Назначение брандмауэра Windows и его настройка. Азы Windows Firewall Отключение брандмауэра через вкладку «Администрирование»
Брандамауэр - программа, которая открывает или запрещает доступ к интернету некоторым приложениям. У неопытных пользователей с ней возникают проблемы.
Например: система нормально подключается к сети (работает поиск, автоматическая загрузка обновлений), но браузеры и другие утилиты не могут подключиться к удаленному серверу. Причина кроется в настройках брандмауэра.
Исправляем проблемы с брандмауэром
Частая проблема с брандмауэром - «Ошибка инициализации службы». Возникает, чаще на кастомных сборках Windows. Устраняется в настройках служб, включается «Брандмауэр», после чего перезагружается компьютер (только после этого внесенные настройки будут задействованы. В противном случае усилия будут напрасны, и пошаговую инструкцию придется повторять).
Если подключение к интернету отсутствует, проверьте какие порты блокирует брандмауэр.
Возможно, случился сбой в его работе и службу необходимо перезапустить. Восстановление файла Hosts выполняется антивирусной программой (бесплатный CureIT, легко справится с задачей и предлагает восстановить параметры файла при запуске) или вручную, воспользовавшись текстовым редактором Notepad++.
Иногда причина кроется в заблокированных исходящих подключениях. В этом случае зайдите в дополнительные настройки брандмауэра, и в диалоговом окне «Свойства» снять включенные подпункты «блокировать исходящие подключения» (и в частных, и в общественных профилях).
Если же требуется создать новое подключение (Wi-Fi), а подключение к сети так и не устанавливается (при этом с другими устройствами проблем не возникает), можно добавить исключение службы (см. ). Для этого в окне настроек открываем углубленные настройки, выбираем пункт «Создать правило», переходим во вкладку – «Настраиваемое».
Задействуем нужную службу (к примеру, удаленное подключение, которое отвечает за доступ ко всемирной паутине), ставим параметры «предопределенные».
Также можно выключить брандмауэр, если в работе он вам не нужен.
Программа Netsh позволяет выполнять настройку клиентов брандмауэра Windows из командной строки напрямую или через пакетный файл. Например, команда
netsh firewall show config
показывает текущее состояние брандмауэра Windows на компьютере клиента.
Текущее состояние брандмауэра Windows Firewall
Netsh позволяет управлять почти всеми параметрами брандмауэра Windows, так что администраторы, активно использующие в работе сценарии, могут использовать сценарии подключения к домену для настройки и проверки работы брандмауэра Windows.
Например, приведенная ниже команда Netsh создает локальное правило брандмауэра, разрешающее доступ по Telnet к компьютеру, защищенному брандмауэром Windows, с указанных адресов.
protocol = TCP port = 23
name = Telnet mode = ENABLE
scope = CUSTOM addresses =
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Эту команду можно было сократить, исключив имена атрибутов:
netsh firewall add portopening
TCP 23 Telnet ENABLE CUSTOM
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Результат исполнения приведенных выше команд можно проверить с помощью команды
netsh firewall show portopening
Доменные профили и локальные профили
Еще одна полезная особенность брандмауэра Windows - возможность выбора одного из двух режимов работы - стандартный или работа в домене - в зависимости от того, к какой сети подключен в данный момент компьютер. Для каждого из режимов можно задать собственный набор исключений. Например, можно разрешить совместное использование файлов на компьютере только при подключении к домену. Брандмауэр Windows сравнивает имя текущего домена AD с суффиксом DNS конфигурации IP для определения, какой из режимов использовать в данный момент. Для настройки доменного и стандартного профилей запустите объект GPO "Брандмауэр Windows" и выберите объект для настройки.
Настройка исключений
Брандмауэр Windows содержит несколько предопределенных исключений, которые разрешают сетевой доступ для некоторых общих системных задач, таких как удаленное управление и совместное использование файлов и принтеров. В таблице перечислены включенные по умолчанию исключения брандмауэра Windows, а также открытые порты и использующие их программы.
| Исключение | Открываемые порты | Разрешающая программа | Ограничить источник по |
| Разрешить удаленное управление | TCP 135, TCP 445, | Подсети | |
| Разрешить совместное использование файлов и принтеров | UDP 137, UDP 138, TCP 139, TCP 445, | Подсети | |
| Удаленный рабочий стол | TCP 3389 | Любой адрес | |
| Allow UPnP Framework | UDP 1900, TCP 2869 | Подсети | |
| Удаленный помощник | Sessmgr.exe | Любой адрес | |
| Параметры ICMP | Разрешить входящий запрос эхо |
Администратор может также задать собственный набор исключений локально через приложение "Брандмауэр Windows" в панели управления или удаленно с использованием механизма групповых политик. Для этого достаточно просто указать имя программы, которая генерирует трафик или сетевые параметры (номер порта TCP или UDP) и адрес источника, а затем разрешить сформированное исключение в брандмауэре Windows.
Предопределенные исключения предоставляют более гибкие возможности настройки, чем пользовательские, поскольку в них допускается задание нескольких портов в одном правиле. Например, исключение для совместного доступа к файлам и принтерам разрешает использование портов TCP 139, TCP 445, UDP 137 и UDP 138. При создании пользовательского исключения система позволяет указать только один порт, так что для открытия диапазона портов необходимо создать набор исключений для каждого порта. При этом допускается создание пользовательских областей, т.е. адресов IP или диапазонов адресов IP, для которых разрешен обмен. Это позволяет задавать наборы портов для предопределенных и для пользовательских исключений.
Наборы портов для предопределенных и для пользовательских исключений
Администраторы корпоративных сетей для настройки брандмауэра Windows могут использовать групповые политики. При этом необходимо указать порт (например, 80), транспорт (TCP или UDP), область, статус (разрешен или запрещен), и имя соединения. Конструкция имеет вид Порт:Транспорт:Область:Статус:Имя (Port:Transport:Scope:Status:Name).
Синтаксис описания области для объекта групповых политик немного отличается от используемого в приложении "Брандмауэр Windows" (наверное, это может быть вызвано расхождениями в версиях RC2 и финальной версией SP2). В RC2 область GPO определялась как "*" (весь трафик), localsubnet (трафик локальной подсети) и адреса IP (например, 10.0.0.1 или сокращенная запись CIDR, Classless Inter-Domain Routing, вида 192.168.0.0/24, где 24 указывает количество разрядов в маске подсети). Например, параметры "1433:TCP:10.0.0.1:Enabled:MSSQL" и "23:TCP:192.168.0.0/24:Enabled:Telnet" разрешают входящие соединения MS SQL Server, использующие порт 1433 только для хоста 10.0.0.1, и соединения Telnet, использующие порт 23 TCP из подсети 192.168.0.0/24.
Ведение журнала
Можно настроить брандмауэр Windows для ведения журнала в виде текстового файла на локальном компьютере или сетевом диске. Брандмауэр Windows может записывать события блокирования пакетов и успешных подключений. Журнал содержит необходимые сведения для устранения неисправностей и ошибок при невозможности подключиться к необходимым ресурсам или просмотре разрешенных соединений.
Ниже приведен пример содержимого журнала.
Файл журнала содержит два отказа в запросе на совместное использование файла и одно успешное соединение RDP
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - RECEIVE
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - RECEIVE
2004-06-19 21:03:16 OPEN TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - - -
В первых двух строках содержатся сведения о заблокированных попытках подключения к общей папке, а в последней строчке - сведения об успешном подключении RDP через порт 3389 TCP.
По умолчанию брандмауэр Windows выдает пользователю предупреждение о том, что некоторая программа пытается использовать указанный порт. При централизованной настройке брандмауэра Windows через групповые политики администратор может по своему желанию отключить выдачу предупреждений пользователям.
Отключение брандмауэра Windows
При использовании персональных брандмауэров от третьих фирм или защищенного протокола IPSec, администратор при установке XP SP2 может решить отключить брандмауэр Windows. Это можно сделать несколькими способами. Во-первых, если компьютеры являются членами домена, можно просто создать объект GPO, отключающий брандмауэр Windows. Для этого надо указать в GPO следующие настройки:
При использовании персональных брандмауэров от третьих фирм или защищенного протокола IPSec, администратор при установке XP SP2 может решить отключить брандмауэр Windows. Это можно сделать несколькими способами. Во-первых, если компьютеры являются членами домена, можно просто создать объект GPO, отключающий брандмауэр Windows. Для этого надо указать в GPO следующие настройки:
Protect all network connections
Если требуется отключить брандмауэр Windows, когда компьютеры работают в домене, но использовать защиту для удаленных пользователей, когда они работают не в корпоративной сети, можно использовать следующую настройку:
Domain profile--Windows Firewall:
Protect all network connectionsStandard profile--Windows Firewall:
Protect all network connectionsProhibit use of Internet Connection
Firewall on your DNS domain network
Если компьютеры Windows XP не являются членами домена Windows 2003 или Windows 2000, поддерживающего групповые политики, для отключения брандмауэра Windows можно изменить текстовый файл конфигурации netfw.inf и сохранить его вместе с остальными установочными файлами XP SP2. Добавьте в раздел строку HKLM,"SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile","EnableFirewall", 0x00010001,0. Более подробную информацию об использовании файла netfw.inf для управления развертыванием брандмауэра Windows можно почерпнуть в документации Microsoft.
Администратор может также использовать редактор реестра для отключения брандмауэра Windows на компьютерах перед установкой XP SP2. Для этого необходимо добавить в реестр два параметра (тип DWORD): HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ DomainProfile\ EnableFirewall=0 и HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ StandardProfile\ EnableFirewall=0.
Всем пользователям по брандмауэру
Усовершенствованный брандмауэр Windows Firewall, включающийся по умолчанию при установке XP SP2, обеспечивает хорошую защиту компьютерами и поможет индивидуальным и корпоративным пользователям. Предварительно настроенные правила и исключения помогут менее опытным администраторам быстро настроить брандмауэр Windows; при этом брандмауэр предоставляет также возможность тонкой настройки, позволяя обеспечить соответствие различным требованиям и сценариям использования. Управление брандмауэром может производится через групповые политики, то есть можно создать требуемую групповую политику и применить ее централизованно к группе компьютеров. То, что брандмауэр Windows предоставляется бесплатно, может оказать решающее влияние на выбор многих корпоративных пользователей для защиты компьютеров.
Для корректной работы Windows требуется установка систем безопасности, сохраняющих рабочее состояние компьютера. Но в некоторых случаях требуется отключение брандмауэра windows, охраняющего систему от проникновения вирусов. Это необходимо если загружаемую программу брандмауэр воспринимает как угрозу.
Как отключить брандмауэр Windows 7
Как отключить брандмауэр Windows 7 при помощи командной строки
Произвести отключение можно, используя командную строку. Для этого применяется команда Netsh. Набрав текст netsh firewall show config, пользователь видит состояние брандмауэра на данный момент. Отключить систему безопасности можно при помощи команды netsh firewall ipv4 set opmode mode=disable.
Как включить командную строку:
На рабочем столе находим меню «Пуск». Открываем внизу панели «Поиск», вписываем текст «командная строка» или cmd, нажимаем Enter. Кликаем мышкой, левой кнопкой, по надписи «командная строка».
На открывшемся черном экране появляется информация о работе операционной системы, внизу мигает курсор, куда необходимо ввести команду. Вводим команду netsh firewall ipv4 set opmode mode=disable и отключаем брандмауэр.
Если пользователь не знает, какой текст нужно ввести, то в строку вписывается текст help, выводящий на консоль все команды.
Как отключить брандмауэр windows 7, используя панель управления можете почитать
Как отключить брандмауэр Windows 8
Как отключить брандмауэр Windows 10
Система защиты легко отключается через «Панель управления»: Сначала кликаем правой кнопкой на занчке windows и выбираем Панель управления.
В панели управления выбираем пункт Система и безопасность.
Теперь слева в списке ищем пункт Включение и отключение брандмауэра Windows.
В настройка отмечаем пункты Отключить брандмауэр и сохраняем настройки.
Для окончательного отключения можно задействовать службу, обеспечивающую функционирование брандмауэра. Для этого набираем на клавиатуре комбинацию Win+R и печатаем текст services.msc и в окне управления службами отключаем брандмауэр.
Перед отключением брандмауэр для windows, рекомендуется установить хорошую антивируску. Это самые простые но не единственные способы отключения брандмауэра.
ОС Windows оснащена собственной системой защиты, которая основана на работе «Брандмауэра» или системного файервола. Данная система осуществляет блокировку нежелательных приложений, которые на ее взгляд являются потенциальными переносчиками вредоносных вирусов или шпионских модулей. Чтобы избежать блокировки нужного программного обеспечения и добиться эффективной работы всех установленных иногда приходится такую защиту деактивировать. В данной статье рассмотрены способы отключения в самых популярных версиях ОС Windows (7, 8, 10).
Windows 7
Алгоритм действий очень прост:
- Как только были выполнены все описанные действия, окно управления нашим защитником должно стать красным. Системный трей выдаст всплывающее сообщение о деактивации брандмауэра.
Но, стоит заметить, что при выключении самого файервола, служба, отвечающая за его работу, продолжает функционировать. Вмешательство в работу данной службы может спровоцировать неполадки в работе сети. Потому все действия, описанные в дальнейшем, могут выполняться на страх и риски, либо потребовать вмешательства профессионала.
- Далее компьютером будет предложена перезагрузка система, на которую следует дать свое согласие.
- После перезагрузки служба будет отключена.
Windows 8
Для данной версии операционной системы в алгоритме действий имеется единственное изменение, заключающееся в том, что необходимо входит в окно управления брандмауэром через «Панель управления». Вход осуществляется при нажатии комбинации «Win»+«I» и выборе в появившемся списке строки «Панель управления». Далее необходимо выбрать значок соответствующий брандмауэру, если же все значки в открывшемся окне разбиты по категориям, то необходимо в правом верхнем углу окна изменить параметр просмотра на «Крупные значки».
Отключение на Windows 10
В данной версии операционной системы все действия повторяются аналогично двум предыдущим способам, притом, что «Панель управления» опять можно открыть через меню пуск, как и в Windows 7. Также имеется дополнительный способ отключения через командную строку, но он не является более или менее эффективным, но требует умения пользоваться указанным сервисом. Потому целесообразнее производить отключение уже описанным выше способом.
Из вышесказанного становится понятно, что произвести отключение системы защиты не сложно, но целесообразнее всего заранее обдумать свое решение, поскольку очень часто именно работа системного файервола спасает неподготовленных пользователей от различного рода вредоносных проявлений в операционной системе, которые приводят к неполадкам. Также не стоит предпринимать каких-либо действий в случае неудачной попытки отключения. Лучше всего обратиться к профессионалам, которые смогут восстановить рабочее состояние устройства, а также объяснят ошибки в совершаемых действиях.
Видео по версиям ОС.
Как известно, встроенный брандмауэр Windows не обладает особым функционалом, поэтому обычно отключается более продвинутыми продуктами. Впрочем, даже при выключенном брандмауэре иногда необходимо проводить некоторые настройки. Например, открывать/закрывать порты. И, если на одном компьютере это проще сделать через графический интерфейс, то проводить одну и ту же настройку на нескольких компьютеров в сети таким способом будет утомительно. Рассмотрим управление брандмауэром Windows через командную строку. Получившиеся команды можно будет затем записать в bat-файл и разослать по сети.
Данный синтаксис актуален для Windows Vista, 7, 8 и серверных редакций, начиная с 2008 .
Начнем с основ. Включение брандмауэра:
netsh advfirewall set allprofiles state onВыключение брандмауэра:
netsh advfirewall set allprofiles state offВключение отдельных профилей:
netsh advfirewall set domainprofile state on netsh advfirewall set privateprofile state on netsh advfirewall set publicprofile state onВыключение отдельных профилей:
netsh advfirewall set domainprofile state off netsh advfirewall set privateprofile state off netsh advfirewall set publicprofile state offЗакрыть все входящие соединения и разрешить все исходящие:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutboundАналогично, команда blockoutbound закроет все исходящие соединения, а allowinbound откроет все входящие. Только зачем? 🙂
Открыть локальный порт по протоколу TCP для входящего соединения. Для примера 80:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=INВ примере name это имя правила. Можно указать удобное Вам.
Аналогично с протоколом UDP:
netsh advfirewall firewall add rule name="test" protocol=UDP localport=80 action=allow dir=INНу и, соответственно, если мы хотим запретить входящие на локальный 80 порт по TCP:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=block dir=INДля UDP дублировать не буду. Там всё аналогично кроме названия протокола.
Разрешить исходящие на удаленный порт по протоколу TCP. Опять же, пусть будет 80 порт.
netsh advfirewall firewall add rule name="test" protocol=TCP remoteport=80 action=allow dir=OUTОткрыть диапазон удаленных портов для исходящего соединения по протоколу UDP:
netsh advfirewall firewall add rule name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUTСоздать правило по подключению только с конкретного IP:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1Или диапазона IP:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100Подсеть можно вписать и по имени или просто как 192.168.0.1/100 .
Разрешить соединение для определенной программы:
netsh advfirewall firewall add rule name="test" dir=in action=allow program="C:\test\test.exe" enable=yesСозданное правило можно удалить командой
netsh advfirewall firewall delete rule name="test"Команды можно комбинировать и видоизменять, причем довольно гибко. Например, если мы хотим открыть порт только для определенного типа профилей, то можно набрать команду следующего вида:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain