внутренней сети. Как правило, в активном состоянии бывает именно этот профиль, поскольку серверы по большей части являются членами домена AD.
  2. Частный профиль (Private profile). Этот профиль активен, когда сервер является членом рабочей группы. Для данного профиля специалисты Microsoft рекомендуют использовать настройки с более строгими ограничениями, чем для профиля домена.
  3. Общий профиль (Public profile). Этот профиль активен, когда сервер подключен к домену AD через общедоступную сеть. Microsoft рекомендует применять для него настройки с самыми строгими ограничениями.

Открыв оснастку Firewall with Advanced Security, вы можете увидеть, какой профиль брандмауэра активен в данный момент. Хотя специалисты Microsoft указывают на возможность применения различных настроек безопасности в зависимости от параметров профиля сетевого экрана, я обычно настраиваю брандмауэр так, как если бы внешнего сетевого экрана не было вовсе.

При таких настройках, если какие-либо порты на внешних брандмауэрах случайно останутся открытыми, трафик будет заблокирован экраном Windows Firewall в Server 2008.

Как и в предыдущих версиях продукта Windows Firewall, в версии Server 2008 R2 все входящие соединения блокируются, а все исходящие от сервера по умолчанию беспрепятственно функционируют (если только в данный момент не действует правило Deny).

В организации, где я работаю, используются описанные выше параметры, так что конфигурация наших брандмауэров напоминает среду общих профилей. Создавая некое правило, мы активируем его для всех трех профилей.

Используя единообразную для всех трех доменных профилей конфигурацию сетевых экранов, мы устраняем угрозу возможного и нежелательного открытия портов в случае изменения профиля брандмауэра Windows Firewall.

IPsec и изоляция доменов

С помощью реализованного в Windows Firewall компонента IPsec администраторы могут осуществлять изоляцию доменов. Изоляция домена препятствует установлению соединения между не входящим в домен компьютером и системой, которая является членом домена.

Администратор может настроить брандмауэр таким образом, чтобы при установлении связи между двумя членами домена весь трафик между двумя компьютерами шифровался средствами IPsec.

Такая конфигурация может быть полезной в сети, где наряду со «своими» пользователями работают и гости, которым не следует предоставлять доступ к компьютерам, являющимся частью домена. Эту конфигурацию можно использовать в качестве альтернативы виртуальным локальным сетям Virtual LAN (VLAN) или как дополнение к ним.

Более подробные сведения об изоляции доменов с помощью туннелей IPsec можно найти в подготовленной специалистами сайта Microsoft TechNet статье «Domain Isolation with Microsoft Windows Explained», опубликованной по адресу technet.microsoft.com/enus/library/cc770610(WS.10).aspx.

Не отключайте брандмауэр

Я рекомендую при первоначальной установке системы Server 2008 R2 не отключать брандмауэр.

В наши дни почти все приложения достаточно «интеллектуальны», чтобы автоматически открывать нужный порт в сетевом экране в процессе установки (что снимает необходимость вручную открывать на сервере порты для приема запросов интернет-клиентов).

Одно из оснований не отключать брандмауэр в ходе установки состоит в том, чтобы обеспечить защиту операционной системы до того, как вы получите возможность применить новейшие обновления.

Брандмауэр интегрирован с ролями и средствами диспетчера Server Manager. Когда на сервере добавляется роль или функция, брандмауэр автоматически открывает соответствующие порты для приема интернет-запросов.

Система управления базами данных SQL Server по умолчанию использует порт TCP 1433. Поэтому администратор должен вручную создать правило для приема запросов, санкционирующее трафик для SQL Server через порт TCP 1433.

Альтернативное решение — изменить настройки по умолчанию.

Создание правил для обработки входящего трафика

Если вы не будете отключать брандмауэр, вам, скорее всего, придется в тот или иной момент вручную создавать правило для приема запросов. Существует немало правил, созданных (но отключенных по умолчанию) для большого числа популярных приложений Windows.

