Предназначение на защитната стена на Windows и нейната конфигурация. Основи на защитната стена на Windows Деактивиране на защитната стена чрез раздела "Администриране".
Защитната стена е програма, която разрешава или отказва достъп до интернет за определени приложения. Неопитните потребители имат проблеми с него.
Например: системата се свързва нормално с мрежата (търсенето работи, актуализациите се изтеглят автоматично), но браузърите и другите помощни програми не могат да се свържат с отдалечения сървър. Причината е в настройките на защитната стена.
Коригиране на проблеми със защитната стена
Често срещан проблем със защитната стена е „Неуспешна инициализация на услугата“. Среща се по-често при персонализирани компилации на Windows. Елиминира се в настройките на услугата, защитната стена се включва, след което компютърът се рестартира (само след това направените настройки ще бъдат активирани. В противен случай усилията ще бъдат напразни, а инструкциите стъпка по стъпка ще имат да се повтори).
Ако няма интернет връзка, проверете кои портове блокира защитната стена.
Възможно е да е неизправно и услугата трябва да се рестартира. Възстановяването на файла Hosts се извършва от антивирусна програма (безплатна CureIT, тя може лесно да се справи със задачата и предлага възстановяване на параметрите на файла при стартиране) или ръчно с помощта на текстовия редактор Notepad ++.
Понякога причината се крие в блокирани изходящи връзки. В този случай отидете на разширените настройки на защитната стена и в диалоговия прозорец „Свойства“ премахнете отметката от активираните поделементи „блокиране на изходящи връзки“ (както в частни, така и в публични профили).
Ако трябва да създадете нова връзка (Wi-Fi), но мрежовата връзка все още не е установена (и няма проблеми с други устройства), можете да добавите изключение за услуга (вижте ). За да направите това, отворете разширените настройки в прозореца с настройки, изберете елемента „Създаване на правило“, отидете в раздела „По избор“.
Активираме желаната услуга (например отдалечена връзка, която е отговорна за достъп до World Wide Web), задаваме параметрите на „предварително зададени“.
Можете също така да изключите защитната стена, ако не ви е необходима за работата ви.
Netsh ви позволява да конфигурирате клиентите на защитната стена на Windows от командния ред директно или чрез пакетен файл. Например командата
netsh защитна стена показва конфиг
показва текущото състояние на защитната стена на Windows на клиентския компютър.
Текущо състояние на защитната стена на Windows
Netsh ви позволява да контролирате почти всички настройки на защитната стена на Windows, така че администраторите със скриптове могат да използват скриптове за присъединяване към домейн, за да конфигурират и тестват функционалността на защитната стена на Windows.
Например следната команда Netsh създава правило за локална защитна стена, което позволява Telnet достъп до компютър, защитен от защитната стена на Windows, от посочените адреси.
протокол = TCP порт = 23
име=Telnetmode=АКТИВИРАНЕ
обхват = ПЕРСОНАЛИЗИРАНИ адреси =
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Тази команда може да бъде съкратена чрез пропускане на имената на атрибутите:
netsh защитна стена добави отваряне на портове
TCP 23 Telnet РАЗРЕШИ ПО ПЕРСОНАЛИЗИРАНЕ
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Резултатът от изпълнението на горните команди може да се провери с помощта на командата
netsh защитна стена показва пренасяне
Профили на домейни и локални профили
Друга полезна функция на защитната стена на Windows е възможността за избор на един от двата режима на работа – стандартен или работа в домейн – в зависимост от това към коя мрежа е свързан компютърът в момента. Всеки режим може да има свой собствен набор от изключения. Например, можете да разрешите споделяне на файлове на компютър само когато сте свързани към домейн. Защитната стена на Windows сравнява текущото AD домейн име с DNS суфикса на IP конфигурацията, за да определи кой режим да се използва в момента. За да конфигурирате домейн и стандартни профили, стартирайте GPO на защитната стена на Windows и изберете обекта за конфигуриране.
Задаване на изключения
Защитната стена на Windows съдържа няколко предварително дефинирани изключения, които позволяват мрежов достъп за някои често срещани системни задачи като дистанционно управление и споделяне на файлове и принтери. Таблицата изброява изключенията на защитната стена на Windows, които са активирани по подразбиране, както и отворени портове и програми, които ги използват.
| Изключение | Отворени портове | Активираща програма | Ограничете източника до |
| Разрешаване на дистанционно управление | TCP 135, TCP 445, | Подмрежи | |
| Разрешаване на споделяне на файлове и принтери | UDP 137, UDP 138, TCP 139, TCP 445, | Подмрежи | |
| Отдалечен работен плот | TCP 3389 | Всеки адрес | |
| Разрешаване на UPnP рамка | UDP 1900, TCP 2869 | Подмрежи | |
| Дистанционна помощ | Sessmgr.exe | Всеки адрес | |
| ICMP опции | Разрешаване на входяща ехо заявка |
Администраторът може също така да зададе свой собствен набор от изключения локално чрез приложението за защитна стена на Windows в контролния панел или отдалечено с помощта на системата за групови правила. За да направите това, просто посочете името на програмата, която генерира трафик или мрежови параметри (TCP или UDP номер на порт) и адреса на източника, след което разрешете генерираното изключение в защитната стена на Windows.
Предварително дефинираните изключения са по-гъвкави от персонализираните изключения, защото позволяват множество портове да бъдат посочени в едно правило. Например изключението за споделяне на файлове и принтери позволява използването на портове TCP 139, TCP 445, UDP 137 и UDP 138. Когато създавате персонализирано изключение, системата ви позволява да посочите само един порт, така че трябва да създадете набор на изключения за всеки порт, за да отворите диапазон от портове. В този случай е разрешено създаването на потребителски зони, т.е. IP адреси или диапазони от IP адреси, за които обменът е разрешен. Това ви позволява да задавате набори от портове както за предварително дефинирани, така и за персонализирани изключения.
Комплекти портове за предварително дефинирани и персонализирани изключения
Администраторите на корпоративната мрежа могат да използват групови правила, за да конфигурират защитната стена на Windows. Трябва да посочите порт (например 80), транспорт (TCP или UDP), област, статус (разрешен или отказан) и име на връзката. Конструкцията изглежда като Порт:Транспорт:Обхват:Състояние:Име (Порт:Транспорт:Обхват:Статус:Име).
Синтаксисът за описание на обхвата за GPO е малко по-различен от този, използван в приложението Windows Firewall (вероятно поради несъответствия между RC2 и окончателната версия на SP2). В RC2 GPO беше дефиниран като "*" (цял трафик), localsubnet (локален подмрежов трафик) и IP адреси (например 10.0.0.1 или съкращението CIDR, Classless Inter-Domain Routing, като 192.168. броят на битове в подмрежовата маска). Например параметрите "1433:TCP:10.0.0.1:Enabled:MSSQL" и "23:TCP:192.168.0.0/24:Enabled:Telnet" позволяват входящи MS SQL Server връзки, използващи порт 1433 само за хост 10.0.0.1, и Telnet връзки, използващи TCP порт 23 от подмрежа 192.168.0.0/24.
Сеч
Можете да конфигурирате защитната стена на Windows да влиза като текстов файл на локален компютър или мрежово устройство. Защитната стена на Windows може да регистрира събития за блокиране на пакети и успешно свързване. Регистърът съдържа необходимата информация за отстраняване на неизправности и грешки, когато не можете да се свържете с необходимите ресурси или да видите разрешените връзки.
По-долу е даден пример за съдържанието на дневника.
Регистрационният файл съдържа две неуспешни заявки за споделяне на файлове и една успешна RDP връзка
#Полета: дата час протокол за действие src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - ПОЛУЧАВАНЕ
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - ПОЛУЧАВАНЕ
2004-06-19 21:03:16 ОТВОРЕНО TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - - -
Първите два реда съдържат информация за блокирани опити за свързване към споделената папка, а последният ред съдържа информация за успешна RDP връзка на TCP порт 3389.
По подразбиране защитната стена на Windows предупреждава потребителя, че програма се опитва да използва посочения порт. Чрез централно конфигуриране на защитната стена на Windows чрез групови правила, администраторът може по желание да деактивира предупрежденията към потребителите.
Деактивирайте защитната стена на Windows
Когато използвате лични защитни стени на трети страни или защитен протокол IPSec, администраторът може да избере да деактивира защитната стена на Windows при инсталиране на XP SP2. Това може да стане по няколко начина. Първо, ако компютрите са членове на домейн, можете просто да създадете GPO, който деактивира защитната стена на Windows. За да направите това, трябва да зададете следните настройки в GPO:
Когато използвате лични защитни стени на трети страни или защитен протокол IPSec, администраторът може да избере да деактивира защитната стена на Windows при инсталиране на XP SP2. Това може да стане по няколко начина. Първо, ако компютрите са членове на домейн, можете просто да създадете GPO, който деактивира защитната стена на Windows. За да направите това, трябва да зададете следните настройки в GPO:
Защитете всички мрежови връзки
Ако искате да деактивирате защитната стена на Windows, когато компютрите са в домейн, но да използвате отдалечена защита на потребителите, когато не са в корпоративната мрежа, можете да използвате следната настройка:
Профил на домейн - Защитна стена на Windows:
Защитете всички мрежови връзкиСтандартен профил - Защитна стена на Windows:
Защитете всички мрежови връзкиЗабранете използването на интернет връзка
Защитна стена на вашата DNS домейн мрежа
Ако компютрите с Windows XP не са членове на домейн на Windows 2003 или Windows 2000, който поддържа групови правила, можете да редактирате конфигурационния текстов файл netfw.inf и да го запишете с останалите инсталационни файлове на XP SP2, за да деактивирате защитната стена на Windows. Добавете реда HKLM, "SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile", "EnableFirewall", 0x00010001.0 към секцията. За повече информация относно използването на файла netfw.inf за управление на внедряването на защитната стена на Windows вижте документацията на Microsoft.
Администраторът може също да използва редактора на системния регистър, за да деактивира защитната стена на Windows на компютри, преди да инсталира XP SP2. За да направите това, добавете два параметъра (тип DWORD) към системния регистър: HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ DomainProfile\ EnableFirewall=0 и HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ StandardProfile\ EnableFirewall=0.
Всички потребители чрез защитна стена
Подобрената защитна стена на Windows, активирана по подразбиране, когато инсталирате XP SP2, осигурява добра защита за компютрите и ще помогне на индивидуалните и корпоративните потребители. Предварително конфигурирани правила и изключения помагат на по-малко опитни администратори бързо да настроят защитната стена на Windows; защитната стена обаче осигурява и фина настройка, за да отговаря на различни изисквания и сценарии на използване. Защитната стена може да се управлява чрез групови политики, тоест можете да създадете необходимата групова политика и да я приложите централно към група компютри. Фактът, че защитната стена на Windows се предлага безплатно, може да окаже решаващо влияние върху избора на много корпоративни потребители за защита на компютрите.
За правилната работа на Windows е необходимо инсталирането на системи за сигурност, които запазват работното състояние на компютъра. Но в някои случаи е необходимо да деактивирате защитната стена на Windows, която защитава системата от вируси. Това е необходимо, ако защитната стена възприема изтеглената програма като заплаха.
Как да изключите защитната стена на Windows 7
Как да деактивирате защитната стена на Windows 7 с помощта на командния ред
Можете да го деактивирате с помощта на командния ред. Това става с помощта на командата Netsh. Като напише текста netsh firewall show config, потребителят вижда състоянието на защитната стена в момента. Можете да деактивирате системата за сигурност с помощта на командата netsh firewall ipv4 set opmode mode=disable.
Как да активирате командния ред:
На работния плот намираме менюто "Старт". Отворете панела „Търсене“ в долната част, въведете текста „команден ред“ или cmd, натиснете Enter. Щракваме с мишката, левия бутон, върху надписа "команден ред".
На черния екран, който се отваря, се появява информация за работата на операционната система, курсорът мига отдолу, където трябва да въведете командата. Въведете командата netsh firewall ipv4 set opmode mode=disable и деактивирайте защитната стена.
Ако потребителят не знае какъв текст да въведе, тогава текстовата помощ се въвежда в реда, показвайки всички команди на конзолата.
Как да деактивирате защитната стена на Windows 7 с помощта на контролния панел, можете да прочетете
Как да изключите защитната стена на Windows 8
Как да изключите защитната стена на Windows 10
Системата за защита се деактивира лесно чрез "Контролен панел": Първо, щракнете с десния бутон върху раздела на Windows и изберете Контролен панел.
В контролния панел изберете Система и сигурност.
Сега отляво в списъка търсим елемента Включване или изключване на защитната стена на Windows.
В настройките проверете елементите Изключете защитната стена и запазете настройките.
За постоянно изключване можете да използвате услугата, която осигурява функционирането на защитната стена. За да направите това, въвеждаме комбинацията Win + R на клавиатурата и въвеждаме текста services.msc и изключваме защитната стена в прозореца за управление на услугата.
Преди да деактивирате защитната стена на Windows, се препоръчва да инсталирате добра антивирусна програма. Това са най-лесните, но не и единствените начини за деактивиране на защитната стена.
Windows OS е оборудвана със собствена система за защита, която се основава на работата на "Firewall" или защитната стена на системата. Тази система блокира нежелани приложения, които според нея са потенциални носители на злонамерени вируси или шпионски софтуер. За да се избегне блокирането на необходимия софтуер и да се гарантира ефективната работа на всички инсталирани, понякога е необходимо да се деактивира такава защита. Тази статия обсъжда как да деактивирате в най-популярните версии на Windows (7, 8, 10).
Windows 7
Алгоритъмът на действията е много прост:
- Веднага след като всички описани действия бъдат завършени, контролният прозорец за нашия защитник трябва да стане червен. В системната област ще се появи съобщение за деактивиране на защитната стена.
Но си струва да се отбележи, че когато самата защитна стена е изключена, услугата, отговорна за нейната работа, продължава да функционира. Намесата в тази услуга може да причини мрежови проблеми. Следователно всички действия, описани по-долу, могат да се извършват на ваш собствен риск или изискват намесата на професионалист.
- След това компютърът ще ви подкани да рестартирате системата, за което трябва да дадете своето съгласие.
- След рестартиране услугата ще бъде деактивирана.
Windows 8
За тази версия на операционната система единствената промяна в алгоритъма на действията е, че е необходимо да влезете в контролния прозорец на защитната стена през "Контролен панел". Влизането се извършва чрез натискане на комбинацията "Win" + "I" и избиране на реда "Контролен панел" в списъка, който се появява. След това трябва да изберете иконата, съответстваща на защитната стена, но ако всички икони в прозореца, който се отваря, са категоризирани, тогава трябва да промените опцията за преглед на „Големи икони“ в горния десен ъгъл на прозореца.
Изключване на Windows 10
В тази версия на операционната система всички действия се повтарят по същия начин като предишните два метода, въпреки факта, че „Контролен панел“ може отново да се отвори чрез стартовото меню, както в Windows 7. Има и допълнителен начин да го деактивирате чрез командния ред, но не е повече или по-малко ефективен, но изисква възможност за използване на посочената услуга. Затова е по-целесъобразно да изключите по вече описания по-горе начин.
От гореизложеното става ясно, че не е трудно да деактивирате системата за защита, но е най-добре да обмислите решението си предварително, тъй като много често работата на защитната стена на системата спасява неподготвените потребители от различни видове злонамерени прояви в операционната система, които водят до проблеми. Също така не предприемайте никакви действия в случай на неуспешен опит за изключване. Най-добре е да се обърнете към професионалисти, които могат да възстановят работното състояние на устройството, както и да обяснят грешките в предприетите действия.
Видео по версии на ОС.
Както знаете, вградената защитна стена на Windows няма специална функционалност, така че обикновено се дезактивира от по-модерни продукти. Въпреки това, дори когато защитната стена е изключена, понякога е необходимо да се направят някои корекции. Например отваряне/затваряне на портове. И ако е по-лесно да направите това на един компютър чрез графичен интерфейс, тогава ще бъде досадно да извършвате едни и същи настройки на няколко компютъра в мрежата по този начин. Помислете за управление на защитната стена на Windows чрез командния ред. След това получените команди могат да бъдат записани в bat файл и изпратени по мрежата.
Този синтаксис е подходящ за Windows Vista, 7, 8и сървърни издания, започващи от 2008 .
Да започнем с основите. Включване на защитната стена:
netsh advfirewall зададе състояние на всички профилиИзключване на защитната стена:
netsh advfirewall изключва състоянието на всички профилиАктивиране на индивидуални профили:
netsh advfirewall зададе състояние на профил на домейн netsh advfirewall зададе състояние на privateprofile на netsh advfirewall зададе състояние на publicprofile наДеактивиране на отделни профили:
netsh advfirewall изключи състоянието на профила на домейна netsh advfirewall изключи състоянието на privateprofile netsh advfirewall изключи състоянието на publicprofileЗатворете всички входящи връзки и разрешете всички изходящи връзки:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutboundПо същия начин командата blockoutbound ще затвори всички изходящи връзки, докато allowinbound ще отвори всички входящи. Но защо? 🙂
Отворете локален TCP порт за входяща връзка. Например 80:
netsh advfirewall защитна стена add rule name="test" protocol=TCP localport=80 action=allow dir=INВ примера името е името на правилото. Можете да изберете кое е удобно за вас.
По същия начин с UDP протокола:
netsh advfirewall защитна стена add rule name="test" protocol=UDP localport=80 action=allow dir=INЕ, и съответно, ако искаме да забраним входящото към локалния порт 80 чрез TCP:
netsh advfirewall защитна стена add rule name="test" protocol=TCP localport=80 action=block dir=INЗа UDP няма да дублирам. Всичко е същото с изключение на името на протокола.
Разрешаване на изходящ към отдалечен порт чрез TCP протокол. Отново нека бъде порт 80.
netsh advfirewall защитна стена add rule name="test" protocol=TCP remoteport=80 action=allow dir=OUTОтворете набор от отдалечени портове за изходяща връзка чрез UDP протокол:
netsh advfirewall защитна стена add rule name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUTСъздайте правило за свързване само от конкретен IP:
netsh advfirewall защитна стена add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1Или IP диапазон:
netsh advfirewall защитна стена add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100Подмрежата може да бъде въведена и по име или просто като 192.168.0.1/100.
Разрешете връзка за конкретна програма:
netsh advfirewall защитна стена add rule name="test" dir=in action=allow program="C:\test\test.exe" enable=yesСъздаденото правило може да бъде изтрито с командата
netsh advfirewall защитна стена изтриване на правило име="тест"Командите могат да се комбинират и модифицират и то доста гъвкаво. Например, ако искаме да отворим порт само за определен тип профил, тогава можем да напишем следната команда:
netsh advfirewall защитна стена add rule name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain