[статья] Брандмауэр в Windows 7
 

Система и безопасность » Брандмауэр в Windows 7
Брандмауэр Windows препятствует несанкционированному доступу вредоносных программ из Интернета и локальной сети. В частности, встроенный брандмауэр успешно защищал предыдущие ОС Windows от проникновения червей MSBlast и Sasser, известных своим эпидемическим распространением. Если вы пользуетесь сторонним фаерволом - замечательно. В противном случае, встроенный брандмаэура должен быть включен....


Читать дальше...

Сразу же вопрос, установил сторонний FTP сервер (FileZilla), создал пользователей, создал домашние каталоги, задал область портов для пассивного режима, открыл и переадресовал порты в маршрутизаторе, создал 2 правила на входящие соединения в брандмауэре, с указание стандартного порта на прослушивание и области для PASV...

Тестирую отсюда, клиент подключается и... хоть убей, в пассивном режиме сервер выдает порт на приглашение, вне заданной области открытых портов...

что я не так сделал?


PS____________________________________________

А сейчас вдруг начал попадать в область, но все равно:

Настройки в FileZilla как на рисунке сделал?

ArmDeForcer, у меня есть сомнения, что виной тому брандмауэр. Но если он блокирует подключения, то это должно быть видно из журнала. Как включить журнал и пользоваться им, вы узнаете из статьи http://www.oszone.net/6589/ (там для Vista, но многое применимо и к 7).

И так, и определение через сайт FileZilla пробовал - тот же результат.

Вот и у меня было такое подозрение:
Значит, маршрутизатор пакеты пропускает, а блокирует брандмауэр? Вроде создал же правило... :read:

ЗЫ: Всё! Нашел проблему!!!! Неправильно были выставлены удаленные порты в правиле брандмауэра! видно, машинально наклацал (сомнения оправдались)!

Сейчас все отлично! Ура!:

Совершенно непонятная вещь с правилами брандмауэра!!Захожу в настройки правил(панель управления-брандмауэр виндовс-дополнительные параметры и тут правила для входящих и исходящих подключений) и например включаю правило на блокировку,(в свойствах правила ставлю Включено и Блокировать подключение,и так все правила какие там есть для входящих и исходящих),если заблокировать тут ВСЕ правила то почему то они добавляются в исключения в другом месте,вот в этом:брандмауэр виндовс-Разрешить запуск программы или компонента через брандмауэр виндовс!!!!!!!!

Наверное я чего то не понимаю,у меня в Разрешить запуск программы или компонента через брандмауэр виндовс не стояло ниодной галки,теперь у меня там все правила отмечены голочками! и произошло это после того как я заблокировал(запретил подключение)во всех правилах в Дополнительных параметирах!

Вот простой маленький пример:В настроке под названием Разрешить запуск программы или компонента через брандмауэр снимаю галку например с правила Удаленное управление службой,и после этого в настройке под названием Дополнительные параметры -Правила для входящих подключений становятся неактивными 3 правила под название Удаленное управление службой,хотя до этого они были активны и в настройках у них стояло Включено и Блокировать подключение.

Или можно наоборот вначале настроить в дополнительных параметрах запрет Удаленное управление службой,после этого почемуто в Разрешить запуск программы или компонента через брандмауэр виндовс появляется галочка напротив Удаленное управление службой.

Система 7600 RTM rus

Брандмауэр Windows в режиме повышенной безопасности
 

Основной вопрос...как настроить?
Статьи и прочее толком ничего не дали.
И проблема при настройке, скажем так из личного опыта, я знаю как настроить КИС, и тут действую так же, интуитивно все вроде понятно, но нет...
Прилагаю скрин из которого видно, собственно это и есть вопрос, что в правилах для исходящих приложения, Skype и QIP работают безупрочно, но как только туда попадает настроечка для FF (синяя стрелка)...ВСЁ перестает работать (не может попасть в инет), в том числе и сам FF, работают только QIP и Skype, даже после добавления след. приложения например Thunderbird'а, после FF, если кружок (синяя стрелка у FF) на пунке "эта программа", все лежит, как видите, даже пинг не идет. Конечно если кружок поставить на пунк "все программы отвечающие условиям"...то ВСЕ программы имеют доступ в интернет, включая и прочие "левые", то есть список не действует....
Разумеется я что-то не до понимаю или делаю не так, поэтому прощу помощи.
Главный вопрос всё-так, как его грамотно настроить так, чтобы я мог контролировать все программы, что лезут в интернет.
К сожалению с режимом обучения я тоже никак не совладал, брандмауэр просто не спрашивает разрешить ли доступ, т.к. по дефолту доступ есть ВСЕМ программам (исход. доступ), вот я и хочу контролировать не только входящий, но и исходящий. Спасибо.