Перед тем как приступать к созданию правила, удостоверьтесь, что правило, санкционирующее обработку интересующего вас трафика, пока не составлено. Если такое правило уже существует, вы можете просто активировать его и, возможно, изменить заданную по умолчанию область применения. Если же найти подходящее правило не удается, вы всегда можете создать его, что называется, с чистого листа.

В меню Start выберите пункт Administrative Tools, а затем щелкните на элементе Windows Firewall with Advanced Security. На экране появится окно оснастки Firewall with Advanced Security. Я покажу на примере, как создать правило, санкционирующее входящий трафик SQL Server через порт TCP 1433 с интерфейсного сервера Microsoft Office SharePoint Server.

Правой кнопкой мыши щелкните на пункте Inbound Rules и выберите элемент New Rule. Как показано на экране 1, в качестве типа правила (rule type) можно указать Program, Port, Predefined или Custom. Я обычно выбираю тип Custom, поскольку в этом случае система предлагает ввести область применения правила. Для продолжения нажмите кнопку Next.
Экран 1. Выбор типа для нового правила обработки входящего трафика

В открывшемся диалоговом окне, показанном на экране 2, можно указать программы или службы, к которым будет применяться правило. В нашем примере я выбрал пункт All programs, так что трафик будет управляться в зависимости от номера порта.

Экран 2. Указание программы, к которой будет применяться новое правило обработки входящего трафика

Затем, как видно на экране 3, я в качестве протокола указал TCP, а в раскрывающемся меню Local port выбрал пункт Specific Ports и указал порт 1433, по умолчанию применяющийся при работе с SQL Server. Поскольку удаленные порты относятся к категории динамических, я выбрал пункт All Ports.

Экран 3. Указание протокола и портов для нового правила обработки входящего трафика

В диалоговом окне Scope, показанном на экране 4, я в качестве локального IP-адреса указал 192.168.1.11, а в качестве удаленного IP-адреса — 192.168.1.10 (это IP-адрес интерфейсного сервера SharePoint нашей организации). Я настоятельно рекомендую указывать диапазон для каждого правила — на тот случай, если данный сервер вдруг окажется открытым для доступа из нежелательных подсетей.

Экран 4. Определение локального и удаленного IP-адресов в области применения нового правила обработки входящего трафика

В диалоговом окне Action на экране 5 я выбрал пункт Allow the connection, так как хотел разрешить входящий трафик для системы SQL Server. Можно использовать и другие настройки: разрешить трафик только в том случае, если данные зашифрованы и защищены средствами Ipsec, или вообще заблокировать соединение.

Далее требуется указать профиль (профили), для которого будет применяться данное правило. Как показано на экране 6, я выбрал все профили (оптимальный метод). Затем я подобрал для правила описательное имя, указал разрешенную службу, область и порты, как показано на экране 7.

И завершаем процесс создания нового правила для обработки входящего трафика нажатием кнопки Finish.

Экран 5. Указание действий, которые необходимо предпринять, если при соединении выполняется условие, заданное в новом правиле обработки входящего трафика
Экран 6. Назначение профилей, к которым будет применяться новое правило обработки входящего трафика
Экран 7. Именование нового правила обработки входящего трафика

Создание правил для обработки исходящего трафика

Во всех трех профилях брандмауэра (то есть в доменном, открытом и частном) входящий трафик по умолчанию блокируется, а исходящий пропускается.

Если воспользоваться настройками по умолчанию, вам не придется открывать порты для исходящего трафика.

Можете прибегнуть к другому способу: заблокировать исходящий трафик (но тогда вам придется открыть порты, необходимые для пропускания исходящих данных).

Создание правил для обработки исходящего трафика аналогично созданию правил для входящего; разница лишь в том, что трафик идет в противоположном направлении. Если на сервер попал вирус, который пытается атаковать другие компьютеры через те или иные порты, вы можете заблокировать исходящий трафик через эти порты с помощью оснастки Firewall with Advanced Security.

