Учимся настраивать Firewall в панели управления

Содержание

Как настроить брандмауэр Windows и правила / Заметки Сис.Админа

Учимся настраивать Firewall в панели управления

Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Как Вы поняли из заголовка, сегодня поговорим про брандмауэр Windows.

Мы многое писали о безопасности, как антивирусной или парольной, так и, что называется, сетевой, т.е про фаерволлы и всё, что с ними связано (даже упоминали старенькую ловушку APS, которая, в общем-то еще более-менее жива для определенных раскладов).

Тем не менее, многие забывают о том, что в самой Windows существует собственный брандмауэр (он же фаерволл), которым можно вполне успешно пользоваться, если настроить его должным образом, а не оставлять работать по принципу “как есть”. Т.е вполне можно обойтись и им, без установки стороннего софта, что, в общем-то разумно (особенно, если у Вас лицензия).

Нас частенько просят рассказать хотя бы основы этой настройки.
Что ж, давайте кратенько пройдемся по этой теме.

Поехали.

Прежде чем приступить, собственно, обязательно стоит понять следующее:

  • Описанная ниже методология требует вдумчивой настройки (и отталкивается от идеи о том, что разумный пользователь хочет самостоятельно контролировать все входящие+исходящие соединения с интернетом и сетью) и некоторого количества времени, т.е, если Вы ленивы, у Вас установлено очень много программ (да и вообще Вы их ставите без разбору), каждой из которых нужен доступ в интернет, то, вероятно, эта статья Вам не подходит (как и тема защиты с помощью брандмауэра вообще);
  • Тем не менее, статья рекомендуется для прочтения каждому, чтобы понимать как работает этот самый брандмауэр Windows (а он включен по умолчанию и работает практически у каждого) и как его, в случае чего, настроить, приструнить, им управлять и просто диагностировать возможные проблемы с доступом в интернет какой-либо программой.

Давайте, что называется, приступимс.

Первичный запуск и настройка

Здесь и далее я буду исходить из мысли, что мы находимся в Windows 10, но в общем и целом статья актуальна для Windows 7/8/8.1 и при некоторой сноровке её можно притулить в XP.

Для начала зайдите в панель управления и откройте управления этим самым брандмауэром, т.е нажмите правой кнопкой мышки на меню “Пуск“.

Затем выберите пункт “Панель управления“, в которой переключитесь на маленькие значки (справа вверху) и выберите из списка “Мелкие значки“, после чего тыркнитесь в “Брандмауэр Windows“:

На выходе мы получим, собственно, окно этого самого брандмауэра, в котором необходимо сразу перейти к дополнительным настройкам, радостно тыркнув мышкой в соответствующий пункт (Дополнительные параметры):

Внутри Вы увидите 3 набора профилей (Общий профиль, Профиль домена и Частный профиль), а так же параметры IPSec.

Здесь для каждого (т.е три раза) из профилей нам нужно включить брандмауэр Windows (первый выпадающий список), включить блокировку всех входящих подключений (второй выпадающий список) и блокировать исходящие подключения (третий список).

На выходе, на каждой из вкладок профиля Вы должны видеть то, что видите на скриншоте выше.

Внимание! После применения, скорее всего, Вы сразу потеряете соединения с интернетом для всех программ (в том числе браузера), которые не были в исключениях. Не закрывайте статью или разблокируйте исходящие подключения на время настройки разрешений (ниже по тексту).

Результатом должно являться нечто следующее (см.описание профилей в колонке “Обзор“), скриншот кликабелен:

В данный момент у нас запрещены все входящие подключения и все исходящие, кроме тех правил, что заданы изначально приложениями или самой системой.

Правила для исходящих соединений

В большинстве случаев для входящих соединений ничего настраивать не нужно и их стоит держать заблокированными (за исключением всяких таких торрентов и установленных локально FTPWeb и прочих серверов, в том числе игровых), но требуют настройки правила для исходящих соединений, чем мы и займемся.

Для того, чтобы это сделать, собственно, Перейдите на вкладку “Правила для исходящего подключения“, где Вы увидите существующие (все) и активные (зеленая галочка), правила, которые есть в системе.

Чаще всего здесь стоит оставить всё как есть изначально, либо (если Вы параноидальны) удалить все правила, кроме отмеченных зелёной галочкой, т.е включенных самой системой (и приложениями) в данный момент.

В правой колонке вы найдите кнопку “Создать правило“, которая так же доступна при клике правой кнопкой мышки на пункте “Правила для исходящего подключения“.

С помощью этой самой кнопки необходимо создать правила для всех приложений, которые, по Вашему мнению, должны иметь доступ в интернет.

Создание правил работы брандмауэра

Например, давайте сделаем правило для браузера, чтобы он таки заработал:

Для этого создаем правило, тип которого выбираем как: “Для программы“, после чего, используя кнопку “Обзор“, указываем путь до exe-файла программы, которой мы хотим дать доступ для исходящего трафика (при учете, что Вы создаете правило в разделе исходящих).

На следующей вкладке выбираем пункт “Действие” как “Разрешить подключение” (здесь разумнее было бы настроить безопасные подключения, но это не совсем тема данной статьи).

Профилирование

На вкладке “Профиль” выбираем разрешения для всех профилей, т.е ставим все галочки:

И на вкладке “Имя” мы задаём имя для своего профиля (по аналогии с сортировкой папок, я бы рекомендовал начинать имя с одной и той же буквы, а лучше с одного и того же символа, что позволит быстро находить свои правила в списке):

Теперь, когда Вы сделали правило (и если Вы его сделали правильно) браузер должен успешно соединятся с интернетом.

По тому же принципу Вы добавляете правила, как я уже говорил, для всех приложений, которым, по Вашему мнению, нужен доступ в интернет.

Небольшая хитрость, – для понимания того, где лежит exe-файл программы на самом деле, нажмите правой кнопкой мышки по ярлыку и выберите пункт “Свойства“, где в строке “Объект” будет указан полный путь до рабочего файла, а на строке “Рабочая папка“, собственно, указана рабочая папка с программой.

Далее, следует помнить, что для разных разрядностей есть разные версии программы, т.е порой необходимо разрешать доступ и x86 (x32) и x64-версии программы, в зависимости от того, какую Вы используете в системе (или если используете их обе).

Для “сложносоставных” программ требуется много разрешений, например для Steam'а нужно где-то 6-8 правил для полностью рабочего функционала (т.к у них одно приложение отвечает за браузерную часть, второе за запуск клиента, третье за трансляции, четвертое за магазин, пятое за что-либо еще):

  • Steam\Steam.exe;
  • Steam\bin\steamservice.exe;
  • Steam\bin\x86launcher.exe;
  • Steam\bin\x64launcher.exe;
  • Steam\bin\steam_monitor.exe;
  • Steam\bin\GameOverlayUI.exe;
  • И тд.

Такое встречается у достаточно большого количества программ, т.е, если Вы вроде бы дали доступ одному, основному exe-файлу, но оно (приложение) всё еще ругается на отсутствие интернета, то стоит поискать другие файлы exe в папке с программой и задать разрешения для них до тех пор, пока весь нужный функционал не заработает должным образом.

Исключения, работа с проблемами, изоляция

Опять же, если после всех настроек работа нормализовалась, но не полностью (например, торренты скачивают, но не раздают), то возможно есть смысл настроить разрешение для входящих соединений брандмауэра для конкретно этой программы (настраивается аналогично, просто на соседней вкладке, а именно на вкладке “Правила для входящих подключений“).

Потратив некое количество времени Вы будете сидеть в изолированной среде и ничего лишнего не будет стучаться к Вам извне или наоборот выгружать Ваши данные на сторону.

Однако, наверняка, имея несколько компьютеров схожей конфигурации, Вам будет крайне лениво настраивать все правила по новой, поэтому здесь предусмотрена, во-первых, выгрузка глобальной политики (правая кнопка мышки по пункту “Брандмауэр Windows в режиме повышенной безопасности – Экспорт политики“).

А, во-вторых, предусмотрена выгрузка списков правил (входящих и исходящих отдельно) в виде txt, что делается в меню справа, где Вы создавали, собственно, правила:

Это позволит быстрее восстанавливать уже настроенные правила, переносить пути, настройки и другие нюансы, локально или между машинами:

В общем и целом, это тот необходимый минимальный базис, который стоит знать и понимать.

К слову, Вы всегда можете включить-или выключить брандмауэр Windows, используя соответствующий пункт “Включение и отключение брандмауэра Windows“, если что-то пойдет (или настроили) не так, или сбросить все настройки, тыркнувшись в пункт “Восстановить значения по умолчанию“:

Так что, в общем-то, поводов для беспокойства при кривых руках нет и сломать что-то крайне сложно. Конечно, в этом всём есть как свои плюсы, так и свои минусы.

Основным из минусов можно считать невозможность быстро создавать новые правила, т.е, в большинстве случаев, при установке нового приложения, требуется открывать брандмауэр, лезть в настройки, потом создавать новое правило и так по кругу.

Это же является и плюсом, – без Вас ничего лишнего (в общем-то даже вирус), толком не сможет чихнуть в системе (при учете, что Вы настраиваете правила именно для приложений, а не портов-адресов и тп).

В двух словах как-то так. Больше бывает в обучалке, но в рамках статьи сейчас, думаю, и этого многим должно хватить с лихвой.

Послесловие

Если конечно Вам лень с этим возится руками, то ничто не мешает поставить сторонний фаерволл, который позволяет ставить правила, что называется “на лету”. Есть даже легкие решения-интеграторы, вроде Windows 10 Firewall Control о котором мы уже писали ранее.

В общем, каждому своё, наше дело рассказать про брандмауэр Windows, а уж использовать его или нет, – дело Ваше.

Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой статье (может подскажу какие-то нюансы с особо заковыристыми правилами и всем таким).

Оставайтесь с нами 😉

Источник: https://sonikelf.ru/kak-nastroit-brandmauer-windows/

Windows Firewall: усиливаем защиту

Учимся настраивать Firewall в панели управления

06.10.2004 Рэнди Франклин Смит

Когда дело касается безопасности компьютерных систем, большинство организаций сосредоточивает свои усилия на серверах. Но многие из недавно объявившихся «червей», разрушивших целые сети и стоивших компаниям миллионы долларов, нанесли этот огромный ущерб, проникнув в сеть через беззащитные рабочие станции.

Злоумышленники — будь то посторонние лица или недовольные сотрудники компании, умеющие контролировать рабочую станцию и имитировать легитимного пользователя системы, могут получать доступ к конфиденциальной информации и ресурсам на локальной системе и в локальной сети. Прошли те времена, когда локальную сеть можно было расценивать как безопасное убежище.

Теперь от атак «червей» и действий злоумышленников нужно защищать все открытые порты на рабочих станциях.

Очевидно, разработчики Microsoft отдают себе в этом отчет. Именно поэтому в рамках инициативы Trustworthy Computing компания сделала вопрос безопасности ключевым при разработке пакета обновлений Windows XP Service Pack 2 (SP2) — самого крупного ориентированного на безопасность пакета обновлений со времени выпуска Windows NT 4.0 SP3.

В сообществе пользователей тот пакет обновлений окрестили Security Pack 3 («Пакет безопасности 3»), и XP SP2 (выпуск которого был запланирован на конец этого лета) заслуживает такого же звания. SP2 до отказа набит новыми функциями безопасности для борьбы с «червями» и вредоносными программами, которые могут поражать сети через незащищенные рабочие станции.

Самой важной частью SP2 является Windows Firewall — заметно усовершенствованная версия Internet Connection Firewall (ICF).

Изменение названия функции отражает тот факт, что Microsoft делает упор на использовании технологии локального брандмауэра для защиты рабочих станций, которые подключены только к внутренней локальной сети, в той же мере, что и для защиты рабочих станций, имеющих подключение к Internet.

Лучшим способом воспользоваться преимуществами нового защитного экрана SP2 была бы установка SP2 на выделенном тестовом сервере; о том, как это сделать, будет рассказано ниже. После ознакомления с брандмауэром можно установить SP2 и выполнить централизованную конфигурацию Windows Firewall на всех рабочих станциях в сети (я расскажу об этом в одной из следующих статей).

Первое знакомство

Для того чтобы начать осваивать Windows Firewall, я предлагаю вручную установить SP2 на тестовую систему XP. После установки SP2 Windows Firewall активируется автоматически. Брандмауэр вмещает два конфигурационных профиля — доменный и стандартный — для систем, являющихся членами домена.

Windows Firewall задействует доменный профиль, когда рабочая станция подключена к внутренней локальной сети; в противном случае применяется стандартный профиль. Для конфигурирования этой двойственной возможности необходимо использовать Group Policy.

Однако в данном случае мы будем предполагать, что тестовая система не является членом домена. Поэтому мы задействуем только один профиль, который будет использоваться как при подключении компьютера к внутренней сети, так и при подключении к Internet.

Мы рассмотрим реальный механизм развертывания Windows Firewall на примере пошаговой ручной настройки брандмауэра через панель управления на выделенном тестовом сервере.

Экран 1. Добавление исключений

Начали!

Открываем приложение Windows Firewall в Control Panel. Сейчас, когда я пишу эту статью, диалоговое окно в версии XP SP2 все еще носит оригинальное название брандмауэра — Internet Connection Firewall. В окончательной версии SP2 диалоговые окна, возможно, будут выглядеть иначе, чем в приведенных в статье экранах.

Во врезке «Пока готовился Windows Firewall» обсуждаются и другие, уже реализованные изменения. На вкладке General показан переключатель для двух режимов функционирования, On и Off. Установление режима Off для Windows Firewall означает отключение функции, и рабочая станция (и сеть) остается полностью открытой для атак.

Выбор режима On активирует Windows Firewall. Windows Firewall является брандмауэром, анализирующим трафик, т. е. он отслеживает состояние всех TCP- и UDP-взаимодействий и может выявлять входящие пакеты, которые не являются частью регламентированного взаимодействия, инициированного рабочей станцией.

Тем не менее в некоторых ситуациях может потребоваться разрешить запросы входящих подключений. Например, если рабочая станция подключена к LAN, возможно, администратор предпочтет разрешить соединения через порт 3389, который используется и службой Remote Assistance, и службой Remote Desktop.

Если активируется Windows Firewall, он отключает все входящие подключения, кроме тех, что определены на вкладке Exceptions.

Для установления временной блокировки — когда, например, новый «червь» набирает обороты в сети, а поставщик антивирусов еще не выпустил обновление сигнатуры или когда не удается вовремя добраться до необходимого исправления, можно переключить рабочую станцию в режим Shielded на то время, пока на всех компьютерах не будут установлены исправления или пока не будет обновлен антивирусный продукт. Такая широкомасштабная конфигурация выполняется с использованием Group Policy. Следует иметь в виду, что во время блокировки этого типа службы, которые должны принимать входящие подключения (например, Windows Messenger), работать не будут. Подробнее о режиме Shielded можно узнать из врезки «Пока готовился Windows Firewall».

Исключение из правил

Исключения (Exceptions) определяют, как Windows Firewall обрабатывает нежелательные входящие пакеты.

Для того чтобы выполнить конфигурацию глобальных исключений, применяемых ко всем сетевым подключениям, в том числе к коммутируемым, LAN, VPN и WAN, нужно перейти на вкладку Exceptions приложения Windows Firewall, показанную на экране 1. Позже я покажу, как настраивать исключения, которые применяются к отдельным сетевым подключениям.

Экран 2. Настройка исключений для порта

Заметим, что Windows Firewall не накладывает никаких ограничений на исходящие пакеты. В идеале брандмауэр рабочей станции, такой как Windows Firewall, должен также контролировать исходящие пакеты.

Без такого контроля невозможно будет оградить другие компьютеры сети от атак, исходящих от рабочих станций злоумышленников и программистов.

Хотя на самом деле контроль исходящего трафика осуществлять намного сложнее, чем контроль входящего трафика, поскольку отличить исходящее подключение злоумышленника довольно трудно.

Windows Firewall выпускается со стандартной конфигурацией, в которой несколько компонентов Programs and Services определены как исключения, при этом можно добавлять другие. Каждое исключение определяется на основе конкретного TCP- или UDP-порта или по имени исполняемого файла.

Классический метод задания регламента поведения защитного экрана состоит в использовании номеров портов, но утилиты несанкционированного управления и троянские программы доказали, что номера портов не являются надежным способом оценки входящих пакетов.

Успешно установившаяся на компьютере утилита несанкционированного управления открывает порт и ждет подключения хакера.

Некоторые из этих утилит открывают порты, используемые легитимными программами; другие несанкционированные утилиты управления располагаются между легитимной программой и ее портом, исследуют входящий трафик и перехватывают входящие запросы к утилите (эти запросы выдаются за запросы к легитимной программе).

Для отражения действий несанкционированных утилит управления обоих типов Windows Firewall также позволяет ограничивать круг программ, которым разрешено открывать порты. Рассмотрим два предустановленных исключения Windows Firewall, которые иллюстрируют подходы к ограничению на основе портов и на основе программ.

Подключения — в порядке

Если на компьютере имеется несколько сетевых соединений (включая коммутируемые соединения и VPN), возможно, потребуется включать, отключать или настраивать Windows Firewall для каждого соединения по-разному. Эту задачу можно выполнить на вкладке Network Connections приложения Windows Firewall, как показано на экране 4.

Чтобы включить или отключить Windows Firewall для какого-либо соединения, нужно установить или убрать флажок этого соединения на вкладке Network Connections. Чтобы выполнить дополнительные настройки некоторого соединения, необходимо установить флажок, соответствующий этому соединению, и нажать кнопку Settings, открывающую диалоговое окно Advanced Settings.

Вкладка Services, показанная на экране 5, позволяет открыть определенные службы для Internet-трафика в процессе использования функции Internet Connection Sharing (ICS).

Подобным же образом вкладка ICMP диалогового окна Advanced Settings, показанная на экране 6, позволяет определить, как Windows Firewall будет отвечать на сообщения Internet Control Message Protocol (ICMP) (например, на запросы о доступности), которые принимаются на определенном сетевом соединении.

Вкладка ICMP-приложения, показанная на экране 7, предназначена для глобальных настроек, определяющих, как Windows Firewall будет отвечать на получаемые системой сообщения ICMP, такие как запрос о доступности. Каждый тип запросов ICMP можно включать и отключать по своему усмотрению.

Экран 3. Настройка исключений для программы

Порты.

Для того чтобы увидеть текущую конфигурацию на основе портов, следует установить флажок Remote Assistance and Remote Desktop в разделе Programs and Services на вкладке Exceptions и открыть диалоговое окно Exceptions.

На экране 2 показано, что это предустановленное исключение выделяет TCP порт 3389, используемый протоколом Remote Desktop Protocol (RDP), через который осуществляется взаимодействие служб Remote Assistance и Remote Desktop.

В нижней части диалогового окна Exceptions расположены два варианта для диапазона Scope: можно открыть указанный порт для всех адресов (All IP addresses) (т. е. для всех систем в локальной сети и всего Internet) или открыть порт только для локальной подсети (Local Subnet Only).

Вариант Local Subnet Only предназначен для небольших и средних компаний, имеющих только одну подсеть, и для организаций, в которых пользователи и программы, имеющие доступ к данной рабочей станции, заведомо находятся в той же подсети, что и рабочая станция.

Для компаний, в которых имеется более одной подсети, варианты выбора диапазона Scope почти бесполезны.

Если используются программы управления системами, такие как Microsoft Systems Management Server (SMS), или администраторам нужен сетевой доступ к рабочим станциям в нескольких подсетях, у вас нет другого выбора, кроме как установить значение All IP addresses.

Альтернативой использованию Scope является применение встроенной в XP поддержки IP Security (IPSec). С помощью политик IPSec можно задать правила Allow и Deny для нескольких IP-подсетей, чтобы компьютеры за пределами диапазонов адресов подсетей не имели возможности подключаться к портам, которые приходится оставлять открытыми, настраивая Windows Firewall. Для упрощения применения политик IPSec можно задействовать тот объект групповой политики (GPO), который использовался при работе с Windows Firewall.

Экран 4. Закладка Network Connections.

Программы. Теперь посмотрим на исключения на основе программ. Следует щелкнуть Cancel в диалоговом окне Exceptions, чтобы закрыть окно, затем установить флажок Windows Messenger, чтобы открыть новое диалоговое окно Exceptions.

Как показано на экране 3, это исключение привязывается к определенному программному файлу (%ProgramFiles%Messengermsmsgs.exe), а не к номеру порта.

Некоторые программы, например Windows Messenger, не используют заранее заданных номеров портов.

Windows Firewall выпускается с несколькими предустановленными исключениями, но только три из них — Files and Settings Transfer Wizard (%windir%system32usmtmigwiz.exe), NetMeeting (%ProgramFiles%NetMeetingconf.exe) и Windows Messenger (%ProgramFiles%Messengermsmsgs.

exe) — включены по умолчанию. Чтобы активировать другие предустановленные исключения, следует установить соответствующие флажки на вкладке Exceptions.

Для задания исключения по другой программе или порту нужно щелкнуть Add, затем ввести подходящую информацию о программе или порте.

Экран 5. Открытие службы для сетевого соединения

Возникает вопрос: как исключения, сделанные для портов на основе сетевых подключений, соотносятся с исключениями глобального типа, которые были сделаны, когда создавались исключения на основе портов? Лучше всего показать это на примере.

Предположим, у нас есть два сетевых адаптера, NIC1 и NIC2. Нам нужно открыть порт 3389 на обоих адаптерах и порт 80 — на адаптере NIC1, но не на адаптере NIC2.

В этом случае можно задать исключение, открывающее порт 3389, затем в диалоговом окне Network Connections Advanced Settings добавить настройку, открывающую порт 80 на адаптере NIC1.

Источник: https://www.osp.ru/winitpro/2004/06/177167/

Как защитить свой компьютер от вредоностного по при помощи встроенной защиты windows

Учимся настраивать Firewall в панели управления

Добрый день уважаемые читатели, с вами Тришкин Денис.
Более десяти лет назад корпорация Microsoft представила общественности Windows XP SP 2. В этой операционной системе любопытные пользователи сразу заметили новое приложение для защиты компьютера от вредоносного ПО. Одним из людей был и я.

Сегодня мне хочется рассказать вам, что такое брандмауэр Windows, какие его основные функции и всю связанную с ним информацию. Ведь наверняка это интересно не только мне.

Что это?( )

Многие пользователи хотят знать, что такое брандмауэр в Windows, также называется Firewall (фаерволл).

Это программа, которая постоянно проверяет всю информацию во время подключения к сети, в том числе Интернету. Кроме того, приложение ведет мониторинг соединений, запрашивающих доступ к рабочей машине. Он может пропускать или блокировать их.

Если говорить проще, программа брандмауэр – стена между компьютером и сетью, в том числе глобальной. Если она не используется – на компьютер и обратно в виртуальное пространство может поступать любая информация. При ее подключении трафик фильтруется согласно установленным правилам.

Сразу нужно уточнить, что заблокировать рекламу программа не может.

Если компьютер не имеет защиты, к личной информации могут получить доступ злоумышленники. Это происходит посредством вредоносного программного кода (известного как вирус), способного не только вывести систему из строя, но и полностью уничтожить файлы. Служба создана специально для блокирования подобных действий.

Обратите внимание, что защиту нужно использовать всегда, независимо от типа соединения с «мировой паутиной» (модем, кабель, спутник).

В каждой сети есть определенный порт, позволяющий той или иной информации попасть в компьютер или обратно в виртуальное пространство. Наличие таких каналов напрямую зависит от типа получаемого или отправляемого трафика.

Если с компьютера не поступал запрос на передачу каких-либо данных, брандмауэр блокирует порт до того, как он доберется до рабочей станции. Иногда установка некоторого ПО, включая онлайн-игры, может открыть доступ к некоторым шлюзам, что снизит уровень безопасности.

Как узнать о наличии брандмауэра?( )

Встроенная стандартная программа защиты есть во всех версиях Windows, начиная с XP SP 2. Для проверки наличия необходимо зайти в «Панель управления», а потом выбрать Firewall или Security Center. В новых ОС от Microsoft пункт «Брандмауэр» вынесен отдельно.

Как проверить работоспособность на разных версиях Windows?( )

Windows XP SP2

Защиту системы можно включить, как и многие другие программы этой оболочки. Нужно сделать следующее:

  1. 1Зайти в «Панель управления».

  2. 2Выбрать «Сеть и подключения к Интернету». В случае если этого пункта нет, необходимо в левой части окна предварительно переключиться к виду по категориям.

  3. 3Выбираем иконку подключения, которое необходимо защитить. Нажимаем «Изменение настроек подключения».

  4. 4В разделе «Брандмауэр подключения» на вкладке «Дополнительно» должна быть установлена галочка напротив графы «Защитить».

Windows 7-10

Для проверки работы фаервола на новых ОС от Microsoft нужно:

  1. 1В «Панели управления» зайти на соответствующую пиктограмму.

  2. 2Если в новом окошке показан зеленый щит напротив подключения – программа работает.

Настройка приложения( )

  1. Для настройки необходимо нажать «Дополнительные параметры». На странице откроется список правил для всех подключений.

    Когда на компьютере запускается новое ПО, система предлагает добавить его к тому, которое разрешено (конечно же если защита активна). Для правильной работы нужно «дать зеленый свет» каждой программе.

    Теперь все будет подключаться к Интернету только с разрешения. Кроме того, ни один «червь» или «шпион» не сможет пробраться на ваш компьютер.

  2. Если вас интересует, как отключить то или иное правило, нужно просто на соответствующем кликнуть два раза мышкой.

Кроме новых программ в список обязательно входят все стандартные приложения и дополнения – установленные вместе с ОС.

Иногда появляется необходимость добавить в исключения уже имеющееся обеспечение.

Для этого нужно выбрать «Изменить параметры», «Разрешить другую программу» и нажать на подходящей. Если в перечне нет – поможет кнопка «Обзор».

Что делать если нет встроенной защиты?( )

Некоторые версии операционных систем не имеют встроенного Firewall. Чтобы защитить рабочую машину от вредоносного ПО, нужно обязательно установить его. Для этого используются программные или аппаратные брандмауэры.

Аппаратные

К ним относятся многие беспроводные точки доступа и маршрутизаторы, обеспечивающие нужный уровень безопасности домашним сетям. Использовать этот вид можно и в рабочих целях. Единственное, что меняется – масштабы оборудования, позволяющего обслуживать большее количество пользователей.

Программные

Этот вид защиты прекрасно подходит для личных компьютеров. По большей части он разрабатывается другими производителями.

В основном к ним относятся так называемые антивирусы, которые кроме защиты файлов, предлагают и безопасность трафика. Нередко предоставляется и множество других дополнительных функций.

Самыми известными из них можно смело назвать Kaspersky и NOD. Это платные программы, которые считаются действенней остальных.

К сожалению, они также потребляют много ресурсов компьютера, заставляя работать остальное ПО медленнее. Но если выбирать, нужны ли они или нет, смело можно заявить – да. Учитывая просто невероятное количество различных вирусов, занести «заразу» без этих программ можно многими способами.

Нужно ли устанавливать дополнительные программы?( )

Сам по себе Firewall не может на все 100% защитить систему. Вместе с тем софт выполняет ключевые функции. Поэтому в первую очередь устанавливается он (или просто включается), а потом предпринимаются дополнительные меры. Они могут состоять из обновления системы или установки антивируса.

Использование брандмауэра в пределах одной сети( )

Все чаще сегодня пользователи компьютера подключаются не только к Интернету, но и к сетям, состоящим из нескольких устройств. И не ясно, нужно ли включать брандмауэр на одном аппарате или сразу на всех.

Специалисты, разрабатывающие это ПО, рассказали, что программу нужно задействовать не только на всех машинах сети, но и проверять, чтобы она охватывала каждое подключение.

Рекомендации по использованию( )

Главное – фаервол всегда должен работать, если не используется стороння программа. Это позволит обезопасить свой компьютер. При этом в 95% случаях спасет сборка со стандартными параметрами. Если присутствует программа стороннего разработчика, скорее всего обычный брандмауэр автоматически отключится. Это предусмотрено, чтобы не возникало конфликтов внутри системы.

Дополнительные возможности( )

Если на первый взгляд кажется, что встроенное ПО имеет скромные возможности – не стоит сразу расстраиваться. Присутствует и расширенный вариант.

Для его активации необходимо выбрать «Дополнительные параметры», что откроет пользователю режим повышенной безопасности.

Он позволяет выставлять необходимые свойства на локальном компьютере, удаленном, а также управлять групповой политикой.

Каждый отдельный профиль имеет некоторые наборы правил, что ускоряет настройку системы. Конечно же, их можно поменять и даже добавить собственные для всех соединений, как входящих, так и исходящих. Поможет специальный мастер, действие которого разделено на несколько этапов.
По сравнению с первыми версиями Firewall, новые наделены массой дополнений.

Например, фильтр трафика проводится на основе сразу нескольких факторов:

  • исходных и целевых IP-адресов
  • типов сетевых интерфейсов
  • портов и других

Проблемы с запуском( )

Иногда может возникнуть ситуация, когда не работает брандмауэр.

Чаще всего возникает ошибка 0×80070422.

Не стоит сразу волноваться, что вирус уничтожил программу. Все просто – этот код означает отключение автоматического запуска.

Источник: https://windwix.ru/chto-takoe-brandmauer-windows/

Использование утилиты UFW на Linux

Учимся настраивать Firewall в панели управления

В инструкции описаны основы работы с утилитой ufw на виртуальных серверах под управлением Linux.

Что это такое?

UFW (Uncomplicated Firewall) – является самым простым и довольно популярным в инструментарием командной строки для настройки и управления брандмауэром в дистрибутивах Ubuntu и Debian. Правильно функционирующий брандмауэр является наиболее важной частью полной безопасности системы Linux. UFW позволяет сделать базовые настройки, для более сложных настроек используйте iptables.

Первоначальные требования

Для того чтобы выполнить настройку firewall с помощью ufw необходимо подключиться к серверу с правами суперпользователя, о том как разрешить команду sudo для пользователей читайте в нашей инструкции.

На наших VPS по умолчанию включен iptables, крайне не рекомендуется использовать одновременно два инструмента для настройки firewall во избежание конфликта правил. В случае, если у вас одновременно работает и iptables, и ufw, то будет применено последнее созданное правило.

Установка и проверка статуса

По умолчанию, на наших виртуальных серверах ufw уже установлена, если по каким-то причинам требуется установка, то сделать это можно с помощью вашего пакетного менеджера:

sudo apt install ufw

Проверить текущий статус и вывести все текущие правила можно с помощью следующей команды:

sudo ufw status verbose

Например, в выключенном состоянии вы увидите следующее сообщение:

Status: inactive

Включить firewall можно с помощью следующей команды:

sudo ufw enable

В диалоговом окне необходимо ответить на вопрос, при использовании нашей инфраструктуры соединение не пропадет, если вы ранее не отключили iptables:

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y

Firewall is active and enabled on system startup

Примечание: если при настройке Firewall у вас все-таки пропало соединение сервером, то подключитесь к нему через web-консоль в панели управления.

В результате ufw будет активен:

Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip

Если Вам потребуется отключить утилиту, то используйте команду:

sudo ufw disable

Политики по умолчанию

По умолчанию брандмауэр UFW отклоняет все входящие соединения и разрешает только исходящие подключения к серверу. Это означает, что никто не может получить доступ к вашему серверу, если только вы специально не открываете порт, а все запущенные службы или приложения на вашем сервере могут иметь доступ к внешней сети.

Политики безопасности по умолчанию находятся в файле /etc/default/ufw и могут быть изменены с помощью следующей команды:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Первое правило запрещает все входящие подключения, второе разрешает исходящие.

Профили приложений

При установке программного пакета ufw с использованием диспетчера пакетов он будет включать в себя профили приложений, находящиеся в каталоге /etc/ufw/applications.d, который определяет приложение или службу и соответствующие им настройки безопасности, например открытые или закрытые порты.

Все профили создаются вручную. Посмотреть созданные профили можно следующим образом:

sudo ufw app list

На только, что созданном виртуальном сервере вы скорее всего увидите только профиль для OpenSSH:

Available applications: OpenSSH

Для просмотра детальной информации можно использовать следующую команду:

sudo ufw app info ''

Например:

sudo ufw app info 'OpenSSH'

Результат:

Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp

Для создания профиля приложения перейдите в директорию:

cd /etc/ufw/applications.d

Создайте текстовый файл с любым названием и вставьте в него строки следующего формата:

[] title= description=

ports=/

Например:

[App1] title=Text editor description=Most popular open source application for editing text.

ports=53,80,5223,16393:16472/udp

Для того, чтобы файл был виден брандмауэру, перезагрузите его:

ufw reload

Далее разрешите или запретите доступ профилю:

ufw

Например:

ufw allow App1

Работа с портами

Для открытия портов используется ключевое слово allow.

С помощью следующей команды можно открыть порт для входящих подключений:

sudo ufw allow /

Например:

sudo ufw allow 1234/tcp

Также можно открывать порты по именам конкретных сервисов, например:

sudo ufw allow http

Примечание: если сервер использует порт не по умолчанию, то данное правило использовать нельзя.

ufw позволяет открывать или закрывать промежуток портов:

sudo ufw allow :/

Например:

sudo ufw allow 5000:5003/udp

Для закрытия портов используйте ключевое слово deny. Синтаксис ufw остается прежним, только allow заменяется на deny. Например, чтобы закрыть порт используется следующая команда:

sudo ufw deny /

Например:

sudo ufw deny 1234/tcp

Работа с IP-адресами

Чтобы разрешить соединение ко всем портам сервера с конкретного IP-адреса, используйте следующую команду:

sudo ufw allow from

К примеру:

sudo ufw allow from 111.111.111.111

Также можно разрешить подключаться к конкретному порту с определенного IP-адреса:

sudo ufw allow from to any port

Пример:

sudo ufw allow from 111.111.111.111 to any port 22

Для запрета подключения используйте ключевое слово deny:

sudo ufw deny from

Пример:

sudo ufw deny from 111.111.111.111

Работа с подсетью

С помощью утилиты ufw можно разрешить получение трафика со всей подсети с помощью нотации CIDR:

sudo ufw allow from

Например:

sudo ufw allow from 192.168.1.0/24

Также можно направить трафик с подсети на конкретный порт:

sudo ufw allow from to any port

Например:

sudo ufw allow from 192.168.1.0/24 to any port 22

Примечание: для запрета данных правил используйте ключевое слово deny.

Работа с сетевым интерфейсом

С помощью ufw можно настроить подключение к конкретному порту определенного интерфейса:

sudo ufw allow in on to any port

Например:

sudo ufw allow in on eth2 to any port 22

Примечание: имена всех интерфейсов сервера можно просмотреть с помощью команды ifconfig -a.

Удаление правил

Для удаления правил выведете нумерованный список текущих правил:

sudo ufw status numbered

Удалите правила под нужным номером:

sudo ufw delete

Пример:

sudo ufw delete 1

Также можно удалить правило с помощью ключевого слова delete, например:

sudo ufw delete allow 443

Источник: https://1cloud.ru/help/security/ispolzovanie-utility-ufw-na-inux

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.