Účel brány Windows Firewall a její konfigurace. Základy brány firewall systému Windows Vypnutí brány firewall prostřednictvím karty Správa
Firewall je program, který povoluje nebo zakazuje přístup k internetu určitým aplikacím. Problémy s tím mají nezkušení uživatelé.
Například: systém se normálně připojí k síti (vyhledávání funguje, automaticky stahuje aktualizace), ale prohlížeče a další nástroje se nemohou připojit ke vzdálenému serveru. Důvod spočívá v nastavení firewallu.
Oprava problémů s firewallem
Častým problémem brány firewall je „Chyba inicializace služby“. Vyskytuje se častěji na vlastních sestaveních systému Windows. Je odstraněn v nastavení služby, je zapnut „Firewall“, po kterém se počítač restartuje (až poté se použijí provedená nastavení. V opačném případě bude úsilí marné a pokyny krok za krokem budou nutno opakovat).
Pokud nejste připojeni k internetu, zkontrolujte, které porty váš firewall blokuje.
Možná došlo k poruše v jeho provozu a službu je třeba restartovat. Obnova souboru Hosts se provádí pomocí antivirového programu (bezplatný CureIT si s úkolem snadno poradí a nabízí obnovení parametrů souboru při spuštění) nebo ručně pomocí textového editoru Notepad++.
Někdy je důvodem zablokovaná odchozí spojení. V takovém případě přejděte do pokročilých nastavení brány firewall a v dialogovém okně „Vlastnosti“ zrušte zaškrtnutí podpoložek „blokovat odchozí připojení“ (v soukromém i veřejném profilu).
Pokud potřebujete vytvořit nové připojení (Wi-Fi), ale připojení k síti stále není navázáno (a nejsou žádné problémy s jinými zařízeními), můžete přidat výjimku služby (viz). Chcete-li to provést, otevřete pokročilá nastavení v okně nastavení, vyberte „Vytvořit pravidlo“ a přejděte na kartu „Vlastní“.
Povolíme požadovanou službu (například vzdálené připojení, které je zodpovědné za přístup k World Wide Web) a nastavíme parametry na „předdefinované“.
Firewall můžete také vypnout, pokud jej ke své práci nepotřebujete.
Netsh umožňuje konfigurovat klienty brány Windows Firewall z příkazového řádku přímo nebo prostřednictvím dávkového souboru. Například příkaz
netsh firewall zobrazit konfiguraci
Zobrazuje aktuální stav brány Windows Firewall na klientském počítači.
Aktuální stav brány Windows Firewall
Netsh vám umožňuje ovládat téměř všechna nastavení brány Windows Firewall, takže správci s náročnými skripty mohou používat skripty pro připojení k doméně ke konfiguraci a testování funkčnosti brány Windows Firewall.
Například následující příkaz Netsh vytvoří pravidlo místní brány firewall, které umožňuje přístup Telnet k počítači chráněnému bránou Windows Firewall ze zadaných adres.
protokol = TCP port = 23
jméno = Režim Telnet = POVOLIT
rozsah = VLASTNÍ adresy =
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Tento příkaz lze zkrátit odstraněním názvů atributů:
netsh firewall přidat portopening
TCP 23 Telnet POVOLIT VLASTNÍ
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Výsledek provedení výše uvedených příkazů lze zkontrolovat pomocí příkazu
netsh firewall ukazuje portopening
Profily domény a místní profily
Další užitečnou funkcí brány Windows Firewall je možnost vybrat si jeden ze dvou provozních režimů – standardní nebo doménový – podle toho, ke které síti je počítač aktuálně připojen. Pro každý režim můžete nastavit vlastní sadu výjimek. Můžete například povolit sdílení souborů ve svém počítači pouze tehdy, když jste připojeni k doméně. Brána firewall systému Windows porovná aktuální název domény AD s příponou DNS konfigurace IP, aby určila, který režim se má v danou chvíli použít. Chcete-li nakonfigurovat doménové a standardní profily, spusťte objekt GPO brány firewall systému Windows a vyberte objekt, který chcete nakonfigurovat.
