Параметры брандмауэра windows и настройки портов для клиентских компьютеров в configuration managerwindows firewall and port settings for clients in configuration manager

Firewall

Обработка подключений к роутеру IPv4

  • работаем с новыми соединениями для снижения нагрузки на маршрутизатор;
  • создаем список ip-адресов, которым разрешен доступ к маршрутизатору;
  • разрешаем ICMP запросы;
  • сбрасываем все остальные подключения.

Настройки firewall для клиентов роутера IPv4

  • Пакеты установленных и сопутствующих соединений добавляем в fasttrack для повышения пропускной способности;
  • сбрасываем все недействительные соединения и отмечаем их префиксом invalid;
  • сбрасываем все пакеты, которые направлены из локальной сети не на публичный IP-адрес, используем список dst-address-list=not_in_internet для входящего интерфейса bridge1, записываем в log с префиксом log-prefix=!public_from_LAN;
  • Сбрасываем взодящие пакеты на порт интернета ether1, которые не были обработаны NAT, записываем в журнали с префиксом !NAT;
  • сбрасываем входящие пакеты из интернета, у которых  нет публичного ip-адреса, пишем в логи спрефиксом !public;
  • сбрасываем все подключения с локальной сети, которые не имеют ip-адреса подсети нашего роутера.

Изолированная среда и больше деталей

Кнопка с виртуальным рабочем столом позволит запустить изолированную среду, в которой можно ходить по опасным местам.

По логике и принципу работы напоминает такой себе VirtualBox на основе Windows-функционала, а так же крайне похоже на песочницу (вроде Sandboxie) в развернутом, умеренно взрослом, её виде. Крайне полезная штука, рекомендуем для параноиков.

Между рабочими столами можно будет переключаться соответствующей кнопочкой, быстро и достаточно безболезненно, что удобно. Кстати установка всего вышезаявленного (Silverlight и Comodo Dragon) не является необходимым функционалом для полноценной работы, но рекомендованным как таковым.

Вкладка с карантином отвечает за карантин, онлайн поддержка за онлайн-поддержку. В общем-то ничего необычного и на них мы останавливать не будем. Кнопочка в левом верхнем углу позволяет увидеть подробную сводку происходящего:

Т.е увидеть число входящих-исходящих соединений, процессы блокировки, включить или выключить всякие Авто-Sandbox, HIPS и Viruscope, а так уже управлять тем, что уже наблокировано, изолировано и прочее.

Нажатие на соответствующую, скажем так, ссылку, позволит увидеть информацию более подробно или открыть настройки. Вот, например, как выглядит информация о соединениях в системе (напоминает TCPView и тп):

Нажатие на ссылку фаерволла, например позволит нам открыть вкладку с настройками и соответствующей подвкладкой, но здесь же мы можем управлять всеми настройками вообще, перейдя туда, куда нам необходимо (например «Общие настройки» — «Интерфейс»). Давайте кратенько пройдемся и по ним.

Экспорт и импорт готовых настроек

Однако, наверняка, имея несколько компьютеров схожей конфигурации, Вам будет крайне лениво настраивать все правила по новой, поэтому здесь предусмотрена, во-первых, выгрузка глобальной политики (правая кнопка мышки по пункту «Брандмауэр Windows в режиме повышенной безопасности — Экспорт политики»).

А, во-вторых, предусмотрена выгрузка списков правил (входящих и исходящих отдельно) в виде txt, что делается в меню справа, где Вы создавали, собственно, правила:

Это позволит быстрее восстанавливать уже настроенные правила, переносить пути, настройки и другие нюансы, локально или между машинами:

В общем и целом, это тот необходимый минимальный базис, который стоит знать и понимать.

К слову, Вы всегда можете включить-или выключить брандмауэр Windows, используя соответствующий пункт «Включение и отключение брандмауэра Windows», если что-то пойдет (или настроили) не так, или сбросить все настройки, тыркнувшись в пункт «Восстановить значения по умолчанию»:

Так что, в общем-то, поводов для беспокойства при кривых руках нет и сломать что-то крайне сложно. Конечно, в этом всём есть как свои плюсы, так и свои минусы.

Основным из минусов можно считать невозможность быстро создавать новые правила, т.е, в большинстве случаев, при установке нового приложения, требуется открывать брандмауэр, лезть в настройки, потом создавать новое правило и так по кругу.

Это же является и плюсом, — без Вас ничего лишнего (в общем-то даже вирус), толком не сможет чихнуть в системе (при учете, что Вы настраиваете правила именно для приложений, а не портов-адресов и тп).

В двух словах как-то так. Больше бывает в обучалке, но в рамках статьи сейчас, думаю, и этого многим должно хватить с лихвой.

Hips и песочница в Comodo Firewall

В защите обитают упомянутые выше HIPS (проактивная система предотвращения вторжений), Sandbox (песочница, которая отвечает за виртуализацию и защиту на основе неё) и VirusScope (система, позволяющая проводить динамический анализ запущенных процессов и вести запись их активности).

Для HIPS’а хорошо бы включить подробные пояснения (если не разбираетесь), настроить время показа оповещений и, оптимально было бы, поставить галочку «Адаптировать режим работы при низких ресурсах системы», чтобы оно не так кушало производительности. В принципе можно было бы включить режим усиленной защиты, но он уж очень параноидален и прожорлив.

В настройках Sandbox можно снять первую галочку, если у Вас нет в этом необходимости, а так же, хорошо бы защитить рабочий стол паролем. Но куда важнее тут наличие автоматического Sandbox’а на основе заданной политики:

В Viruscope есть смысл отключить показ оповещений, при условии, что Вы доверяете автоматике. В общем-то логика её работы вполне адекватна, но требует переодического контроля и проверки происходящего в случае, если что-то работать у Вас перестало.

На вкладке с фаерволла хорошо бы снизить уровень частоты оповещений, включить фильтрацию IPv6-трафика, защиту от ARP-спуфинга и создание правил для безопасных приложений.

На подвкладках можно задать и отрегулировать правила для приложений, а так же отредактировать те, что Вы создали уже, нажимая в кнопки блокировать/разрешить на соответствующие запросы фаерволла выше.

Здесь же можно сделать наборы правил и даже активировать контент-фильтр, заблокировав и или разрешив определенные сайты и категории (создаются самостоятельно). При должном подходе можно собрать такой себе родительский контроль.

Ну, а на вкладке с рейтингом файлов (это то самое сканирование, которое мы запускали в самом начале) есть смысл включить выполнение облачного анализа неизвестных файлов (осторожно, трафик!), в целях экономии ресурсов системы

На этом с настройкой можно закончить. Что еще касается использования, то есть смысл начать с режима обучения (включается возле строки фаерволл в расширенном представлении главного окна программы), в последствии переключившись на пользовательский набор или, если лень настраивать и обучать, то безопасный режим.

В двух словах пожалуй, как-то оно вот так. Более тонкую настройку и использовать мы здесь описывать не будем, т.к часть никакой статьи тогда не хватит, к тому же часть логики уже описана в соответствующих материалах по другим фаерволлам (см.начало статьи), книгах от автора и обучении.

Так что, собственно, давайте перейдем к послесловию.

Примечание

Цепочки правил не зависят друг от друга, то есть существует две разные цепочки Prerouting и три разные цепочки Output. Однако в документации часто пишут, что речь идет просто о цепочке Output, не указывая, к какой именно таблице она относится

В таких случаях всегда имеются в виду цепочки таблицы-фильтра — далее мы увидим, что эта таблица является наиболее важной. Такая же трактовка касается и команды iptables: там с помощью параметра -t можно указать желаемую таблицу

Если этого параметра нет, то команда будет автоматически применена к таблице-фильтру.

Когда идущий через ядро IP-пакет сталкивается с цепочкой правил, ядро по порядку проверяет его на соответствие всем правилам. Как только одно из определенных правил совпадает с характеристикой пакета, над пакетом выполняется предусмотренное на этот случай действие (например, пакет переадресовывается, удаляется, отправляется обратно и т. д.). Только если с характеристиками пакета не совпадает ни одно из указанных правил, выполняется действие, заданное в системе по умолчанию. В зависимости от конфигурации по умолчанию также может быть задано одно из трех действий: переадресовать, удалить, отправить обратно.

Для старых систем

В данной категории представлены бесплатные комплексные антивирусы, от которых не стоит ждать новых версий. Поддержка последних ОС Windows не предлагается, но решения регулярно получают обновления антивирусных баз. Эти продукты идеально подойдут, если вы хотите защитить старые компьютеры, на которых установлены системы от Windows XP до Windows 7.

FortiClient Endpoint Security (Standard)

Комплексный антивирус FortiClient Endpoint Security (Standard) ориентирован на корпоративных пользователей, чем и объясняется широкий набор его функций – антивирус, фаервол, IDS, веб-фильтр, антиспам. К сожалению, поддержка данного решения прекратилась в пользу FortiClient для Windows, который лишился компонентов сетевой защиты. Однако, продукты по-прежнему получают обновления антивирусных баз (хотя перебои в обновлениях), и для личного использования вы можете установить его на домашнем ПК с операционными системами от Windows XP до Windows 7.

Rising Internet Security Personal

Решение не обладает выдающимися антивирусными способностями, а пользователи отмечают большое количество ложных срабатываний. При этом фаервол включает контроль программ, защиту от вторжений и различных атак. И Rising Internet Security отлично работает на слабых компьютерах. Разработчик прекратил поддержку продукта в плане программных обновлений в 2011 году, с тех пор он стал бесплатным для личного использования.

Профилирование

На вкладке «Профиль» выбираем разрешения для всех профилей, т.е ставим все галочки:

И на вкладке «Имя» мы задаём имя для своего профиля (по аналогии с сортировкой папок, я бы рекомендовал начинать имя с одной и той же буквы, а лучше с одного и того же символа, что позволит быстро находить свои правила в списке):

Теперь, когда Вы сделали правило (и если Вы его сделали правильно) браузер должен успешно соединятся с интернетом.

По тому же принципу Вы добавляете правила, как я уже говорил, для всех приложений, которым, по Вашему мнению, нужен доступ в интернет.

Небольшая хитрость, — для понимания того, где лежит exe-файл программы на самом деле, нажмите правой кнопкой мышки по ярлыку и выберите пункт «Свойства», где в строке «Объект» будет указан полный путь до рабочего файла, а на строке «Рабочая папка», собственно, указана рабочая папка с программой.

Далее, следует помнить, что для разных разрядностей есть разные версии программы, т.е порой необходимо разрешать доступ и x86 (x32) и x64-версии программы, в зависимости от того, какую Вы используете в системе (или если используете их обе).

Для «сложносоставных» программ требуется много разрешений, например для Steam’а нужно где-то 6-8 правил для полностью рабочего функционала (т.к у них одно приложение отвечает за браузерную часть, второе за запуск клиента, третье за трансляции, четвертое за магазин, пятое за что-либо еще):

  • Steam\Steam.exe;
  • Steam\bin\steamservice.exe;
  • Steam\bin\x86launcher.exe;
  • Steam\bin\x64launcher.exe;
  • Steam\bin\steam_monitor.exe;
  • Steam\bin\GameOverlayUI.exe;
  • И тд.

Такое встречается у достаточно большого количества программ, т.е, если Вы вроде бы дали доступ одному, основному exe-файлу, но оно (приложение) всё еще ругается на отсутствие интернета, то стоит поискать другие файлы exe в папке с программой и задать разрешения для них до тех пор, пока весь нужный функционал не заработает должным образом.

Общие сведения о брандмауэре защитника Windows в дополнительной безопасностиOverview of Windows Defender Firewall with Advanced Security

Брандмауэр защитника Windows в Windows 8, Windows7, Виндовсвиста, Windows Server 2012, Windows Server2008 и Windows Server2008R2 — это брандмауэр основного приложения, который помогает защитить устройство, позволяя создавать правила, определяющие, какой сетевой трафик будет разрешено вводить устройство из сети и сетевой трафик, разрешенный для отправки устройством в сеть.Windows Defender Firewall in Windows 8, Windows7, WindowsVista, Windows Server 2012, Windows Server2008, and Windows Server2008R2 is a stateful host firewall that helps secure the device by allowing you to create rules that determine which network traffic is permitted to enter the device from the network and which network traffic the device is allowed to send to the network. Брандмауэр защитника Windows также поддерживает IP-безопасность (IPsec), который можно использовать для проверки подлинности на любом устройстве, которое пытается связаться с устройством.Windows Defender Firewall also supports Internet Protocol security (IPsec), which you can use to require authentication from any device that is attempting to communicate with your device. Если требуется проверка подлинности, устройства, которые не могут пройти проверку подлинности как доверенное устройство, не смогут взаимодействовать с устройством.When authentication is required, devices that cannot be authenticated as a trusted device cannot communicate with your device. Вы также можете использовать IPsec, чтобы затребовать шифрование определенного сетевого трафика, чтобы предотвратить его прочтение анализаторами сетевых пакетов, которые могут быть подключены злоумышленником к сети.You can also use IPsec to require that certain network traffic is encrypted to prevent it from being read by network packet analyzers that could be attached to the network by a malicious user.

Брандмауэр защитника Windows с помощью оснастки Advanced Security обеспечивает более гибкие возможности и предоставляет гораздо больше функций, чем интерфейс брандмауэра защитника Windows, который можно найти на панели управления.The Windows Defender Firewall with Advanced Security MMC snap-in is more flexible and provides much more functionality than the consumer-friendly Windows Defender Firewall interface found in the Control Panel. Оба интерфейса взаимодействуют с теми же самыми зависимыми службами, но предоставляют разные уровни управления этими службами.Both interfaces interact with the same underlying services, but provide different levels of control over those services. Несмотря на то, что программа брандмауэра защитника Windows может защитить одно устройство в домашней среде, она не обеспечивает достаточно централизованного управления или функций безопасности для обеспечения более сложного сетевого трафика, обнаруженного в типичной бизнес-среде среды.While the Windows Defender Firewall Control Panel program can protect a single device in a home environment, it does not provide enough centralized management or security features to help secure more complex network traffic found in a typical business enterprise environment.

Как отключить брандмауэр

Как уже говорилось, системой предусмотрено два варианта отключения. Для обычного пользователя, не желающего вникать в тонкости работы с командной строкой, лучшим станет использование панели управления.

При помощи панели управления

В данном случае последовательность действий крайне проста и понятна:

  1. Кликаем по кнопке «Поиск», расположенной в нижнем меню рядом с кнопкой «Пуск», вводим соответствующий запрос и переходим по первому результату.

  1. В окне «Просмотр» выбираем режим отображения «Крупные значки», после чего переходим к разделу «Брандмауэр Windows».

  1. В отобразившемся разделе переходим к пункту «Включение и отключение брандмауэра Windows».

  1. Чтобы полностью отключить файервол, делаем активным пункт «Отключить брандмауэр Windows» в обоих разделах и нажимаем «ОК».

На этом процедура окончена. Файервол будет отключен, после чего система выведет уведомление о небезопасности использования сетей.

Перейдём к более продвинутому способу – использование командной строки.

С помощью командной строки

Несмотря на кажущуюся сложность, использовать командную строку не так уж и трудно. Последовательность действий в данном случае описана ниже:

  1. Открываем строку от имени администратора. Для этого кликаем по иконке поиска рядом с пуском, вводим нужный запрос, делаем правый клик по первой строке и выбираем пункт «Запустить от имени администратора».

  1. Прописываем команду «netsh advfirewall set allprofiles state off» и жмём Enter. Файервол будет отключен тогда, когда под введённой командой появится значение «ОК».

  1. Чтобы обратно включить брандмауэр, вводим ту же команду, заменив «off» в конце строки на «on».

На этом работа с командной строкой завершена. Данный способ требует знания нужной команды, но экономит значительную часть пользовательского времени.

Для этого:

  1. Делаем правый клик на меню «Пуск» и переходим к пункту «Управление компьютером».

  1. Переходим в раздел «Службы», где будет находиться процесс «Брандмауэр Windows», делаем по нему правый клик и открываем «Свойства».

  1. В поле «Тип запуска» выставляем параметр «Отключена» и нажимаем на «ОК».

Служба отключится. Запуск файервола будет возможен только лишь после обратной активации данной службы.

Возможны ситуации, когда брандмауэр «мешает» лишь одной из многочисленных программ, а полностью отключать его вовсе не хочется. В таком случае самым простым и эффективным решением станет занесение программы в список исключения файервола. Рассмотрим подробнее, как настроить это.

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector