Брандмауэр как найти правило

Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Как Вы поняли из заголовка, сегодня поговорим про брандмауэр Windows.

Мы многое писали о безопасности, как антивирусной или парольной, так и, что называется, сетевой, т.е про фаерволлы и всё, что с ними связано (даже упоминали старенькую ловушку APS, которая, в общем-то еще более-менее жива для определенных раскладов).

Тем не менее, многие забывают о том, что в самой Windows существует собственный брандмауэр (он же фаерволл), которым можно вполне успешно пользоваться, если настроить его должным образом, а не оставлять работать по принципу «как есть». Т.е вполне можно обойтись и им, без установки стороннего софта, что, в общем-то разумно (особенно, если у Вас лицензия).

Нас частенько просят рассказать хотя бы основы этой настройки.
Что ж, давайте кратенько пройдемся по этой теме.

Поехали.

Брандмауэр Windows — вводная

Прежде чем приступить, собственно, обязательно стоит понять следующее:

• Описанная ниже методология требует вдумчивой настройки (и отталкивается от идеи о том, что разумный пользователь хочет самостоятельно контролировать все входящие+исходящие соединения с интернетом и сетью) и некоторого количества времени, т.е, если Вы ленивы, у Вас установлено очень много программ (да и вообще Вы их ставите без разбору), каждой из которых нужен доступ в интернет, то, вероятно, эта статья Вам не подходит (как и тема защиты с помощью брандмауэра вообще);
• Тем не менее, статья рекомендуется для прочтения каждому, чтобы понимать как работает этот самый брандмауэр Windows (а он включен по умолчанию и работает практически у каждого) и как его, в случае чего, настроить, приструнить, им управлять и просто диагностировать возможные проблемы с доступом в интернет какой-либо программой.

Давайте, что называется, приступимс.

к содержанию ↑

Первичный запуск и настройка

Здесь и далее я буду исходить из мысли, что мы находимся в Windows 10, но в общем и целом статья актуальна для Windows 7/8/8.1 и при некоторой сноровке её можно притулить в XP.

Для начала зайдите в панель управления и откройте управления этим самым брандмауэром, т.е нажмите правой кнопкой мышки на меню «Пуск«.

Затем выберите пункт «Панель управления«, в которой переключитесь на маленькие значки (справа вверху) и выберите из списка «Мелкие значки«, после чего тыркнитесь в «Брандмауэр Windows«:

На выходе мы получим, собственно, окно этого самого брандмауэра, в котором необходимо сразу перейти к дополнительным настройкам, радостно тыркнув мышкой в соответствующий пункт (Дополнительные параметры):

к содержанию ↑

Брандмауэр Windows и настройка профилей

Внутри Вы увидите 3 набора профилей (Общий профиль, Профиль домена и Частный профиль), а так же параметры IPSec.

Здесь для каждого (т.е три раза) из профилей нам нужно включить брандмауэр Windows (первый выпадающий список), включить блокировку всех входящих подключений (второй выпадающий список) и блокировать исходящие подключения (третий список).

На выходе, на каждой из вкладок профиля Вы должны видеть то, что видите на скриншоте выше.

Внимание! После применения, скорее всего, Вы сразу потеряете соединения с интернетом для всех программ (в том числе браузера), которые не были в исключениях. Не закрывайте статью или разблокируйте исходящие подключения на время настройки разрешений (ниже по тексту).

Результатом должно являться нечто следующее (см.описание профилей в колонке «Обзор«), скриншот кликабелен:

В данный момент у нас запрещены все входящие подключения и все исходящие, кроме тех правил, что заданы изначально приложениями или самой системой.

к содержанию ↑

Правила для исходящих соединений

В большинстве случаев для входящих соединений ничего настраивать не нужно и их стоит держать заблокированными (за исключением всяких таких торрентов и установленных локально FTP—Web и прочих серверов, в том числе игровых), но требуют настройки правила для исходящих соединений, чем мы и займемся.

Для того, чтобы это сделать, собственно, Перейдите на вкладку «Правила для исходящего подключения«, где Вы увидите существующие (все) и активные (зеленая галочка), правила, которые есть в системе.

Чаще всего здесь стоит оставить всё как есть изначально, либо (если Вы параноидальны) удалить все правила, кроме отмеченных зелёной галочкой, т.е включенных самой системой (и приложениями) в данный момент.

В правой колонке вы найдите кнопку «Создать правило«, которая так же доступна при клике правой кнопкой мышки на пункте «Правила для исходящего подключения«.

С помощью этой самой кнопки необходимо создать правила для всех приложений, которые, по Вашему мнению, должны иметь доступ в интернет.

к содержанию ↑

Создание правил работы брандмауэра

Например, давайте сделаем правило для браузера, чтобы он таки заработал:

Для этого создаем правило, тип которого выбираем как: «Для программы«, после чего, используя кнопку «Обзор«, указываем путь до exe-файла программы, которой мы хотим дать доступ для исходящего трафика (при учете, что Вы создаете правило в разделе исходящих).

На следующей вкладке выбираем пункт «Действие» как «Разрешить подключение» (здесь разумнее было бы настроить безопасные подключения, но это не совсем тема данной статьи).

к содержанию ↑

Профилирование

На вкладке «Профиль» выбираем разрешения для всех профилей, т.е ставим все галочки:

И на вкладке «Имя» мы задаём имя для своего профиля (по аналогии с сортировкой папок, я бы рекомендовал начинать имя с одной и той же буквы, а лучше с одного и того же символа, что позволит быстро находить свои правила в списке):

Теперь, когда Вы сделали правило (и если Вы его сделали правильно) браузер должен успешно соединятся с интернетом.

По тому же принципу Вы добавляете правила, как я уже говорил, для всех приложений, которым, по Вашему мнению, нужен доступ в интернет.

Небольшая хитрость, — для понимания того, где лежит exe-файл программы на самом деле, нажмите правой кнопкой мышки по ярлыку и выберите пункт «Свойства«, где в строке «Объект» будет указан полный путь до рабочего файла, а на строке «Рабочая папка«, собственно, указана рабочая папка с программой.

Далее, следует помнить, что для разных разрядностей есть разные версии программы, т.е порой необходимо разрешать доступ и x86 (x32) и x64-версии программы, в зависимости от того, какую Вы используете в системе (или если используете их обе).

Для «сложносоставных» программ требуется много разрешений, например для Steam‘а нужно где-то 6-8 правил для полностью рабочего функционала (т.к у них одно приложение отвечает за браузерную часть, второе за запуск клиента, третье за трансляции, четвертое за магазин, пятое за что-либо еще):

• SteamSteam.exe;
• Steambinsteamservice.exe;
• Steambinx86launcher.exe;
• Steambinx64launcher.exe;
• Steambinsteam_monitor.exe;
• SteambinGameOverlayUI.exe;
• И тд.

Такое встречается у достаточно большого количества программ, т.е, если Вы вроде бы дали доступ одному, основному exe-файлу, но оно (приложение) всё еще ругается на отсутствие интернета, то стоит поискать другие файлы exe в папке с программой и задать разрешения для них до тех пор, пока весь нужный функционал не заработает должным образом.

к содержанию ↑

Исключения, работа с проблемами, изоляция

Опять же, если после всех настроек работа нормализовалась, но не полностью (например, торренты скачивают, но не раздают), то возможно есть смысл настроить разрешение для входящих соединений брандмауэра для конкретно этой программы (настраивается аналогично, просто на соседней вкладке, а именно на вкладке «Правила для входящих подключений«).

Потратив некое количество времени Вы будете сидеть в изолированной среде и ничего лишнего не будет стучаться к Вам извне или наоборот выгружать Ваши данные на сторону.

к содержанию ↑

Экспорт и импорт готовых настроек

Однако, наверняка, имея несколько компьютеров схожей конфигурации, Вам будет крайне лениво настраивать все правила по новой, поэтому здесь предусмотрена, во-первых, выгрузка глобальной политики (правая кнопка мышки по пункту «Брандмауэр Windows в режиме повышенной безопасности — Экспорт политики«).

А, во-вторых, предусмотрена выгрузка списков правил (входящих и исходящих отдельно) в виде txt, что делается в меню справа, где Вы создавали, собственно, правила:

Это позволит быстрее восстанавливать уже настроенные правила, переносить пути, настройки и другие нюансы, локально или между машинами:

В общем и целом, это тот необходимый минимальный базис, который стоит знать и понимать.

К слову, Вы всегда можете включить-или выключить брандмауэр Windows, используя соответствующий пункт «Включение и отключение брандмауэра Windows«, если что-то пойдет (или настроили) не так, или сбросить все настройки, тыркнувшись в пункт «Восстановить значения по умолчанию«:

Так что, в общем-то, поводов для беспокойства при кривых руках нет и сломать что-то крайне сложно. Конечно, в этом всём есть как свои плюсы, так и свои минусы.

Основным из минусов можно считать невозможность быстро создавать новые правила, т.е, в большинстве случаев, при установке нового приложения, требуется открывать брандмауэр, лезть в настройки, потом создавать новое правило и так по кругу.

Это же является и плюсом, — без Вас ничего лишнего (в общем-то даже вирус), толком не сможет чихнуть в системе (при учете, что Вы настраиваете правила именно для приложений, а не портов-адресов и тп).

В двух словах как-то так. Больше бывает в обучалке, но в рамках статьи сейчас, думаю, и этого многим должно хватить с лихвой.

к содержанию ↑

Послесловие

Если конечно Вам лень с этим возится руками, то ничто не мешает поставить сторонний фаерволл, который позволяет ставить правила, что называется «на лету». Есть даже легкие решения-интеграторы, вроде Windows 10 Firewall Control о котором мы уже писали ранее.

В общем, каждому своё, наше дело рассказать про брандмауэр Windows, а уж использовать его или нет, — дело Ваше.

Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой статье (может подскажу какие-то нюансы с особо заковыристыми правилами и всем таким).

Оставайтесь с нами

Была ли эта статья полезной?

Вы можете блокировать программам доступ к сети Интернет, ограничивать трафик на определенные порты и IP-адреса, а также многое другое не устанавливая файрвол от стороннего производителя.

Брандмауэр включает в себя три различных профиля, с помощью которых вы можете настраивать различные правила для частных и общественных сетей.

Доступ к интерфейсу

Чтобы открыть окно настроек брандмауэра в Windows 8 из боковой панели выберите «Поиск» в его строке наберите слово «Брандмауэр» в категории «Параметры» слева нажмите «Брандмауэр Windows».

Это же окно можно открыть другим способом: примените комбинацию клавиш и в окне «Выполнить» наберите «firewall.cpl» и нажмиете «ок»

далее на боковой панели ссылку «Дополнительные параметры».

Настройка сетевых профилей

Брандмауэр Windows использует три различных профиля:
• Профиль домена: используется, когда компьютер подключен к домену.
• Частный профиль: Используется при подключении к частной сети, такие, как работа или домашняя сеть.
• Общий: Используется при подключении к сетям общего пользования, такие как публичный Wi-Fi, точки доступа или прямое подключение к Интернету.
Можно включить сразу несколько профилей, и пользоваться ими в зависимости от ситуации. Например, ноутбук подключаясь к домену на работе будет использовать профиль домена, в домашней сети- частный профиль, а при подключении к открытой Wi-Fi сети например в кафе — общий профиль.Нажмите ссылку «Свойства брандмауэра Windows» для настройки профилей.

Окно «Свойства брандмауэра» содержит отдельную вкладку для каждого профиля. ОС Windows блокирует входящие соединения и позволяет исходящие подключения для всех профилей по умолчанию. Но лучше также заблокировать исходящие подключения для всех профилей и создать правила, разрешающие определенные типы соединений.

Вкладка «Параметры» позволяет настроить например отображение уведомлений для пользователя в случаях когда программе запрещено принимать входящие подключения.

Во вкладке «Ведение журнала» указывается имя лога, его предельный размер в (киллобайтах) здесь же можно узнать путь по умолчанию для файлов журнала.

Создание правила

Чтобы создать правило, в левой части окна выберите тип подключений «входящие или исходящие» и нажмите на ссылку «Создать правило» справа.

Брандмауэр Windows предлагает четыре типа правил:
• Для программы — блокировать или разрешать подключения определенной программе.
• Для порта — Блокировать или разрешить порт, диапазон портов или протокол.
• Предопределенные — можно использовать заранее определенные правила включенные в брандмауэр Windows.
• Настраиваемые — указать комбинацию программ, портов и IP-адресов для блокировки или разрешения.

Пример разрешающего правила для программы

Если при настройке сетевых профилей как было описано выше, вы заблокировали все входящие и исходящие подключения, то ни одно приложение не сможет соединится с интернетом. Теперь вам нужно разрешить конкретной программе общение с интернетом. Создайте правило для исходящего подключения, для этого сначала выберите правило какого типа вы хотите создать – отметьте «Программа».

Далее в следующем экране нажмите кнопку «Обзор», чтобы выбрать исполняемый файл программы. Выберем для примера Internet Explorer – iexplore.exe

Указываем действие, которое должно выполняться — «Разрешить подключение».

В окне «Профиль» вы можете применить правило к конкретному профилю. Например, если вы только хотите, чтобы программа могла работать, когда вы подключены к общественным Wi-Fi и другим незащищенным сетям, оставьте флажок «Публичный». По умолчанию, Windows применяет правила ко всем профилям.

На странице «Имя» нужно назвать правило и ввести дополнительное описание. Это поможет вам находить правила позже.

Созданные правила вступают в силу немедленно и будут отображаться в списке, так что вы можете легко отключить или удалить их. Если вы два раза щелкните по выбранному правилу или выберите пункт «свойства» из контекстного меню, то откроется окно свойств этого правила и его можно будет редактировать. Возможно изменить порты, протоколы IP-адреса, профили к которым применяется правило. Добавить пользователей, удаленные компьютеры, указать интерфейсы адаптеров, к которым применимо данное правило.

Аналогично создаются блокирующие правила для программ. Для этого на этапе выбор действия нужно выбрать «Блокировать подключение»

Пример правила ограничение доступа

Предположим вы хотите, чтобы почтовый клиент только получал почту, но не мог отправлять. Я покажу вам как это делается на примере «The Bat». Сначала создадим для почтового клиента разрешающее правило, как было описано в предыдущем примере. Назовем это правило «Allow TheBat». Так как почтовый клиент у меня настроен для работы по протоколу POP3, то прием почты происходит по 110 TCP- порту, а отправка по 25 порту. Значит, чтобы выполнить поставленную перед нами задачу нужно заблокировать 25 порт. Создадим блокирующее правило для порта. Выберите пункт «Правила для исходящего подключения» — «Создать правило» Тип правила – для порта:

Указываем протокол – TCP. Выбираем «Определенные удаленные порты» и в поле напротив пишем 25.

Действие – блокировать подключение. Отмечаем нужные профили и даем название новому правилу «Block 25 Ports».

В списке правил для исходящих соединений мы теперь видим наши созданные правила, где зеленым значком помечены разрешающие,а красным блокирующие правила. Таким образом Internet Explorer имеет доступ в интернет, а почтовая программа TheBat без проблем принимает входящие письма, но не может их отправлять.

Windows 10 предлагает пользователям массу возможностей по работе с различными файлами и приложениями. И помимо прочего, в этой оболочке также предусматривается брандмауэр — специализированное приложение для эффективной защиты от разного рода сетевых атак. Утилита в режиме реального времени осуществляет проверку трафика и автоматически блокирует потенциально опасные источники. Брандмауэр не заменяет антивирусное программное обеспечение, однако вполне способен обеспечить дополнительную защиту.

При этом в ряде случаев встроенный в операционную систему брандмауэр работает не совсем корректно, блокируя достаточно безопасные программы и игры. Как следствие, пользователь сталкивается с целым рядом проблем. И чтобы гарантировать нормальную работу интересующих приложений, необходимо внести их в исключения брандмауэра одним из доступных способов.

Настройка через «Безопасность Windows»

Проще всего использовать отдельный интерфейс настроек под названием «Безопасность Windows».

Последовательность действий:

1. Через значок Microsoft Defender или общее меню «Параметры» открыть утилиту «Безопасность Windows».
2. Перейти в раздел под названием «Брандмауэр и безопасность сети».
3. Изучить список настроенных профилей сети и нажать на расположенную ниже кнопку «Разрешить работу с приложением через брандмауэр».
   

   Открыть интересующее меню можно также через Панель управления, перейдя в раздел «Брандмауэр Защитника Windows». Там будет ссылка «Разрешение взаимодействия с приложением или компонентом в брандмауэре защитника Windows».

4. Отыскать пункт «Изменить параметры» и выбрать его. Стоит учитывать, что для внесения соответствующих изменений обязательно потребуются права администратора.
5. Найти нужное приложение в появившемся списке и установить соответствующие отметки, разрешая доступ к сети.
6. Если в списке не удаётся найти необходимую программу, надо нажать на расположенную рядом кнопку «Разрешить другое приложение».
7. Теперь через «Обзор» необходимо указать путь к конкретному приложению, которое будет добавляться в исключения брандмауэра.
8. В разделе «Типы сетей» установить отметки напротив тех сетей, к которым приложение может беспрепятственно подключаться.
9. Щёлкнуть по кнопке «Добавить».

После применения внесённых изменений настройки будут сохранены. С этого момента используемая программа начнёт нормально получать доступ к сети и не станет блокироваться встроенными системами защиты.

Монитор брандмауэра в режиме повышенной безопасности

Также можно использовать для настройки доступа к сети монитор брандмауэра. Это встроенная служба, которую не составит труда отыскать в любой версии операционной системы Windows.

Процесс отладки не занимает много времени и сводится к выполнению простого алгоритма:

1. При помощи комбинации клавиш Win + R открыть окно «Выполнить» для ввода различных команд.
2. Ввести в окне команду wf.msc и нажать на клавишу Enter для активации процедуры.
3. Щёлкнуть по кнопке «Правила для входящих подключений».
4. В правой части открывшегося окна отыскать пункт «Создать правило» и кликнуть по нему мышкой.
5. Перейти в раздел «Для программы».
6. Выбрать «Обзор», после чего через Проводник указать путь к исполняющему файлу интересующего приложения.
7. Дать разрешение на подключение к сети.
8. Оставить все остальные отметки на своих местах.
9. На последнем этапе придумать название правила и его описание. Это серьёзно поможет в будущем при дальнейших настройках системы.

Как только правило будет сохранено в Мониторе брандмауэра, оно начнёт действовать. Таким образом, указанная программа сможет беспрепятственно подключаться к сети без каких-либо ограничений со стороны Защитника.

Через командную строку

В каждой сборке Windows есть многофункциональный инструмент под названием «Командная строка», через который при помощи определённых алгоритмов можно внести практически любые изменения.

В данном случае надо открыть командную строку от имени администратора, отыскав её в списке программ или через встроенный поиск. Также можно воспользоваться окном «Выполнить» (Win+R), введя в него команду cmd.

Как только командная строка будет открыта, надо ввести в неё специальные команды для разрешения доступа к сети определённой программы или открытия конкретного порта.

Разрешение входящих и исходящих подключений соответственно:

• netsh advfirewall firewall add rule name=»Имя_правила» dir=in action=allow program=»путь_к_программе» enable=yes
• netsh advfirewall firewall add rule name=»Имя_правила» dir=out action=allow program=»путь_к_программе» enable=yes

Обе представленные строки вводят правки, работающие сразу на всех сетевых профилях.

Открытие входящего и исходящего подключения к порту:

• netsh advfirewall firewall add rule name=»Имя_правила» dir=in action=allow protocol=TCP localport=номер_порта
• netsh advfirewall firewall add rule name=»Имя_правила» dir=out action=allow protocol=TCP localport=номер_порта

Таким образом, любой пользователь может легко решить проблему отказа в доступе к сети для любой программы. Проще всего воспользоваться стандартными настройками, однако командная строка позволяет внести более глубокие изменения в систему.

А пробовали ли вы самостоятельно вносить исключения в брандмауэр? Если да, то делитесь опытом в комментариях.