Настройка брандмауэра Windows из командной строки cmd
Брандмауэром Windows можно управлять не только привычным всем способом — через окна панели управления. Командная строка Windows так же имеет команды для управления собственным файрволом операционной системы Microsoft.
Способ управления брандмауэром через командную строку имеет массу незаменимых преимуществ перед оконным способом. Если вы хорошо владеете командной строкой, то гораздо быстрей выполните необходимые настройки написав нужные команды в cmd, чем кликая курсором по окнам. К тому же, консольный способ дает возможность управлять брандмауэром удаленного компьютера незаметно для его пользователя.
Рассмотрим подробнее какие команды есть для настройки брандмауэра Windows из командной строки CMD.
Для управление брандмауэром с помощью команд, командную строку CMD необходимо запустить с правами администратора.
Выключение и включение
Выключение сетевых профилей:
Включение сетевых профилей:
Запрет всех входящих соединений и разрешение исходящих:
Разрешение протоколов
Следующее правило принимает входящий трафик по ICMP-протоколу, проще говоря разрешает ping:
Закрытие и открытие портов
Разрешение входящих протоколов TCP и UDP на 80 порт:
Запрет входящих протоколов на 80 порт:
Открыть диапозон портов для исходящего UDP трафика
Удаление правил по имени
Ограничения по IP адресам
правило ограничивающие подключение одно ip-адреса
Ограничение подключений с диапазона ip-адресов или сетей.
Правила для приложений
Разрешить соединения для программы MyApp.exe
Комбинирования параметров
Можно использовать длинные выражения путем комбинирования сразу нескольких параметров:
Мы создали правило, которое разрешает входящие соединения к приложению MyApp из сетей с ip-адресами 157.60.0.1,172.16.0.0/16 и доменным профилем сетевого подключения.
На официальном сайте Microsoft можно ознакомится с примерами сравнения старого контекста Windows XP и нового, который начал использоваться в Windows 7.
Настройка брандмауэра в Server Core и удаленное управление
Как вы знаете Server Core в Windows Server 2008 не включает в себя традиционный полный графический интерфейс пользователя (GUI).
Как и в стандартной (полной) установке Windows Server 2008, брандмауэр Windows включен по умолчанию, и большинство сетевых портов сразу после установки блокируются. Однако, поскольку основной задачей севера является предоставление некой услуги (будь то некая служба, файл, или что-то другое, что должно быть доступно по сети), вам необходимо разрешить определенный сетевой трафик на брандмауэре.
Одной из причин для открытия входящего трафика на брандмауэре – необходимость дистанционного управления сервером. Как уже упоминалось в предыдущих статьях, вы можете управлять Server Core с помощью локальной командной строки, дистанционно с помощью обычной MMC оснастки, через WinRM и WinRS, и даже через удаленный рабочий стол (хотя вы все равно получите обычное окно командной строки …)
В большинстве случаев после начальной конфигурации сервера, у Вас возникнет необходимость управления ролями и функциями, установленными на сервере, и вероятно, вы захотите использовать MMC-оснастку Administration tools. Есть три сценария удаленного управления через MMC:
- Роль сервера — когда роль сервера установлена на Вашем сервере, соответствующие порты открываются автоматически, позволяя вам удаленно управлять им. Никаких дополнительных настроек не требуется. Установив необходимые оснастки из Remote Server Administration Tools (RSAT) на вашей полноценной рабочей станции(сервере), вы сможете удаленно управлять сервером с Server Core.
- Сервер член домена — после того как сервер включен в домен, брандмауэр использует преднастроенный доменный профиль, который разрешает удаленное управление. Опять же, никаких дополнительных настроек не требуется.
- Сервер в рабочей группе — это сценарий, в котором потребуется внести изменения в конфигурацию брандмауэра. Если вы просто хотите задействовать все функции удаленного управления, можно использовать следующую команду:
Эта команда разрешает использование большинства методик удаленного управления и разрешает доступ к большинству оснасток MMC. Однако есть оснастки, удаленный доступ к которым настраивается дополнительно:
Диспетчер устройств (Device Manager)
Чтобы разрешить подключаться к диспетчеру устройств, нужно включить параметр политики «Allow remote access to the PnP interface».
Управление дисками (Disk Management)
Для этого на Server Core нужно запустить службы виртуальных дисков (Virtual Disk Service -VDS)
IPSec Management
Вы должны сначала установить удаленное управление для IPSec. Это можно сделать с помощью скрипта scregedit.wsf (он лежит в папке system32):
Таким образом, доступ к большинству MMC оснасток удаленного администрирования, включается одним правилом на брандмауэре — Remote Administration firewall rules. Однако зачастую бывает необходимость предоставить доступ только ограниченному числу MMC-оснасток.
В брандмауэре существуют правила не для всех оснасток, в таблице перечислены существующие правила:
Чтобы включить любую из этих групп, нужно набрать команду:
Где — имя из приведенной таблицы.
Вы также можете удаленно включить их из брандмауэра Windows, запущенного в режиме Advanced Security. Для просмотра всех правил, просто сделайте сортировку по столбцу “Enable”:
Обзор Windows Firewall Control
Содержание
Введение
Брандмауэр Windows препятствует тому, чтобы посторонние элементы, например, такие как вредоносное ПО, проникали в компьютер, а также блокирует доступ в интернет установленных приложений. Он поставляется с набором пакетных функций фильтрации с предварительно установленными настройками, относящимися к типам доступа для каждой программы.
Когда дело касается разрешения или запрета доступа для программ, наименее опытные пользователи доверяют Брандмауэру Windows. Однако тот, кто хочет иметь над ним полный контроль, может управлять правилами и полномочиями с помощью программы Windows Firewall Control.
Прежде, чем мы продолжим, пользователи должны уяснить, что эта программная утилита не привносит какие-то новые выдающиеся функции, а просто предоставляет более быстрый доступ к параметрам настройки Брандмауэра Windows.
Программа совместима с Windows 8, 8.1, 7, Vista и Server 2008, имеет четыре режима фильтрации, которые можно будет беспрепятственно переключать (в зависимости от уровня вредоносности), и, как правило, с ней, легко работать, поэтому иметь предшествующий опыт работы с такими инструментами безопасности необязательно.
Лицензия, установка, интерфейс
У демонстрационной версии нет даты истечения срока, поэтому она может работать столько, сколько потребуется. Однако есть ограниченная функция, а именно — система уведомлений отключена, таким образом, пользователи не смогут получать визуальные предупреждения о важных событиях. Тот, кто хочет снять это ограничение, может купить полный пакет за 10 долларов США или 7.88 евро.
Операция установки занимает минимум времени и усилий. Несомненно, при этом потребуются полномочия администратора. Стоит упомянуть, что кроме создания ярлыков в меню «Пуск» и на рабочем столе Windows Firewall Control может автоматически запускаться каждый раз при загрузке системы до дальнейших распоряжений, а также создавать рекомендуемые правила.
После своего запуска Windows Firewall Control не раскрывает никаких окон, вместо этого он выставляет значок в области системных уведомлений. По двойному щелчку на нем открывается панель настроек с понятным и удобным внешним видом, где можно выбрать профиль фильтрации, использовать различные инструменты и выполнить настройку.
Профили фильтрации для пропуска и блокирования программ
Как упоминалось ранее, в программном приложении реализованы четыре профиля фильтрации: режим высокой фильтрации блокирует все входящие и исходящие соединения, независимо от источника, средняя фильтрация ограничивает только исходящие соединения, которые не соответствуют определенному правилу, в то время как при низком уровне пропускаются все исходящие соединения, которые не охвачены условиям правила.
Щелкните в окне программы, чтобы пропустить или заблокировать ее подключение к Интернету
В противном случае можно отключить фильтрацию, выключив Брандмауэр Windows (в целях безопасности это следует делать только тогда, когда есть другой запущенный брандмауэр). Кроме того, приложение может автоматически установить средний или высокий профиль фильтрации спустя 10 минут.
Применение правил и настройка параметров
Правилами можно управлять с помощью четырех кнопок, находящихся в нижнем правом углу основного окна. Пользователи могут поискать приложение на жестком диске, чтобы пропустить его или заблокировать через классический файловый проводник при условии, что файл имеет формат .exe, .dll, .bin, .setup или .scr. Программа содержит довольно удобную для этого возможность, которая позволяет это делать простым щелчком по открытому окну активной программы.
По умолчанию правила применяются только к исходящим соединениям в домене, частных и общественных местах, и они могут быть настроены либо только на входящие, либо и на те и на другие, в то же время какими-либо расположениями можно пренебречь.
В Windows Firewall Control имеется примечательная опция, дающая возможность экспортировать правила брандмауэра в файл и импортировать их позже, таким образом позволяя пользователям легко создавать множество наборов правил брандмауэра для быстрого их применения при различных обстоятельствах. Они могут быть сброшены до значений по умолчанию или рекомендуемой конфигурации.
Тонкое управление правилами
Панель управления доступна из контекстного меню значка в области системных уведомлений. Окно «Управление правилами» показывает список процессов, у которых есть разрешение либо запрет на доступ к Интернету, наглядно выделенных зеленым и красным цветом соответственно. Пользователи могут просматривать имена, группы, программы, расположения, статус разрешенных, направление (входящее или исходящее), локальные порты, удаленные адреса и порты, протоколы и службы.
Просмотрите свойства процессов, узнайте их статус доступа к Интернету и создайте новые правила
Одним щелчком процессам можно дать разрешение или отказ, отключить их и включить повторно, удалить из списка или скопировать, в то время как два правила (или более) могут быть объединены. Их свойства могут изменяться в плане программы, имени, группы, описания, расположения, протоколов, портов, локальных и удаленных IP-адресов, службы, направления, действия (разрешить или блокировать) и типа интерфейса (локальная сеть, удаленный доступ или беспроводная связь).
В Windows Firewall Control можно запросить поиск недопустимых правил в списке с целью исправления ошибок, отображение на экране только «входящих» или «исходящих» правил, их фильтрацию по статусу (разрешенные, запрещенные, пользовательские правила), поиск определенных правил и создание новых с нуля. Также можно просмотреть окно журнала с данными о подключениях.
Другие инструменты и настройки
Утилита обеспечивает быстрый доступ к некоторым важным функциям, заложенным в операционную систему: Брандмауэр Windows в режиме повышенной безопасности для анализа и углубленной настройки защиты входящих и исходящих подключений и контроля над правилами, «Просмотр событий» для просмотра журналов событий, а также «Монитор ресрусов» для того, чтобы отслеживать работу ЦП, памяти, диска и использование сети.
Что касается настройки программы, то есть возможность внедрить Windows Firewall Control в контекстное меню Проводника для быстрого разрешения или блокирования брандмауэром выбранных приложений, сделать установку с тем чтобы приложение запускалось автоматически при входе пользователя в систему, автоматически удаляло посторонние правила, сделанные другими брандмауэрами, и гарантированно обеспечивала безопасность начальной загрузки за счет сохранения правил брандмауэра при завершении работы, переключаясь на профили более высокого уровня фильтрации и восстанавливая правила сразу, как только приложение вновь было запущено.
Кроме того, общие клавишные комбинации могут быть присвоены операциям перевода в рабочее состояние правил и основных панелей, цвета пользовательского интерфейса могут быть заменены, когда это касается красных, зеленых и синих каналов, URL-адреса могут быть настроены, чтобы проверять репутацию IP, оценивать файлы на основе их хеш-суммы SHA256, отправлять запрос WHOIS и считывать больше информации о конкретном порте. Наконец, что не менее важно, Windows Firewall Control может быть заперт с помощью пароля посредством кнопки, показанной в правом верхнем углу основной панели.
Обзор Windows Firewall Control: Оценка Softpedia
Во время оценки утилита работала хорошо в Windows 8.1 Pro, не вызвала зависания ОС, отказа или появления сообщений об ошибках. Она имела превосходное время отклика и успешно блокировала не допущенные приложения, оставаясь при этом на низком уровне потребления системных ресурсов.
В профилях фильтрования есть четыре типа правил с предварительно установленными параметрами настройки, и к ним можно легко получить доступ из области системных уведомлений во время работы в других программах.
У пользователей есть возможность создавать свои собственные правила, экспортировать параметры настройки брандмауэра, а также выбирать профиль, который будет восстановлен в случае переключения на более низкий профиль фильтрации для инсталляции или изменения целей.
Правила могут быть защищены за счет автоматического игнорирования тех, которые созданы другими программами помимо Windows Firewall Control. К тому же, программа может их запомнить для предстоящего входа в систему.
На общие клавишные комбинации можно назначить операции быстрого переключения в рабочее состояние правил и главной панели. Репутация IP определенного URL-адреса может быть легко проверена, тогда как целостность файла может быть проверена за счет вычисления его хеш-суммы SHA256.
Доступ к приложению со стороны посторонних лиц может быть закрыт с помощью пароля.
Несмотря на то, что программа достаточно проста в использовании, она не содержит файла справки для неопытных пользователей.
Функция оповещений, уровень которой можно отрегулировать, чтобы указать, какие из блокированных исходящих соединений должны выводиться на экран, будет доступна только после регистрации (она не бесплатная).
Мы видели немало защитных программных приложений, предназначенных для управления Брандмауэром Windows. Приняв все это к сведению, можно сказать, что Windows Firewall Control — это доступное, эффективное и благоприятное для ресурсов компьютера приложение, в котором пользователям предложены предварительно установленные профили и возможности управления правилами для приложений, устанавливающих входящие и исходящие соединения.