Nastavení výjimek
Brána firewall systému Windows obsahuje několik předdefinovaných výjimek, které umožňují přístup k síti pro některé běžné systémové úlohy, jako je vzdálená správa a sdílení souborů a tiskáren. V tabulce jsou uvedeny výjimky brány Windows Firewall, které jsou ve výchozím nastavení povoleny, spolu s otevřenými porty a programy, které je používají.
| Výjimka | Otevíratelné porty | Program povolení | Omezit zdroj podle |
| Povolit dálkové ovládání | TCP 135, TCP 445, | Podsítě | |
| Povolit sdílení souborů a tiskáren | UDP 137, UDP 138, TCP 139, TCP 445, | Podsítě | |
| Vzdálená plocha | TCP 3389 | Jakákoli adresa | |
| Povolit UPnP Framework | UDP 1900, TCP 2869 | Podsítě | |
| Vzdálená asistence | Sessmgr.exe | Jakákoli adresa | |
| Nastavení ICMP | Povolit příchozí požadavek na echo |
Správce může také nastavit vlastní sadu výjimek lokálně prostřednictvím aplikace Windows Firewall v Ovládacích panelech nebo vzdáleně pomocí mechanismu zásad skupiny. Chcete-li to provést, jednoduše zadejte název programu, který generuje parametry provozu nebo sítě (číslo portu TCP nebo UDP), a zdrojovou adresu a poté povolte vygenerovanou výjimku v bráně Windows Firewall.
Předdefinované výjimky poskytují větší flexibilitu konfigurace než vlastní výjimky, protože umožňují zadat více portů v jednom pravidle. Například výjimka sdílení souborů a tiskáren povoluje porty TCP 139, TCP 445, UDP 137 a UDP 138. Když vytvoříte vlastní výjimku, systém vám umožní zadat pouze jeden port, takže pro otevření řady portů musí vytvořit sadu výjimek pro každý port. V tomto případě je možné vytvořit vlastní plochy, tzn. IP adresy nebo rozsahy IP adres, pro které je povolena komunikace. To vám umožní definovat sady portů pro předdefinované a vlastní výjimky.
Sady portů pro předdefinované a vlastní výjimky
Správci podnikových sítí mohou ke konfiguraci brány Windows Firewall použít zásady skupiny. V tomto případě musíte zadat port (například 80), přenos (TCP nebo UDP), oblast, stav (povoleno nebo zakázáno) a název připojení. Design vypadá jako Port:Transport:Scope:Status:Name.
Syntaxe pro popis rozsahu pro objekt GPO se mírně liší od syntaxe používané v aplikaci Windows Firewall (může to být způsobeno rozdíly mezi verzemi RC2 a konečnou verzí SP2). V RC2 byl GPO definován jako "*" (veškerý provoz), localsubnet (provoz místní podsítě) a IP adresy (například 10.0.0.1 nebo CIDR, Classless Inter-Domain Routing zkráceně, jako 192.168.0.0/24, kde 24 označuje počet bitů v masce podsítě). Například parametry "1433:TCP:10.0.0.1:Enabled:MSSQL" a "23:TCP:192.168.0.0/24:Enabled:Telnet" umožňují příchozí připojení k MS SQL Server pomocí portu 1433 pouze pro hostitele 10.0.0.1, a připojení Telnet pomocí portu TCP 23 z podsítě 192.168.0.0/24.
Protokolování
Bránu firewall systému Windows můžete nakonfigurovat tak, aby protokol zaznamenávala jako textový soubor na místním počítači nebo síťové jednotce. Brána firewall systému Windows může zaznamenávat blokování paketů a úspěšné připojení. Protokol obsahuje nezbytné informace pro řešení problémů a chyb, když se nemůžete připojit k nezbytným zdrojům nebo zobrazit povolená připojení.
Níže je uveden příklad obsahu logu.
Soubor protokolu obsahuje dvě selhání požadavku na sdílení souborů a jedno úspěšné připojení RDP
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - PŘÍJEM
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - PŘÍJEM
2004-06-19 21:03:16 OPEN TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - - -
První dva řádky obsahují informace o zablokovaných pokusech o připojení ke sdílené složce a poslední řádek obsahuje informace o úspěšném připojení RDP na portu TCP 3389.
Ve výchozím nastavení brána Windows Firewall uživatele upozorní, že se program pokouší použít zadaný port. Když je brána Windows Firewall centrálně nakonfigurována prostřednictvím zásad skupiny, může správce zakázat upozornění pro uživatele.
Zakázat bránu Windows Firewall
Pokud používáte osobní brány firewall třetích stran nebo zabezpečený protokol IPSec, může se správce rozhodnout při instalaci aktualizace XP SP2 vypnout bránu firewall systému Windows. To lze provést několika způsoby. Za prvé, pokud jsou počítače členy domény, můžete jednoduše vytvořit objekt GPO, který zakáže bránu Windows Firewall. Chcete-li to provést, musíte v objektu GPO zadat následující nastavení:
Pokud používáte osobní brány firewall třetích stran nebo zabezpečený protokol IPSec, může se správce rozhodnout při instalaci aktualizace XP SP2 vypnout bránu firewall systému Windows. To lze provést několika způsoby. Za prvé, pokud jsou počítače členy domény, můžete jednoduše vytvořit objekt GPO, který zakáže bránu Windows Firewall. Chcete-li to provést, musíte v objektu GPO zadat následující nastavení:
Chraňte všechna síťová připojení
Pokud chcete zakázat bránu Windows Firewall, když jsou počítače v doméně, ale chcete použít ochranu pro vzdálené uživatele, když nejsou v podnikové síti, můžete použít následující nastavení:
Profil domény – Brána firewall systému Windows:
Chraňte všechna síťová připojeníStandardní profil – Brána firewall systému Windows:
Chraňte všechna síťová připojeníZakázat používání připojení k internetu
Firewall v síti vaší domény DNS
Pokud vaše počítače se systémem Windows XP nejsou členy domény systému Windows 2003 nebo Windows 2000, která podporuje zásady skupiny, můžete upravit konfigurační textový soubor netfw.inf a uložit jej se zbytkem instalačních souborů aktualizace XP SP2 a zakázat bránu Windows Firewall. Do sekce přidejte řádek HKLM,"SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile","EnableFirewall", 0x00010001,0. Další informace o použití souboru netfw.inf ke správě nasazení brány Windows Firewall naleznete v dokumentaci společnosti Microsoft.
Správce může také použít Editor registru k deaktivaci brány Windows Firewall v počítačích před instalací aktualizace XP SP2. Chcete-li to provést, musíte do registru přidat dva parametry (typ DWORD): HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ DomainProfile\ EnableFirewall=0 a HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ StandardProfile=0\ EnableFirewall=0.
Všichni uživatelé přes firewall
Vylepšená brána Windows Firewall, která je ve výchozím nastavení povolena při instalaci aktualizace XP SP2, poskytuje dobrou ochranu počítače a pomůže individuálním i firemním uživatelům. Předkonfigurovaná pravidla a výjimky pomáhají méně zkušeným správcům rychle nakonfigurovat bránu Windows Firewall; Firewall je také vysoce konfigurovatelný, aby vyhovoval různým požadavkům a případům použití. Firewall lze spravovat pomocí skupinových zásad, to znamená, že můžete vytvořit požadovanou skupinovou zásadu a centrálně ji aplikovat na skupinu počítačů. Skutečnost, že brána Windows Firewall je zdarma, může být rozhodujícím faktorem v tom, kolik podnikových uživatelů se rozhodne chránit své počítače.
Pro správnou funkci systému Windows je nutné nainstalovat bezpečnostní systémy, které udržují pracovní stav počítače. V některých případech je však nutné vypnout bránu firewall systému Windows, která chrání systém před viry. To je nutné, pokud firewall vnímá stažený program jako hrozbu.
Jak zakázat bránu firewall systému Windows 7
Jak zakázat bránu firewall systému Windows 7 pomocí příkazového řádku
Můžete jej zakázat pomocí příkazového řádku. Chcete-li to provést, použijte příkaz Netsh. Zadáním textu netsh firewall show config uživatel uvidí aktuální stav firewallu. Bezpečnostní systém můžete deaktivovat pomocí příkazu netsh firewall ipv4 set opmode mode=disable.
Jak povolit příkazový řádek:
Na ploše najdeme nabídku Start. Otevřete panel „Hledat“ ve spodní části, zadejte text „příkazový řádek“ nebo cmd a stiskněte Enter. Klikněte levým tlačítkem na slova „příkazový řádek“.
Na černé obrazovce, která se otevře, se zobrazí informace o provozu operačního systému ve spodní části, kde je třeba zadat příkaz; Zadejte příkaz netsh firewall ipv4 set opmode mode=disable a vypněte firewall.
Pokud uživatel neví, jaký text má zadat, pak se do řádku zapíše textová nápověda zobrazující všechny příkazy na konzole.
Můžete si přečíst, jak zakázat bránu firewall systému Windows 7 pomocí ovládacího panelu
Jak zakázat bránu firewall systému Windows 8
Jak zakázat bránu firewall systému Windows 10
Ochranný systém lze snadno deaktivovat pomocí „Ovládacího panelu“: Nejprve klikněte pravým tlačítkem na schránku systému Windows a vyberte Ovládací panely.
V Ovládacích panelech vyberte Systém a zabezpečení.
Nyní v levém seznamu hledáme položku Zapnout nebo vypnout bránu Windows Firewall.
V Nastavení zaškrtněte políčko Vypnout bránu firewall a uložte nastavení.
Chcete-li jej trvale zakázat, můžete použít službu brány firewall. Chcete-li to provést, zadejte na klávesnici kombinaci Win+R a zadejte text services.msc a v okně správy služeb vypněte bránu firewall.
Před vypnutím brány firewall systému Windows se doporučuje nainstalovat dobrý antivirový program. Toto jsou nejjednodušší, ale ne jediné způsoby, jak zakázat firewall.
OS Windows je vybaven vlastním ochranným systémem, který je založen na práci „Firewallu“ neboli systémové brány firewall. Tento systém blokuje nežádoucí aplikace, které jsou podle jeho názoru potenciálními nositeli škodlivých virů nebo spywaru. Aby nedošlo k zablokování potřebného softwaru a aby byl zajištěn efektivní provoz všech nainstalovaných, je někdy nutné takovou ochranu deaktivovat. Tento článek popisuje způsoby, jak jej zakázat v nejoblíbenějších verzích operačního systému Windows (7, 8, 10).
Windows 7
Algoritmus akcí je velmi jednoduchý:
- Po dokončení všech popsaných kroků by se kontrolní okno našeho obránce mělo zbarvit červeně. Na systémové liště se zobrazí vyskakovací zpráva pro deaktivaci brány firewall.
Je však třeba poznamenat, že když je samotný firewall vypnutý, služba odpovědná za jeho provoz nadále funguje. Rušení této služby může způsobit problémy se sítí. Všechny níže popsané činnosti proto můžete provádět na vlastní nebezpečí nebo vyžadují zásah odborníka.
- Dále vás počítač vyzve k restartování systému, s čímž musíte souhlasit.
- Po restartu bude služba deaktivována.
Windows 8
Pro tuto verzi operačního systému je jedinou změnou v akčním algoritmu to, že musíte vstoupit do okna správy brány firewall přes „Ovládací panely“. Přihlášení se provádí stisknutím kombinace „Win“ + „I“ a výběrem řádku „Ovládací panely“ v seznamu, který se objeví. Dále musíte vybrat ikonu odpovídající bráně firewall, pokud jsou všechny ikony v okně, které se otevře, rozděleny do kategorií, musíte změnit možnost zobrazení na „Velké ikony“ v pravém horním rohu okna.