Статью читали: Брандмауэр в Windows 7?

Да, читал.

И там есть пример, как запретить конкретному приложению доступ в Интернет. По умолчанию - программам разрешен доступ, поэтому не надо для них создавать разрешающие правила. Поэтому объясните конкретно и подробно, что вы хотите сделать... Из вашего скриношта это непонятно.

Режима обучения нет.

Vadikan, это я понял, вопрос вот в чем, можно ли сделать так, чтобы всему по умолчанию был запрещен доступ к интернету. Я сам хочу разрешать приложениям доступ...а не запрещать каждому...надеюс понятно.

Котяр, в правой панели щелкните Свойства. Перейдите на вкладку профиля, который хотите настроить. Для исходящих подключений выберите из списка Блокировать. Затем создавайте разрешающие правила для приложений.

Уважаемый Vadikan, я именно так и сделал...после этого как добавляю в разрешенные FF, происходит выше описанная проблема, то есть перестает идти даже пинг.
У меня заблокировано, именно так как на вашем скрине...и после добавлени FF, в зависимости от кружка (см. скрин) если:
- "все программы отвечающие условиям" стоит кружок,то ВСЕ программы имеют доступ в интернет, включая и прочие "левые", то есть список и ВСЯ блокировка (как на вашем скрине) не действует....что и логично из скрина здесь прикрепленного.
- "эта программа" то есть сам FF, я выбираю местоположение программы, и после этого...перестает работать ВСЕ, включая пинги.

Как я понял, второй пунк, дает доступ в сеть всем программам, отвечающим каким-то условиям, если можно, разъясните пожалуйста каким?

Да, так и должно быть.

Так не должно быть :) Но я не смог воспроизвести вашу проблему. Установил Firefox - он не имеет доступа, другие приложения, на которые есть разрешающие правила, имеют доступ. Добавил разрешающее правило для Firefox - он имеет доступ, и на другие приложения это не оказывает никакого эффекта.

Но Ping и не должен проходить - ведь все исходящие подключения, кроме разрешенных, запрещены. Это распростряняется и на пинг :) Чтобы он работал, нужно включить соотв. правило. В списке исходящих подключений отфильтруйте по группе "Общий доступ к файлам и принтерам" и найдите там "Эхо запрос - исходящий трафик ICMPv4". Включите правило, затем в его свойствах на вкладке Область разрешите любые удаленные адреса или пропишите те, к которым нужен доступ.

Общий доступ к файлам и принтерам (эхо-запрос - исходящий трафик ICMPv4) - Включен по умолчанию, и когда я включаю блокировку на исходящие в св-ах профиля брандмауэра, пинг работает всегда, но до того момента, пока не создам правило для FF, причем правило создаю аналогично QIP и Skype...но возникает проблема с доступом в инет. Пытался и удалять правила, и создавать заново, не могу понять в чем дело.
То что вы мне советуете, я как бы знаю, и понимаю отлично, просто сам немножечко не пойму, видать какой-то баг?
Понимаете, я делал даже так:
Добавил FF, сделал как положено в общем опять все перестало работать...как описывал выше. И что я делал...я взял все правила вход. и исход. которые созданы по дефолту (уже есть которые), и большая часть их не активна, я их все активировал ВСЕ. Но "аномальная блокировка" так и продолжает работать...когда кружок именно у FF стоит на "эта программа".
Чудеса блин...
Не знаю что и делать...фаерволл вроде стоящий...да только чудеса вытворяет.

Гм... по умолчанию правила эхо-запросов отключены. И их не требуется включать до тех, пока вы не запретите все исходящие подключения.

Экспортируйте список своих правил для исходящих подключений (Экспорт - в левой панели), а также сделайте скриншоты свойств проблемного правила (всех вкладок).

Все сделал. Данные в архиве, так не работает ничего...
Так же отмечу что все профили брандмауэра отключены кроме Общего. Не вижу смысла держать их включенными.

Котяр, мда, я не вижу никаких аномалий в конкретном правиле. Попробуйте включить все профили и применить данное правило ко всем профилям. Попробуйте также создать аналогичное правило для IE и посмотреть, будет ли возникать проблема.

Делал все...теперь ещё разд сделал...IE так же не работал и пинг тоже, так же провел такой тест, как видите на скрине, там видна часть правил...на самом деле я задействовал все правила...то есть пинг уж обязан был работать...НО нет, он не работал так же как и всё. Не смотря на правила, работали QIP, Skype, hamachi, RAdmin (то есть имели доступ в сеть). Тундерберд же вел себя странно. При проверке почты ошибок не выдавл, при прочтении RSS новостей новости не грузил...так же как и почту, при попытке прочесть новости выходило - Гружу сообщение...и все на этом.
После полного отключения брандмауэра, IE и FF, а также Тундерберд так и не зашли в сеть до перезагрузки (то есть закрыть и открыть снова, FF закрылся, но в процессах остался, пришлось убить руками) оных.

---------------------------------
Думаю что глюк какой-то локальный у меня...по этому, наверное выход один...переставить систему.
Кстати, я выхожу в интернет через Wi-Fi роутер...но данный комп подключен к роутеру по Ethernet...думаю это не особо важно в данном случае.
На нетбуке фаерфокс нормально работает соотв. правилу. Видать проблема локальная или черт знает из-за чего.
--------------------------------
Ну и раз на счет брандмауэра пошло дело, есть пункт правила безопасности подключения...может кто обяснит, что это и как юзать?
Справку почитал...да что-то не до понял.
Думаю этот пункт как то связан с тем, как сделать доступ по сети друг к другу.
У меня Wi-Fi роутер, нетбук и ПК, хочу на обоих настроить фаервол, и затем сделать между ними сеть. Что посоветуете в данном случае?
Нетбук по wi-fi, ПК по ethernet.
192.168.0.1 - роутер. ....2 ПК, ....3 Нетбук.
Вот собственно и все, буду рад за посильную помощь=)

Я так понял, что режима обучения нет для исходящих, либо пускать, либо блокировать, неудобно же, для входящих есть же, или может можно как то и для исходящих настроить, чтобы выдавал запрос.
И еще есть те же настройки в политиках, для чего они, зачем дублировать панель управления, или если настроить в политиках, то эти настройки будут иметь приоритет?

Не думаю.

Чтобы можно было управлять с помощью политик. Представьте, что у вас не один компьютер а 100. Применили шаблон и все.

Нет.

При включении или перезагрузке компа не запускается брандмауэр, от этого не работает поиск в DC++, приходится нажимать кнопку Использовать рекомен. параметры, тогда все нормально. Как сделать чтобы этот брандм. сам включался?

baa123, панель управления ---> администрирование ---> службы ---> двойной клик по "Брандмауэр Windows" ---> тип запуска - Автоматически.

YYYn, В Службах "Брандмауэр Windows" работает Автоматически

Вот в чем дело: Тип запуска: Автоматически, а Состояние: Остановлено. Запускаю - работает, перезагружаю комп - опять Остановлена. Может надо во вкладке Вход в систему поставить галку С системной учетн записью (стоит: С учетной записью)?

Не надо. У Вас антивирус установлен? Какой?

Касперский 900736

Попробуйте удалить.

Разве можно Касперского удалять?

baa123, а почему нет? Не навсегда же, а только чтобы протестировать... Вот утилита для удаления.

Удалил при помощи утилиты, перезагружал несколько раз - картина та же

Подскажите, как сделать чтобы не нажимать всякий раз при включении/перезагрузке кнопку Испльзовать рекомен. параметры

baa123, какая у вас редакция Windows 7 ?

Ultimate. Версия 6.1 (сборка 7600)

Здраствуйте, помогите с настройкой фаерволла. Сделал правило исключения для программы как в статье, но она прекрасно видит и локальную сеть, и интернет (это сканер портов). Я даже пробовал в консоли MMC отключить все правила для исходящих подключений, кроме правила для проги, но результат тот же. Так как запретить программе доступ в сеть (локальную и Интернет)?

Windows 7 Максимальная 7600. Установлена на виртульной машине Virtual PC 2007 SP1.

Странное дело. Почему то, если в пути есть переменная, то брандмауер не блокирует программу. Если указать явный путь, со всеми папками - то блокирует.
То есть, программу, указанную как "C:\users\<name>\desktop\portscan.exe" он блокирует (хотя она и определяет IP сервера по его имени, например, тот же oszone.ru), а вот указанную как "%userprofile%\desktop\portscan.exe" - не блокирует.
Никто не знает, это фича или баг?

Странно, что для оперы, которая лежала в Program Files, правило сработало даже несмотря на то, что путь к ней тоже был прописан через переменную.

Запрет доступа к настройкам брандмауэра Windows 7
 

В Windows 7 достаточно надежный, гибкий и удобный брандмауэр, используя его, можно отказаться от сторонних разработок.
Столкнулся с вопросом, ответ на который не смог найти. Дело в том, что приложения имеют доступ к настройкам правил и могут сами добавлять себя в эти сами правила.
Как ограничить доступ приложениям к настройкам правил?

Привет!
Кто знает - подскажите, пожалуйста.
Потратил пару часов, но так и не нашёл решения.
Вопрос вот в чём:
как сделать так, чтобы брандмауэр windows для каждой новой установленной программы
спрашивал разрешения для её допуска в интернет?
Бывает, установишь игрушку - так он спрашивает, но в большинстве случаев когда разные программы лезут в сеть - молчит.
Возможен ли такой вариант настройки, чтобы всегда выскакивало окошко с вопросом о разрешении? Очень нужно!
Если не в ту тему - переместите, пожалуйста.
Спасибо.

З.Ы. Совсем не хочется пользоваться сторонним файрволом,
потому прошу писать только о брандмауэре windows 7!

Bobbydream, интерактивного режима в брандмауэре нет.

ребята, подскажите. у меня Skype и игра Burnout Paradise создают при каждом своем запуске новые правила в брандмауэре, абсолютно идентичные. Можно как то отключить повторяющиеся правила?

Почему не работает кнопка изменения параметра в брандмауэре?
 

Собственно сабж: почему не работает кнопка изменения параметра в брандмауэре? Необходимо внести некоторые изменения а данный пункт мне почему-то не доступен(( Вот наглядное подтверждение этого http://s001.radikal.ru/i195/1008/c3/2010e5a16a35.bmp Почему так и как исправить? Права администратора у меня есть, что тут не так?

The_Crystal, измените через Панель управления ---> Брандмауэр Windows ---> Дополнительные параметры.

Помогите с брандмауэром.
 

Привет.
Нужно заблокиовать программе доступ в нет. Что то не могу найти где это делается. Помгите плиз.

Всё спасибо, нашёл. Оказывается надо было правило создать.

Помогите составить правила для брандмауэра
 

По глупости своей напортачил с правилами. Как их сбросить в дефолт и скажите как настроить так, чтобы были запрещены все интернет-соединения системы кроме вин-апдейта, тайм-синхронизации, пинга и впн чтоб работал.

iDrug,
Настройки брандмауера Windows 7
http://www.oszone.net/9527/Windows_Firewall#settings

Восстановление параметров брандмауэра Windows
http://windows.microsoft.com/ru-RU/w...ewall-settings

Казбек, спасибо, нашёл как сбросить.
А подскажите какие теперь правила (из дефолтного набора) стоит запретить, чтобы я мог не бояться, что юзеры из моей локалки (а то их там четверть миллиона) не могли ничего мне напортачить (кроме как убить меня пингованием)?

и ещё мне мой провайдер посоветовал разрешить "icmp fragmentation need" а в списке правил в брандмауэре такого нет.

iDrug, убедитесь, что ваши учетные записи защищены паролями.

Vadikan, ок, поставил сейчас пароль своему администратору, но до этого момента пароля не стояло - могли ли мне чего-то напортачить и как? вроде как у меня стоит галка "не обнаружаться в локальной сети" или как-то так.

Теоретически все возможно.Но я уверен,что вероятность этого мала.А ответить точно на этот вопрос можешь только ты сам.Так как в твоем распоряжении компьютер,не в нашем.

Верно ли, что если разрешить доступ программе обычным брандмауэром Windows (в панели управления), то программе будет разрешено использовать все порты?

Прочитал, что для соединений http достаточно открыть порты 80 и 8080. Правильно ли с помощью режима повышенной безопасности оставить opera, chrome, IE только 80, 8080?
Как насчет https?

Чтобы выяснить, какие порты нужны программе, запустил netstat -a, но там не указаны приложения.

Запустил TCPView, также посмотрел строчки с пометкой LISTENING (по совету с 1 сайта, чтобы определить, какой порт нужен приложению, надо смотреть строку listening) и обнаружил, что bittorrent, которому должно хватать того порта, что указан в настройках, пытается использовать еще 10000.

Еще нужно оставить какие-то порты skype, Miranda (ICQ), File Downloader, Download Master, Universal Share Downloader, Avast Free, Ad-Aware Free, но не знаю, какие.

Или для домашнего компьютера разумнее не копаться в портах и просто разрешить доступ в Интернет с помощью обычного брандмауэра Windows 7?

Поставил Windows 7 Firewall Control - если не ошибаюсь, оболочка для обычного брандмауэра Windows 7.

Celsus, исходя из списка программ, не могу понять, в чем смысл разрешать программе использовать одни порты, но запрещать использовать другие. Поясните?

Vadikan, после поиска информации на тему фаерволов и портов сложилось убеждение, что чем больше портов закрыто, тем лучше. На вопрос, имеет ли смысл закрывать доверенной программе одни порты, оставляя остальные, ответить не могу, так как не знаю ( Как раз это пытаюсь высяснить

К заголовку можно добавить, если работать под учеткой гость - выпускает ли встроенный фаервол виндовс новую программу в интернет?
(и как можно узнать какие программы имеет допуск в интернет, под гостем к бранмаузеру виндовс напрямую добраться нельзя)

Подозреваю все таки, что виндовский фаервол исходящий трафик новых программ пропускает(независимо от учетки).

Народ если нужно заблокировать трафик каких то программ - проще поставить другой фаервол(и его настроить соответственно ) или виндовский можно без больших усилий подстроить под эти задачи ?

Умеет ли брандмауэр Windows делать компьютер невидимым? Некоторые защитные системы с сетевым экраном каким-то образом скрывают компьютер от других компьютеров, что вроде может быть полезно при защите от червей. Вне зависимости от того, какие порты закрыты или открыты, порты просто не видны. Если я не ошибся, такое умеют Outpost и Comodo.

Когда программа добавлена в разрешения входящего и исходящего соединиения, то каким образом происходит открытие портов для этой программы?

По умолчанию все порты закрыты, программа запрашивает какой-то порт, и брандмауэр его открывает на время, пока порт программе требуется. Когда программа перестает требовать порт, порт закрывается?

Когда настраивают брандмауэр в режме повышенной безопасности, для чего-то указывают определенные порты, поэтому я решил, что если порты для разных протоколов не указать, то все порты будут открыты. Или порты закрыты, просто указание определенных портов делает невозможным открытие других?

Где можно почитать про то, как брандмауэр Windows открывает и закрывает порты для программ? Чтобы сравнить с другими бесплатными сетевыми экранами. Интересует первый вопрос про невидимость компьютера для зараженных червями и пр. или хакерских компьютеров, которые сканируют IP и ищут не защищенные компьютеры с открытыми портами.