Управление параметрами брандмауэра

Правила для брандмауэров создаются не только с помощью оснастки Firewall with Advanced Security. Для этой цели можно воспользоваться командами Netsh.

Более подробную информацию об использовании этих команд для настройки Windows Firewall можно найти в статье «How to use the ‘netsh advfirewall firewall’ context instead of the ‘netsh firewall’ context to control Windows Firewall behavior in Windows Server 2008 and in Windows Vista» по адресу support.microsoft.com/kb/947709.

Кроме того, управлять параметрами брандмауэра можно с помощью групповой политики. Один из самых простых способов формирования правил для брандмауэров с помощью групповой политики состоит в следующем.

Сначала нужно создать правило, используя оснастку Firewall with Advanced Security, затем экспортировать его и, наконец, импортировать правило в редактор Group Policy Management Editor. После этого вы можете передать его на соответствующие компьютеры.

Более подробная информация о том, как управлять брандмауэром Windows Firewall с помощью групповых политик, приведена в статье «Best Practice: How to manage Windows Firewall settings using Group Policy», опубликованной по адресу http://bit.ly/aZ4 HaR.

Диагностика

Если при попытке подключиться к серверу у вас возникают трудности, попробуйте активировать процедуру регистрации; это позволит получить информацию о том, блокируются ли нужные вам порты. По умолчанию функция входа в систему через брандмауэр отключена.

Для ее включения следует правой кнопкой мыши щелкнуть на оснастке Windows Firewall with Advanced Security и в открывшемся меню выбрать пункт Properties.

Теперь в разделе Logging перейдите на вкладку Active Profile (Domain, Private, or Public) и выберите пункт Customize.

По умолчанию журнал регистрации брандмауэра располагается по адресу C:\Windows\system32\Log Files\Firewall\pfirewall.log.

Выясняя причины неполадок в функционировании средств подключения, я, как правило, регистрирую только потерянные пакеты, как показано на экране 8; иначе журналы могут заполниться массой ненужных сведений об успешных соединениях.

Откройте журнал в редакторе Notepad и выясните, происходит ли потеря пакетов при прохождении брандмауэра.

Экран 8. Активация журнала брандмауэра для доменного профиля

Еще один совет из области диагностики: отключите брандмауэр; вероятно, после этого возможности соединения будут восстановлены.

Если вам удалось восстановить соединение с отключенным сетевым экраном, откройте окно командной строки и введите команду Netstat -AN; таким образом вы сможете просмотреть детали соединения.

Если приложение подключается по протоколу TCP, вы сможете определить порты приложения, просмотрев локальные и «чужие» IP-адреса с состоянием Established. Это особенно удобно в ситуациях, когда вы не знаете наверняка, какой порт (или порты) то или иное приложение использует для установления соединения.

Доступное по адресу technet.microsoft.com/en-us/sysinternals/bb897437 инструментальное средство TCPView из набора утилит Windows Sysinternals можно уподобить «усиленному» варианту Netstat. Это средство отображает детальную информацию о соединениях по протоколу TCP и может быть полезным при диагностике неполадок в средствах сетевого соединения.

Ваш помощник — сетевой экран

Системы Server 2008 R2 и Server 2008 — это первые версии Windows Server, допускающие возможность функционирования корпоративной среды без отключения сетевого экрана. Важно только не отключать брандмауэр при установке на сервере какой-либо программы. Таким образом вы сможете испытывать средства подключения сервера до их развертывания в производственной сети.

Чтобы узнать, имеет ли место потеря пакетов при прохождении через сетевой экран, установите настройку Log dropped packets.

Тем, кто решит активировать брандмауэр на сервере после того, как этот сервер в течение некоторого времени проработал в производственной сети, я рекомендую для начала поместить его в лабораторную среду и определить, какие порты необходимы для открытия брандмауэра.

Алан Сугано (asugano@adscon.com) — президент компании ADS Consulting Group, специализирующейся на разработках в области Microsoft.NET, SQL Server и сетевых технологиях

Поделитесь материалом с коллегами и друзьями

Источник: https://www.osp.ru/winitpro/2012/03/13016351

Нет доступа к сети возможно доступ блокирует Брандмауэр или антивирус

Снимаем ограничение сетевого трафика в брандмауэре

Если интернет не работает, и нет возможности вызвать специалиста срочно, вы можете попытаться наладить настройки самостоятельно, воспользовавшись нашей статьёй.

Совет: прежде чем искать методы решения проблем в настройках сети и роутера, проверьте состояние своего счёта у провайдера и надежность крепления сетевого кабеля, приблизительно в половине случаев это решает проблему.

Брандмауэр или антивирус?

Иногда, доступ в интернет могут блокировать собственные агенты защиты системы, как брандмауэр или антивирус. Определить запрет брандмауэра Windows 8 достаточно просто – отключить его в настройках системы и проверить подключение, если сеть появится – проблема обнаружена.

Если запрет исходит от антивируса, нужно отключать уже непосредственно программу или завершать соответствующие процессы через диспетчер задач.

Настройка Брандмауэра в ОС Windows

Основная функция брандмауэра – проверка данных поступающих из интернета и блокировка тех, которые вызывают опасения. Существует два режима «белый» и «черный» список. Белый – блокировать всё, кроме того, что разрешено, черный разрешать все кроме запрещенного. Даже после полной настройки брандмауэра остаётся необходимость устанавливать разрешения для новых приложений.

Чтобы найти брандмауэр:

  • зайдите в Панель управления и воспользуйтесь поиском;
  • в открывшемся окне можно изменить параметры защиты для частных и публичных сетей;

Если у вас уже установлен антивирус, отключите брандмауэр как показано на этой картинке.

Блокирование исходящих соединений

Брандмауэр и иногда антивирус могут полностью блокировать все исходящие соединения.

Чтобы перекрыть файерволом исходящие подключения в режиме белого фильтра нужно:

  • зайти в «дополнительные параметры» брандмауэра;
  • открыть окошко «Свойства»;
  • поставить «исходящие подключения» в режим «блокировать» в частном и общем профиле.

Правила для приложений

Есть специальный список программ, которым разрешен обмен данными с интернетом и если нужная вам блокируется, нужно просто настроить разрешения для нее в этом списке. Кроме того, можно настроить уведомления так, чтобы если блокируется новое приложение, вы имели выбор – оставить все как есть и разрешить доступ этой программе.

Например, можно закрыть доступ к интернету для скайпа или гугл хром, или наоборот, оставить доступ только для пары конкретных рабочих программ.

Правила для служб

Чтобы настроить доступ для служб:

  1. заходим в углубленные настройки брандмауэра;
  2. слева выбираем входящие или исходящие правила;
  3. справа выбираем пункт «Создать правило»;
  4. в списке выбираем «Настраиваемое»;
  5. вводим имя службы или выбираем его из предложенного списка.

В новых версиях Windows, начиная с Vista, предусмотрена возможность выбирать службу из списка, не вводя имя службы вручную. Если нет доступа к компьютеру в сети windows xp или windows server, вам нужно настроить службу политики доступа, то подробное описание можно найти в справках системы.

Активируем зарезервированное правило

Чтобы активировать зарезервированное правило, нужно повторить пункты 1-3 из предыдущего раздела, затем:

  • выбрать пункт «Предопределенные»;
  • отметить желаемое разрешение, например для «Удаленного помощника»;
  • выбрать нужное правило из списка;
  • указать действие для указанных условий – разрешить подключение, разрешить безопасное подключение или блокировать.

Разрешаем VPN-подключение

Для установки особого разрешения VPN подключения, нужно снова повторить пункты 1-3, далее:

  • выбрать пункт «Для порта»;
  • указать протокол TCP или UDP;
  • выбрать применение правила ко всем или определенным портам;
  • отметить нужный пункт: разрешить подключение, разрешить безопасное подключение, блокировать подключение;
  • выбрать профили, для которых должно применяться это правило – доменный, частный или публичный;
  • дать название готовому правилу.

Настройка антивируса

При возникновении проблем, один из лучших вариантов – зайти на сайт антивируса или обратиться в тех.поддержку продукта, там вам точно укажут правильные настройки программы.

Антивирус не должен блокировать рабочие программы – как гугл хром или скайп, но должен их проверять во время работы.

Безопасные настройки антивируса должны включать:

  • веб-сканирование;
  • проверку файлов скачанных из интернета;
  • блокировку опасных сайтов и прерывание соединения с подозрительными подключениями;
  • сканирование сценариев браузеров;
  • оповещения об опасных файлах и подозрительных сайтах.

Обновление

Обновление антивируса должно быть актуальным, либо с выходом новых версий, либо ежемесячно автоматически.

Нет доступа к сети в Windows 7

Если при подключении вы видите «Неопознанная сеть», но все настройки в порядке, обратитесь сначала к провайдеру – это может быть его внутренняя ошибка.

После переустановки Windows настройки интернета обычно возвращаются к первоначальным, поэтому нужно устанавливать их заново:

  • создаём новое сетевое подключение, выбираем пункт «Высокоскоростное»;
  • вводим имя пользователя и пароль, название подключения и сохраняем;
  • заходим в параметры адаптера;
  • выбираем необходимое сетевое подключение и открываем пункт «Свойства»;
  • в списке выделяем пункт «Протокол интернета версии 4»;
  • нажимаем кнопку «Свойства»;
  • выбираем «Получить IP-адрес автоматически» или «Использовать следующий IP-адрес, и вводим нужные данные вручную;
  • сохраняем данные.

Причиной проблемы могут стать ошибки протокола Windows, чтобы исправить это, нужно сбросить настройки протокола.

Это довольно просто: 

  • запустить командную строку с правами администратора;
  • ввести и активировать команду netsh int ip reset resetlog.txt;
  • перезагрузить ноутбук.

Проблема в роутере, или в ноутбуке?

Когда возникают проблемы подключения через WiFi, нужно определить, в чем источник проблемы. Это может быть ноутбук, роутер или провайдер.

Если все устройства подключаются к роутеру и нормально работают с интернетом – причина в ноутбуке, если наоборот, подключить сетевой кабель к ноутбуку и интернет будет работать – нужно заняться настройками роутера.

Когда ничего не помогает, обратитесь в тех.поддержку провайдера.

Причина в ноутбуке

Если проблема в ноутбуке, но все вышеперечисленные настройки в порядке, проведите диагностику системы на вирусы и работу устройств. Возможны неполадки в работе сетевого драйвера или даже нарушения работы непосредственно сетевой карты, разъема.

Возможно, не совпадает пароль WiFi точки, например, из-за неправильной раскладки или CapsLock.

Причина в Wi-Fi роутере

Роутер при неправильных настройках может раздавать WiFi без доступа к сети. О том как правильно настроить роутер – читайте далее.

Одной из причин подключения без сети может быть защита сети вай фай от несанкционированного доступа с помощью блокировки по MAC-адресу. Узнать, как исправить эту проблему можно на сайте производителя роутера, или самостоятельно найти в настройках список разрешенных или запрещенных адресов и добавитьудалить адрес своего ноутбука.

Посмотреть MAC-адрес своего ноутбука можно введя команду Ipconfig / all в командной строке.

Также, на роутере есть настройки ограничения скорости для каждого клиента, таким образом можно как разрешить скорость на максимально, так и ограничить её до пары кбсек.

Проблемы со скоростью интернета могут быть сигналом о помощи от самого роутера – возможно, вы не сняли с него заводскую пленку, он чем-то накрыт или перегревается по другим причинам. Если не обеспечить устройству нормальную вентиляцию, то проживёт оно недолго и крайне неэффективно.

Проверяем интернет соединение без роутера

Если в возникших проблемах вы подозреваете именно роутер, для проверки нужно подключить сетевой кабель к ноутбуку или компьютеру. Если интернет не заработал автоматически, создать новое кабельное подключение, ввести логин и пароль, предоставленные провайдером. Возможно, понадобится ввести дополнительные настройки протоколов в свойствах адаптера.

Настройка соединения с интернетом

Чтобы проверить, соответствуют ли настройки IPv4 компьютера заявленным провайдером, нужно сделать следующее:

  • зайти в Управление сетями и общим доступом;
  • потом во вкладку Изменение параметров адаптера;
  • в контекстном меню подключения откройте Состояние;
  • там нажмите кнопку Сведения;
  • сверьте адрес и шлюз IPv4, они должны соответствовать тем, которые предоставляет провайдер при регистрации.

Настройка соединения через роутер, происходит через веб-интерфейс устройства. В комплекте к маршрутизатору иногда идет диск с настройками, но можно обойтись и без него. Для первоначальной настройки лучше всего соединить роутер непосредственно с ноутбуком, а потом уже с кабелем интернета, подключение к электросети выполняется в последнюю очередь.

Далее, следуем инструкции:

  1.  заходим на веб-интерфейс. Для этого открываем браузер и вписываем IP адрес, который есть в документации устройства или на наклейке, прямо на корпусе.

    Это могут быть:

    • 192.168.0.1
    • 192.168.1.1
    • 192.168.2.1
  2. вводим логин и пароль для входа, они тоже указаны в документации. Обычно это admin-admin;
  3.  в меню Wireless находим пункт SSID и вводим название вашей будущей сети;
  4.  далее, в  разделе Безопасность, того же меню, создаём пароль сети, а в пункте Шифрование выбираем самый надежный WPA2-PSK;
  5. в разделе WAN-соединение, выбирайте тот, который предоставляет вам провайдер:
    •  Если это PPPoE соединение, нужно ввести логин и пароль сети, необходимость заполнения пунктов IP адрес и маска под сети уточняйте у провайдера;
    • При динамическом IP дополнительные настройки не нужны;
    • Статический IP требует ввода IP адреса, который нельзя будет менять;
    • PPTP подключение требует обязательного ввода логина, пароля, маски подсети и IP шлюза.
  6.  не забывайте сохранять настройки после каждого пункта.

Если у вас недостаточно времени чтобы ждать специалиста, нет желания тратить деньги, вы чувствуете себя уверенным пользователем ПК, то пользуясь различными инструкциями и рекомендациями, можете попробовать самостоятельно настроить подключение интернета. Скорее всего, это займет в два-три раза больше времени и энергии, чем обращение к мастеру, но зато даст полезный опыт в будущем.

Источник: https://compsch.com/bezopasnost/net-dostupa-k-seti-vozmozhno-dostup-blokiruet-brandmauer-ili-antivirus.html

Брандмауэр: настройки

Снимаем ограничение сетевого трафика в брандмауэре

Экран Политики брандмауэра позволяет опытным пользователям управлять правилами брандмауэра для блокирования неавторизованного доступа, разрешая при этом авторизованный обмен данными.

По умолчанию настройки брандмауэра рассчитаны на обеспечение наилучшей защиты, если он включен. Поэтому мы настоятельно рекомендуем изменять их, только если вы глубоко понимаете принципы работы брандмауэра. После внесения изменений щелкните OK, чтобы сохранить параметры брандмауэра.

Примечание. Брандмауэр доступен только в версиях Avast Premier и Avast Internet Security.

Указание правил по умолчанию

Укажите, как следует себя вести брандмауэру при встрече с программами, запускаемыми в первый раз и потому не имеющими заданных заранее правил приложений.

  • Определять автоматически (по умолчанию): разрешение программе Avast выбирать наиболее подходящую настройку для каждой программы в соответствии с ее поведением.
  • Разрешить: разрешение всем программам, не имеющим заданных заранее правил приложения, получать доступ к сети.
  • Блокировать: запрет всем программам, не имеющим заданных заранее правил приложения, получать доступ к сети.
  • Спрашивать: предложение выбрать, стоит разрешить или запретить доступ к сети, каждый раз, когда брандмауэр будет сталкиваться с программой, не имеющей заданных заранее правил приложения. Выбор этого варианта может привести к частому и, возможно, назойливому возникновению запросов.

Чтобы применять разные настройки для сетевых профилей (Частная сеть и Интернет), установите флажок Использовать отдельные настройки для каждого режима брандмауэра.

Настройка политики

Управляйте своими настройками политики брандмауэра.

  • Показывать уведомления о вновь созданных правилах «разрешить»: отправка предупреждающего сообщения при каждом создании функцией автоматического принятия решений нового правила, разрешающего обмен данными. Установка этого флажка может привести к возникновению частых и, возможно, назойливых предупреждений.
  • Показывать уведомления о вновь созданных правилах «блокировать»: отправка предупреждающего сообщения при каждом создании функцией автоматического принятия решений нового правила, запрещающего обмен данными. По умолчанию этот параметр активен.
  • Режим общего доступа к подключению Интернета: разрешение доверенному пользователю подключаться к Интернету через ваш ПК или использовать его для устранения неполадок с устройствами (например, принтером), подключенными к Интернету. Включение этого параметра открывает определенные порты, которые обычно закрыты, что снижает уровень безопасности. Всегда отключайте данный параметр, как только пользователь перестанет нуждаться в доступе к Интернету или когда неполадки будут устранены.
  • Разрешить все соединения с друзьями в конфиденциальном режиме: разрешение всех сетей, указанных в списке Друзья, когда вы подключены к сети, работающей в режиме конфиденциальности.

Создание пакетных правил

В дополнение к правилам для приложений, которые регулируют трафик в соответствии с собственными правилами для программ или служб, опытные пользователи могут также управлять правилами для пакетов, чтобы контролировать сетевой трафик в зависимости от типа соединения.

  • Системные правила: щелкните эту кнопку, чтобы в упрощенном виде определить правила для пакетов, которые будут управлять сетевым трафиком основных типов соединения в зависимости от собственных возможностей системы (протоколы VPN и т. д.). Подробнее…
  • Правила работы с пакетами: щелкните эту кнопку, чтобы более подробно определить правила для пакетов, указав, разрешать или блокировать сетевой трафик в зависимости от информации, которая содержится в сетевых пакетах. Подробнее…

Прочие параметры брандмауэра

Воспользуйтесь вкладками, расположенными в левой части окна, чтобы управлять различными характеристиками поведения брандмауэра.

Сетевые профили

Экран Сетевые профили отображает список сетей, к которым вы подключены или подключались в прошлом с вашего ПК. Эти сети перечислены в порядке давности подключения к ним вашего ПК. Можно управлять параметрами брандмауэра для изменения профиля и настройками, указанными для каждой сети.

Укажите, что следует делать брандмауэру при каждой смене сети, если профиль отличается.

  • Разрешить автоматическое переключение профиля: разрешение программе Avast автоматически изменять профиль брандмауэра при подключении к известной сети с профилем, отличным от используемого предыдущей подключенной сетью. По умолчанию этот параметр активен.
  • Показывать уведомления об автоматическом переключении профиля: предупреждение о каждом изменении профиля брандмауэра (при смене с профиля Частные сети на Интернет и наоборот). Установка этого флажка может привести к появлению навязчивых предупреждений.

Щелкните строку сведений о сети, чтобы управлять следующими настройками.

  • Имя: изменение имени сети.
  • Профиль: изменение настроек сети в соответствии с тем, к какому профилю она относится: Частные сети или Интернет. Рекомендуем применять профиль «Интернет» ко всем сетям, кроме своей частной сети: при подключении к Интернету в кафе, аэропорту и т. д.
  • Друзья: установите этот флажок, чтобы указать, что сеть является доверенной и весь обмен данными через нее является безопасным. Эта настройка доступна только для частных сетей.

MAC-адрес, если он применим, также останется видимым, однако в данное поле нельзя вносить изменения. MAC-адрес — это адрес оборудования маршрутизатора.

Друзья

Используйте экран настроек Друзья, чтобы указать все доверенные сети за пределами вашей текущей сети. Эти сети (Друзья) избегают установленных по умолчанию ограничений брандмауэра, применяемых к неизвестным сетям.

Исключения, применяемые для списка «Друзья», используются только при подключении к сети с профилем Частные сети. Если для брандмауэра выбран профиль Интернет, ограничения, заданные по умолчанию, применяются ко всем сетям, включая добавленные в список Друзья.

  • Чтобы добавить сеть в список «Друзья», щелкните Добавить, затем введите диапазон IP-адресов в поля От (IP-адрес) и До (IP-адрес).
  • Чтобы удалить сеть из списка «Друзья», щелкните нужную строку, а затем нажмите Удалить.

Примечание. Действительный диапазон содержит наименьшее значение в поле От (IP-адрес) и наибольшее значение в поле До (IP-адрес). Например, От (IP-адрес): 192.168.0.0, До (IP-адрес): 192.168.255.255.

Дополнительно

Дополнительные настройки брандмауэра доступны пользователям, которым для некоторых целей необходимо вносить изменения в настройки брандмауэра.

Укажите свои настройки для журналов брандмауэра.

  • Максимальное число записей: измените количество строк с записями о действиях, которые брандмауэр может заносить в журнал. Уменьшение этого числа позволяет экономить место на диске, но сократит объем истории, содержащейся в журналах брандмауэра.
  • Регистрировать в журнале все блокируемые пакеты: при включении этого параметра брандмауэр будет вносить в журнал каждый заблокированный пакет. Если вы не установите флажок напротив этого параметра, брандмауэр будет заносить в журнал только соединения. Обычно заносить в журнал все пакеты требуется только при устранении неполадок, связанных с наличием брешей в системе безопасности.

Определите, как брандмауэру следует поступать при попытке сканирования порта.

  • Включить автоматическое обнаружение сканирования портов: разрешение брандмауэру обнаруживать попытки сканирования порта. По умолчанию этот параметр активен. Сканирование порта — это техника, которую нередко используют злоумышленники для определения в сети уязвимых или незащищенных устройств. Если брандмауэр обнаружит сканирование порта, небезопасный IP-адрес будет занесен в «черный список», а весь обмен данными с этим адресом будет заблокирован до перезагрузки вашего ПК.
  • Время блокировки IP-адреса: укажите, насколько глубоко брандмауэру следует искать историю последнего сетевого трафика для подозрительных сетевых пакетов. Установленный по умолчанию период составляет 1 800 000 миллисекунд (30 минут). Увеличение этого значения может вызвать ложные обнаружения угроз.

Укажите предпочитаемое значение для сокетов прямого доступа.

  • Включить Raw Sockets: включение обмена данными с приложениями, использующими сокеты прямого доступа вместо определенных протоколов обмена данными. По умолчанию этот параметр активен. Снятие этого флажка немного повысит безопасность ПК, но вызовет значительные проблемы с подключением всех приложений, использующих сокеты прямого доступа.

Источник: https://help.avast.com/ru/av_free/17/settings_fw_policies.html

Настройка правил брандмауэра Windows групповыми политиками

Снимаем ограничение сетевого трафика в брандмауэре

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам.

Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO.

Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services.

Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Важно. Прежде, чем применять политику файервола к OU с продуктивными компьютерами, настоятельно рекомендуется проверить ее на тестовых компьютерах. В противном случае из-за неправленых настроек брандмауэра вы можете парализовать работу предприятия. Для диагностики применения групповых политик используйте утилиту gpresult.exe. 

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows.

Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции.

Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие ->Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил.

Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен.

Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный.

Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное.

По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Источник: http://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.