Создание правил брандмауэра Windows в Intune Create Windows Firewall rules in Intune
Относится к: Applies to
Эти сведения относятся к предварительным продуктам, которые могут быть изменены перед коммерческой выпуском. This information relates to prereleased product which may be substantially modified before it’s commercially released. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации. Microsoft makes no warranties, express or implied, with respect to the information provided here.
Чтобы приступить к работе, откройте конфигурацию устройства в Intune и создайте новый профиль. To get started, open Device Configuration in Intune, then create a new profile. Выберите Windows 10 в качестве платформы и укажите тип профиля Endpoint Protection. Choose Windows 10 as the platform, and Endpoint Protection as the profile type. Выберите брандмауэр защитника Windows. Select Windows Defender Firewall. 
Профиль защиты от конечной точки может содержать не более 150 правил брандмауэра. A single Endpoint Protection profile may contain up to a maximum of 150 firewall rules. Если на клиентском устройстве требуется более 150 правил, для него должно быть назначено несколько профилей. If a client device requires more than 150 rules, then multiple profiles must be assigned to it.
Компоненты правила брандмауэра Firewall rule components
Конфигурации правил брандмауэра в Intune используют для брандмауэра Windows 10 CSP. The firewall rule configurations in Intune use the Windows 10 CSP for Firewall. Дополнительные сведения можно найти в разделе CSP брандмауэра. For more information, see Firewall CSP.
Приложение Application
Управление подключениями для приложения или программы. Control connections for an app or program. Приложения и программы можно указывать как путь к файлу, имя семейства пакетов или краткое имя службы Windows. Apps and programs can be specified either file path, package family name, or Windows service short name.
Путь к файлу приложения — это его расположение на клиентском устройстве. The file path of an app is its location on the client device. Например, C:\Windows\System\Notepad.exe. For example, C:\Windows\System\Notepad.exe. Подробнее Learn more
Имена семейств пакетов можно получить, выполнив команду Get-AppxPackage из PowerShell. Package family names can be retrieved by running the Get-AppxPackage command from PowerShell. Подробнее Learn more
Короткие имена служб Windows используются в случаях, когда служба, а не приложение, отправляет или получает трафик. Windows service short names are used in cases when a service, not an application, is sending or receiving traffic. Стандартная архитектура НМА. Default ia All.
Используемый протокол Protocol
Выберите протокол для этого правила для порта. Select the protocol for this port rule. Протоколы транспортного уровня — TCP и UDP — позволяют указывать порты и диапазоны портов. Transport layer protocols—TCP and UDP—allow you to specify ports or port ranges. Для дополнительных протоколов введите число от 0 до 255, представляющее протокол IP. For custom protocols, enter a number between 0 and 255 representing the IP protocol.
Значением по умолчанию является Any. Default is Any.
Локальные порты Local ports
Список диапазонов, разделенных запятыми. Comma separated list of ranges. Например, 100-120200300-320. For example, 100-120,200,300-320. По умолчанию — все. Default is All.
Удаленные порты Remote ports
Список диапазонов, разделенных запятыми. Comma separated list of ranges. Например, 100-120200300-320. For example, 100-120,200,300-320. По умолчанию — все. Default is All.
Локальные адреса Local addresses
Список локальных адресов, разделенных запятыми, на которые распространяется правило. Comma separated list of local addresses covered by the rule. Допустимые маркеры включают в себя: Valid tokens include:
- \ * указывает на любой локальный адрес. * indicates any local address. Если указано, это должен быть единственный включенный маркер. If present, this must be the only token included.
- Подсеть можно указать либо с помощью маски подсети, либо из нотации префикса сети. A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, ни префикс сети, маска подсети по умолчанию — 255.255.255.255. If neither a subnet mask nor a network prefix is specified, the subnet mask default is 255.255.255.255.
- Допустимый IPv6-адрес. A valid IPv6 address.
- Диапазон IPv4-адресов в формате «начальный адрес — конечный адрес» без пробелов. An IPv4 address range in the format of «start address-end address» with no spaces included.
- Диапазон IPv6-адресов в формате «начальный адрес — конечный адрес» без пробелов. An IPv6 address range in the format of «start address-end address» with no spaces included. По умолчанию используется любой адрес. Default is Any address.
Удаленные адреса Remote addresses
Список маркеров, разделенных запятыми, с указанием удаленных адресов, охваченных правилом. List of comma separated tokens specifying the remote addresses covered by the rule. Маркеры не чувствительны к регистру. Tokens are case insensitive. Допустимые маркеры включают в себя: Valid tokens include:
- \ * соответствует любому удаленному адресу. * indicates any remote address. Если указано, это должен быть единственный включенный маркер. If present, this must be the only token included.
- Defaultgateway Defaultgateway
- DHCP DHCP
- DNS DNS
- ДАЕТ WINS
- Интрасеть (поддерживается в версиях Windows 1809 +) Intranet (supported on Windows versions 1809+)
- RmtIntranet (поддерживается в версиях Windows 1809 +) RmtIntranet (supported on Windows versions 1809+)
- Интернет (поддерживается в версиях Windows 1809 +) Internet (supported on Windows versions 1809+)
- Ply2Renders (поддерживается в версиях Windows 1809 +) Ply2Renders (supported on Windows versions 1809+)
- LocalSubnet означает любой локальный адрес в локальной подсети. LocalSubnet indicates any local address on the local subnet.
- Подсеть можно указать либо с помощью маски подсети, либо из нотации префикса сети. A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, но не префикс сети, маска подсети по умолчанию равна 255.255.255.255. If neither a subnet mask not a network prefix is specified, the subnet mask defaults to 255.255.255.255.
- Допустимый IPv6-адрес. A valid IPv6 address.
- Диапазон IPv4-адресов в формате «начальный адрес — конечный адрес» без пробелов. An IPv4 address range in the format of «start address-end address» with no spaces included.
- Диапазон IPv6-адресов в формате «начальный адрес — конечный адрес» без пробелов. An IPv6 address range in the format of «start address-end address» with no spaces included.
По умолчанию используется любой адрес. Default is Any address.
Обход по краям (пользовательский интерфейс скоро) Edge traversal (UI coming soon)
Указывает, разрешено или запрещено обходов для этого правила. Indicates whether edge traversal is enabled or disabled for this rule. Параметр EdgeTraversal указывает на то, что определенный входящий трафик может проходить туннелирование через NAT и другие пограничные устройства с помощью технологии туннелирования Teredo. The EdgeTraversal setting indicates that specific inbound traffic is allowed to tunnel through NATs and other edge devices using the Teredo tunneling technology. Чтобы этот параметр работал правильно, необходимо, чтобы приложение или служба с правилом брандмауэра для входящего трафика поддерживали IPv6. In order for this setting to work correctly, the application or service with the inbound firewall rule needs to support IPv6. Основное приложение этого параметра позволяет прослушивателям узла быть глобально адресацией через IPv6-адрес Teredo. The primary application of this setting allows listeners on the host to be globally addressable through a Teredo IPv6 address. В новых правилах свойство EdgeTraversal отключено по умолчанию. New rules have the EdgeTraversal property disabled by default. Этот параметр можно настроить только с помощью графа Intune в настоящее время. This setting can only be configured via Intune Graph at this time.
Авторизованные пользователи Authorized users
Указывает список авторизованных локальных пользователей для этого правила. Specifies the list of authorized local users for this rule. Список авторизованных пользователей не может быть указан, если правило предназначено для службы Windows. A list of authorized users cannot be specified if the rule being authored is targeting a Windows service. По умолчанию — все пользователи. Default is all users.
Создание правила ICMP для входящего трафика Create an Inbound ICMP Rule
Относится к: Applies to
- Windows 10 Windows10
- Windows Server2016 Windows Server 2016
Чтобы разрешить входящий трафик по протоколу ICMP, используйте брандмауэр защитника Windows в разделе Advanced Security оснастки MMC «Управление групповыми политиками» для создания правил брандмауэра. To allow inbound Internet Control Message Protocol (ICMP) network traffic, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in to create firewall rules. Правила этого типа позволяют отправлять и принимать ICMP-запросы и ответы для компьютеров в сети. This type of rule allows ICMP requests and responses to be sent and received by computers on the network.
Учетные данные администратора Administrative credentials
Для выполнения описанных ниже действий необходимо быть членом группы администраторов домена или иным образом делегированными разрешениями для изменения объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.
В этой статье описано, как создать правило для порта, разрешающее входящий трафик по сети ICMP. This topic describes how to create a port rule that allows inbound ICMP network traffic. Другие типы правил портов для входящих сообщений можно найти в следующих случаях: For other inbound port rule types, see:
Создание правила ICMP для входящего трафика To create an inbound ICMP rule
В области навигации нажмите кнопку правила для входящих подключений. In the navigation pane, click Inbound Rules.
Нажмите кнопку действиеи выберите пункт создать правило. Click Action, and then click New rule.
На странице тип правила в мастере создания правила для нового входящего подключения выберите пункт Настраиваемаяи нажмите кнопку Далее. On the Rule Type page of the New Inbound Rule Wizard, click Custom, and then click Next.
На странице программы выберите пункт все программы, а затем нажмите кнопку Далее. On the Program page, click All programs, and then click Next.
На странице протокол и порты выберите ICMPv4 или ICMPv6 из списка тип протокола . On the Protocol and Ports page, select ICMPv4 or ICMPv6 from the Protocol type list. Если в сети используется как протокол IPv4, так и протокол IPv6, необходимо создать отдельное правило ICMP для каждого из них. If you use both IPv4 and IPv6 on your network, you must create a separate ICMP rule for each.
Нажмите кнопку настроить. Click Customize.
В диалоговом окне Настройка параметров ICMP выполните одно из указанных ниже действий. In the Customize ICMP Settings dialog box, do one of the following:
Чтобы разрешить весь сетевой трафик ICMP, выберите все типы ICMPи нажмите кнопку ОК. To allow all ICMP network traffic, click All ICMP types, and then click OK.
Чтобы выбрать один из предопределенных типов ICMP, щелкните определенные типы ICMPи выберите каждый тип в списке, который вы хотите разрешить. To select one of the predefined ICMP types, click Specific ICMP types, and then select each type in the list that you want to allow. Нажмите кнопку ОК. Click OK.
Чтобы выбрать тип ICMP, которого нет в списке, выберите пункт определенные типы ICMP, выберите в списке тип , а затем в списке выберите номер нужного кода , нажмите кнопку Добавитьи выберите только что созданный элемент в списке. To select an ICMP type that does not appear in the list, click Specific ICMP types, select the Type number from the list, select the Code number from the list, click Add, and then select the newly created entry from the list. Нажмите ОК Click OK
Нажмите кнопку Далее. Click Next.
На странице область вы можете указать, что правило применяется только к сетевому трафику с IP-адресами, указанными на этой странице. On the Scope page, you can specify that the rule applies only to network traffic to or from the IP addresses entered on this page. Настройте необходимые параметры для вашего проекта и нажмите кнопку Далее. Configure as appropriate for your design, and then click Next.
На странице действия выберите Разрешить подключение, а затем нажмите кнопку Далее. On the Action page, select Allow the connection, and then click Next.
На странице профиля выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее. On the Profile page, select the network location types to which this rule applies, and then click Next.
На странице имя введите имя и описание правила, а затем нажмите кнопку Готово. On the Name page, type a name and description for your rule, and then click Finish.