Zakázat ve Windows 10
V této verzi operačního systému se všechny akce opakují podobně jako u dvou předchozích metod, a to navzdory skutečnosti, že „Ovládací panely“ lze opět otevřít prostřednictvím nabídky Start, jako ve Windows 7. Existuje také další způsob, jak zakázat to přes příkazový řádek, ale není to více či méně efektivní, ale vyžaduje schopnost používat zadanou službu. Proto je vhodnější odpojit pomocí již popsaného způsobu.
Z výše uvedeného je zřejmé, že deaktivace systému ochrany není obtížná, ale je nejlepší si své rozhodnutí promyslet předem, protože velmi často je to práce systémového firewallu, která zachraňuje nepřipravené uživatele před různými typy škodlivých projevů v operační systém, který vede k problémům. Také byste neměli provádět žádnou akci, pokud se pokus o vypnutí nezdaří. Nejlepší je kontaktovat odborníky, kteří mohou zařízení uvést do funkčního stavu a také vysvětlit chyby v provedených akcích.
Video o verzích OS.
Jak víte, vestavěný firewall systému Windows nemá žádné speciální funkce, takže je obvykle zakázán pokročilejšími produkty. I při vypnutém firewallu je však občas nutné provést nějaké úpravy. Například otevřít/zavřít porty. A pokud je snazší to udělat na jednom počítači prostřednictvím grafického rozhraní, pak bude provedení stejného nastavení na několika počítačích v síti tímto způsobem zdlouhavé. Podívejme se na správu brány Windows Firewall pomocí příkazového řádku. Výsledné příkazy lze poté zapsat do souboru bat a odeslat přes síť.
Tato syntaxe je relevantní pro Windows Vista, 7, 8 a serverové edice počínaje 2008 .
Začněme základy. Povolení brány firewall:
netsh advfirewall zapnul stav všech profilůVypnutí brány firewall:
netsh advfirewall vypne stav všech profilůPovolení jednotlivých profilů:
netsh advfirewall zapnul stav doménového profilu netsh advfirewall zapnul stav privátního profilu netsh advfirewall zapnul stav veřejného profiluDeaktivace jednotlivých profilů:
netsh advfirewall vypne stav doménového profilu netsh advfirewall vypne stav soukromého profilu netsh advfirewall vypne stav veřejného profiluZavřete všechna příchozí připojení a povolte všechna odchozí:
netsh advfirewall nastavit všechny profily firewallpolicy blockinbound,allowoutboundPodobně blockoutbound zavře všechna odchozí připojení, zatímco allowinbound otevře všechna příchozí připojení. Ale proč? 🙂
Otevřete místní port TCP pro příchozí připojení. Například 80:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=INV příkladu je název názvem pravidla. Můžete určit, co je pro vás výhodné.
Podobně s protokolem UDP:
netsh advfirewall firewall add rule name="test" protocol=UDP localport=80 action=allow dir=INPokud tedy chceme zakázat příchozí volání na místní port 80 přes TCP:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=block dir=INNebudu duplikovat pro UDP. Vše je stejné kromě názvu protokolu.
Povolit odchozí zprávy na vzdálený port pomocí protokolu TCP. Znovu, nechť je to port 80.
netsh advfirewall firewall add rule name="test" protocol=TCP remoteport=80 action=allow dir=OUTOtevřete řadu vzdálených portů pro odchozí připojení přes UDP:
netsh advfirewall firewall add rule name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUTVytvořte pravidlo pro připojení pouze z konkrétní IP adresy:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1Nebo rozsah IP:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100Podsíť lze zadat podle názvu nebo jednoduše jako 192.168.0.1/100.
Povolit připojení pro konkrétní program:
netsh advfirewall firewall add rule name="test" dir=in action=allow program="C:\test\test.exe" enable=yesVytvořené pravidlo lze smazat příkazem
netsh advfirewall firewall delete rule name="test"Příkazy lze kombinovat a upravovat, a to celkem flexibilně. Pokud například chceme otevřít port pouze pro určitý typ profilu, můžeme zadat následující příkaz:
netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain