Программа для настройки брандмауэра windows 7

Обновлено: 03.07.2024

Так необходимая нам Всемирная глобальная сеть далеко не безопасное место. Через интернет мошенники активно распространяют откровенно вредоносные либо зараженные, с виду безобидные программы. Каждый из нас может нарваться на такой неприятный сюрприз, следствием которого является утечка личной информации и снятие средств с банковских счетов, злоумышленное шифрование данных, повреждение системных файлов и нарушение работы компьютера. Барьером для всех вышеперечисленных угроз выступает брандмауэр Windows, о котором мы подробно расскажем в нашей статье.

Функции брандмауэра Windows

В отличие от обычных браузерных или самостоятельных фаерволов, препятствующих проникновению вирусов извне в систему, брандмауэр работает в обе стороны. Он запрещает установленным на ПК программам обращаться к Сети без полученного на то разрешения от администратора или при отсутствии сертификатов безопасности. Проще говоря, если программа подозрительна и требует неоправданно больших полномочий ‒ она будет блокирована.

Данный защитный инструмент включен во все современные версии Windows, начиная с XP Service Pack 2. Помимо программ, брандмауэр проверяет запущенные службы и останавливает их при обнаружении опасной активности. Отдельным плюсом является то, что опытный пользователь может самостоятельно устанавливать правила проверки для определенного перечня IP-адресов, портов, сетевых профилей.

Несмотря на все преимущества, брандмауэр не заменяет антивирусное ПО, а лишь «купирует» деятельность вредоносного софта, поэтому не стоит целиком полагаться на него.

Включаем брандмауэр в Windows 7, 8, 10

После установки или восстановления Виндоус ее брандмауэр запущен по умолчанию. Поводом для его ручного отключения должна быть веская причина, например, выскакивающая ошибка 0х80070422, сообщающая о сбое защиты и конфликте служб.

Самостоятельно отключить (или запустить) брандмауэр в Windows 7, 8 и 10 можно двумя способами: через командную строку или панель управления.

Сначала рассмотрим первый вариант, как наиболее простой.

Владельцы десятки для открытия консоли могут сразу кликнуть ПКМ по значку «Пуска».


  1. Для выключения брандмауэра Windows в консоли вводим следующую команду: «netsh advfirewall set allprofiles state off» (без кавычек).

После нескольких секунд система уведомит об успешном отключении: «ОК».

  1. Включить его обратно можно той же командой, но с приставкой on: «netsh advfirewall set allprofiles state o.

Теперь разберем вариант №2.

  1. Переходим по адресу «Пуск/Панель управления/Система и безопасность/БрандмауэрWindows». В появившемся окне мы видим текущее состояние сетевого экрана. Для изменения его статуса кликаем по «Изменение параметров уведомлений».
  2. Для отключения защиты брандмауэра отмечаем соответствующие пункты и жмем по «ОК».

Включение производится в обратном порядке. После всех действий желательно перезагрузить компьютер.

Разрешаем запуск программ через брандмауэр

Работа межсетевого экрана не всегда корректна, и он может заблокировать вполне безобидную программу, требующую доступ к Сети. Такое часто случается при установке и первом запуске клиента онлайн-игры или загрузчика. В настройках можно самостоятельно добавить программу в исключения брандмауэра, но только если вы уверены в ее источнике.

Делается это следующим образом:

  1. Переходим в меню исключения брандмауэра по пути, описанному выше, и кликаем по отмеченной ссылке.


  1. В открывшемся окне разрешаем (или запрещаем) программе работать в той или иной сети, отмечая галочками нужный пункт. Подтверждаем свои действия кнопкой «ОК».
  2. Если вы не нашли нужный продукт в этом списке, то кликайте по кнопке внизу «Разрешить другую программу». Для добавления в исключения вам будут доступны все установленные программы и утилиты.

Но если и тут не оказалось искомого exe-файла ‒ укажите путь к нему через «Обзор».

После подтверждения этих изменений перезагружать компьютер необязательно.

Настройка брандмауэра в режиме повышенной безопасности

Теперь стоит упомянуть альтернативный способ настройки брандмауэра, позволяющий, кроме всего прочего, открывать порты и устанавливать политику безопасности. В нем есть инструмент для создания новых правил ‒ алгоритмов действия межсетевого экрана при работе с некоторыми приложениями.

Чтобы попасть в расширенные настройки:

  1. Нажимаем левой кнопкой мыши по «Дополнительные параметры» в меню брандмауэра.
  2. Здесь вы можете увидеть статус каждого профиля подключения и ознакомиться с принципами их подробной настройки.
  3. Больше всего нас интересуют пункты правил для входящих и исходящих подключений.
  4. В меню «Свойства» каждый параметр настраивается до мелочей, но новичку обычно достаточно вкладки «Общие».
  5. Мастер создания правила для новых подключений вызывается пунктом «Создать правило» в правом верхнем углу окна режима повышенной безопасности.


Решаем проблемы с брандмауэром

Проблема устраняется путем включения брандмауэра стандартным способом или через службы центра обновления и брандмауэра Windows.

После всех манипуляций перезагружаем компьютер и анализируем результат.

Если брандмауэр не запускается ни обычным способом, ни через консоль служб, то проблема может крыться в заражении компьютера вирусами. Воспользуйтесь антивирусной программой (например, Dr.Web CureIt!) и сделайте полную проверку компьютера. Также мы рекомендуем воспользоваться службой поддержки Microsoft по ссылке, где эта проблема уже описывалась.

Вдобавок к вышесказанному

Из нашей статьи вы узнали, что такое брандмауэр Виндоус, почему он так важен для безопасности системы, где он находится и как настраивается. По традиции мы дадим вам полезный совет: не отключайте сетевой экран Windows без острой необходимости, так как он является первой и последней «линией обороны» на пути червей, троянов и прочей шпионской заразы, попадающей к нам из интернета. Даже при заражении компьютера вредоносная программа в большинстве случаев будет блокирована и не сможет осуществлять передачу данных.

Windows Firewall Control скриншот № 1

Windows Firewall Control - небольшая бесплатная утилита, которая обеспечивает комфортный доступ пользователю к наиболее часто используемым опциям встроенного брандмауэра операционных систем Windows. Встроенный инструмент Firewall, который реализован в операционках семейства Windows, к сожалению, не достаточно удобен для настройки и управления, что затрудняет использование всех его возможностей особенно неопытным пользователям. Однако с помощью приложения даже новичок, не владеющий техническими тонкостями администрирования ПК, сможет настроить свой сетевой барьер на самые оптимальные параметры.

После инсталляции программа размещается в системном трее (контекстном меню), откуда и осуществляется эффективное управление различными опциями фаервола. Например, можно быстро разрешить/запретить другим программам выходить в сеть, настраивать дополнительные правила, посмотреть текущие активные сетевые соединения, импортировать/экспортировать политики и многое другое.

Windows Firewall Control имеет несколько режимов фильтрации трафика:

  • High Filtering (высокий) - все исходящие соединения блокируются, не позволяя подключиться в Вашему ПК.
  • Medium Filtering (средний) - блокируются соединения, которые не соответствуют установленному Вами правилу, а остальные работают без ограничений.
  • Low Filtering (низкий) - разрешаются соединения, которые в том числе и не соответствуют правилу, но у Вас есть возможность блокировки приложений для предотвращения исходящего соединения.
  • No Filtering (без фильтрации) - Firewall Windows полностью отключен (не рекомендуется к использованию).

С помощью небольшой программки Defender Control вы в один клик сможете отключать, включать и.

Volume2 - очень удобная программа, дающая пользователю возможность управлять уровнем.

StartIsBack++ - полезная утилита для всех пользователей "десятки", которая вернет в интерфейс операционки привычное и знакомое меню Пуск из Windows 7.

Небольшая портативная программа, которая позволяет настроить панель задач Windows 10.

Universal Watermark Disabler - небольшая утилита для удаления водяных знаков с рабочего стола операционных систем Windows 8, 8.1 и 10.

Бесплатная и удобная в эксплуатации утилита, позволяющая пользователю выбрать внешний.

Отзывы о программе Windows Firewall Control

Марина про Windows Firewall Control 5.3.0.0 [09-04-2018]

Только время зря потратила, можно блокировать программы связанные только с входящим и исходящим интернет трафиком, да не требовательная и Руссификатор есть, но даже под паролем можно закрыть из диспетчера задач, а чтоб удалить прости снять блокировку)) бесполезная программа, над встроенным в виндовс даже не нужно столько париться чтоб заблокировать доступ програме в инет, думайте сами это моё мнение.
2 | 6 | Ответить

Татьяна про Windows Firewall Control 4.8.3.0 [31-07-2016]

Не плохая прога.
Русифицируется -просто.
+сы. Можно настроить все исходящие соединения в ручную. каким то программам разрешить выход в сеть а каким то -нет.
- сы. Настраивать те же программы в ручную- для многих "геморрой" и эта программа точно не для- домохозяек.
Вообще, родной брандмауер (Windows Firewall)- можно настроить 2 кликами. Ставятся галки- в "запретить входящие соединения" (на умолчании галки эти не стоят- их нужно поставить) И все.
Родной Брандмауер- без посторонних фаерволлов- совсем не плох.
3 | 3 | Ответить

(ерж про Windows Firewall Control 4.1.0.1 [02-07-2014]

Может есть смысл добавить ссылку на загрузку русского языкового файла с сайта разработчика по информации пользователя Valerikа
2 | 2 | Ответить

Admin в ответ (ерж про Windows Firewall Control 4.1.0.1 [03-07-2014]

Ссылка на скачивание русского языкового файла добавлена.
4 | 8 | Ответить

Valerik про Windows Firewall Control 4.0.2.4 [01-12-2013]

Обновился русский языковой файл(скачивается с домашней страницы)
2 | 2 | Ответить

Брандмауэр является незаменимой программой для пользователей Windows 7. Благодаря ему система защищена от утечки информации, взлома, проникновения и распространения вирусов. Во время ознакомления со статьёй Вы узнаете больше о правилах использования Firewall, функциях включения/отключения и настройке основных параметров.

Как открыть брандмауэр в Windows?

Для начала необходимо разобраться в том, как правильно зайти в систему.

  • Откройте меню "Пуск" (оно расположено в левой нижней части экрана).
  • Воспользуйтесь панелью управления из предложенного списка программ.

панель управления

"Система и безопасность"

Включение брандмауэра в Windows 7

Теперь следует понять, как правильно запустить программу. Всего существует несколько способов. Далее подробнее о каждом из них.

Включение файрвола через Центр поддержки

Это самый простой и быстрый способ попасть в систему.

Что для этого нужно:

  • Отыщите на панели задач значок в виде стрелочки.
  • После нажатия на неё появится меню, в котором вам необходимо выбрать белый флажок.
  • Дождитесь появления списка действий и выберите "Открыть центр поддержки".

"Открыть центр поддержки"

"Сетевой брандмауэр"

Включение файрвола через Панель управления

В этом случае начать следует с тех же действий, что и при открытии брандмауэра.

После того, как вы зашли в меню системы:

    Найдите с левой стороны пункт включения и отключения брандмауэра.

включения и отключения брандмауэра

Включите брандмауэр

Отладка файрвола через настройку Конфигурации системы

Этот способ поможет устранить проблемы с работой при включённом брандмауэре.

  • Откройте меню "Пуск", расположенное в левой нижней части экрана.
  • Введите в поисковой строке словосочетание "Конфигурация системы".

"Конфигурация системы"

"Состояние"

Отладка файрвола через меню "Службы"

Если по какой-либо причине предыдущий способ оказался неподходящим, можно воспользоваться этим вариантом.

  • Зайдите в меню "Пуск".
  • Выберите возможность просмотра всех программ.
  • Найдите в списке папку "Стандартное".
  • После нажатия вы увидите "Выполнить".
  • Откроется окно для ввода команд. Наберите services.msc

services.msc

"Запустить"

Отладка работы файрвола с помощью команды firewall.cpl

Ещё один простой способ запустить функции брандмауэра.

Что нужно делать:

  • Найдите папку "Стандартное" через меню "Пуск" и выберите команду "Выполнить".
  • В появившемся окошке вбейте firewall.cpl

firewall.cpl

Использовать рекомендуемые параметры

Как его отключить?

Процесс остановки программы практически не отличается от запуска. Рассмотрим на примере использования панели управления.

После того, как вы открыли меню брандмауэра, действуйте следующим образом:

    Найдите с левой стороны возможность включения и отключения брандмауэра.

включения и отключения брандмауэра

отключения брандмауэра

Делается это следующим способом:

    В поисковой строке меню "Пуска" наберите слово "Службы".

"Службы"

"Отключена"

Настройки брандмауэра в Windows 7

Чтобы система работала без сбоев, её нужно правильно отрегулировать. Далее об основных тонкостях работы.

Блокирование исходящего трафика

Избежать утечки информации с компьютера поможет настройка параметров её передачи от вашего устройства к удалённому серверу.

  • Зайдите в панель управления брандмауэром.
  • Перейдите в раздел "Дополнительные параметры". Появится вкладка использования брандмауэра в режиме повышенной безопасности.
  • В столбце справа вам нужен пункт "Свойства".
  • После открытия нового окна отыщите графу исходящих подключений. Замените настройку "Разрешить по умолчанию" на "Блокировать".

"Блокировать"

Разрешенные программы

Теперь, когда вы остановили все исходящие подключения к интернету, вам нужно отрегулировать список исключений.

  • Снова откройте вкладку использования брандмауэра в режиме повышенной безопасности.
  • В столбце слева найдите раздел "Правила для исходящего подключения".
  • В столбце справа отыщите "Создать правило. ".

"Создать правило. "

"Для программы"

"Обзор"

"Далее"

Возможность применения подключения для всех профилей

исключения

Сброс настроек

Если вы хотите вернуть заводские параметры системы, можете воспользоваться следующими рекомендациями:

  • Зайдите в "Брандмауэр Windows".
  • Выберите слева в меню пункт "Восстановить значения по умолчанию".

"Восстановить значения по умолчанию"

Восстановления значения

Завершите операцию

Как проверить firewall

Проверить функционирование Брандмауэра после запуска системы и изменения настроек поможет сервис 2ip Firewall Tester. Вы сможете скачать программу на официальном сайте и использовать, завершив процесс установки.

Для использования брандмауэра не требуется прилагать особых усилий. Достаточно открыть программу, воспользоваться одним из способов включения, внести коррективы в настройки. По желанию сетевой экран можно отключить. Проверить работу системы поможет применение специального сервиса.

Нужен ли брандмауэр Windows 7

Практически все современные антивирусные программы, поставляются вместе с фаерволом. Когда вы устанавливаете сторонний антивирус, встроенный брандмауэр перестает работать, для того что бы предотвратить проблемы связанные с конфликтами 2х программ.

Существуют и простые антивирусы, которые не содержат встроенный фаервол, тот же антивирус от Microsoft -Security Essentails, не содержит встроенного брандмауэра.

Мы же рассмотрим способы повышения безопасности компьютера, путем внесения изменений в настройки брандмауэра, определяя что он должен пропускать, а что блокировать.

Как отключить брандмауэр в Windows 7

Для того что бы попасть меню в настроек брандмауэра Windows 7, где можно его отключить и включить, нужно его открыть.

Как открыть брандмауэр в Windows 7

Как отключить брандмауэр в Windows 7

Как выключить брандмауэр Windows 7?

Как отключить брандмауэр в Windows 7

Отключение брандмауэра Windows 7

Как отключить брандмауэр в Windows 7

Кстати, в этом же окошке можно снять галочки различных уведомлений когда брандмауэр блокирует новые программы.

Отключение службы Брандмауэр Windows

Брандмауэр-Windows-7-Включение-отключение-настройка

Для того что бы быстро найти службу Брандмауэр Windows, кликните на любой службе одни раз и нажмите на клавиатуре букву Б, вы сразу же найдете нужную нам службу и уже на ней кликните двойным щелчком, для того что бы ее открыть.

Брандмауэр-Windows-7-Включение-отключение-настройка-2

Появится диалоговое окно с предложением перезагрузить компьютер прямо сейчас или вы можете выйти без перезагрузки, выполнив ее чуть позже.

Брандмауэр-Windows-7-Включение-отключение-настройка-3

Поздравляем, вы научились отключать брандмауэр Windows 7.

Для того что бы включить брандмауэр Windows 7, выполните те же действия в обратном порядке.

Исключения брандмауэра Windows 7

Когда брандмауэр блокирует приложения или например брандмауэр порой блокирует доступ к интернет сети для некоторых игр, существует достаточно простой способ снять это ограничение и дать полный доступ на выход в интернет для этого приложения, в этой сети, к которой вы подключены.

Для этого на странице межсетевого экрана (брандмауэра) выберите в левом меню пункт меню: Разрешить запуск программ через брандмауэр Windows.

Брандмауэр-Windows-7-Включение-отключение-настройка

Далее найдите в списке свою программу и дайте ей доступ в нужной сети или сразу во всех, где нет галочек, таким образом можно добавлять исключения брандмауэра Windows 7.

Брандмауэр-Windows-7-Включение-отключение-настройка

Настройка брандмауэра Windows 7

Блокировка исходящего трафика

Для повышения безопасности компьютера, что иногда бывает особенно необходимо, можно воспользоваться способом полной блокировки исходящего трафика, т.е. такого трафика, который передается от вашего компьютера к удаленному серверу, разрешить лишь для некоторых необходимых приложений и их соответствующих служб.

Для настройки брандмауэра Windows , необходимо перейти на вкладку Дополнительные параметры в окне Брандмауэра.

Брандмауэр-Windows-7-Включение-отключение-настройка

Откроется меню Свойства Брандмауэра, в котором можно заблокировать весть исходящий трафик, на вкладке Исходящие подключения.

Разрешение для программ после блокировки

После того как были заблокированы все исходящие подключения к интернет, можно создать правило, которое позволит подключаться к интернету некоторым программам. Давайте для примера создадим правило разрешающее браузеру Google Chrome подключаться к сети интернет.

Брандмауэр-Windows-7-Включение-отключение-настройка

Появится мастер добавления нового правила, в котором необходимо нажать Далее→

Брандмауэр-Windows-7-Включение-отключение-настройка

На следующей странице, используя кнопку Обзор добавляете путь к приложению, в нашем случае к браузеру Google Chrome.

Брандмауэр-Windows-7-Включение-отключение-настройка

Для поиска пути расположения нужного exe файла, вы можете воспользоваться поиском или посмотреть в свойствах ярлыка, там всегда указан путь к приложению.

Брандмауэр-Windows-7-Включение-отключение-настройка

Нажимаете далее →на следующем шаге отмечаете Разрешить подключение и опять далее→

Брандмауэр-Windows-7-Включение-отключение-настройка

Отмечаете как на скриншоте ниже и нажимаете Далее

Брандмауэр-Windows-7-Включение-отключение-настройка

На следующем шаге необходимо ввести имя для правила и если необходимо, то и его описание

Брандмауэр-Windows-7-Включение-отключение-настройка

Брандмауэр-Windows-7-Включение-отключение-настройка

Вот и все, новое правило для брандмауэра успешно создано и работает, о чем свидетельствует зеленая галочка напротив правила.

Проверка Брандмауэра

Данная статья была посвящена различным способам настройки брандмауэра Windows 7, рассмотрели способы его включения и отключения, которые должны помочь вам для того что бы вы смогли самостоятельно его настроить.

Не стоит пренебрегать безопасностью. Уделите его настройке немного внимания и вы сможете избежать различных неприятностей в дальнейшем.

Иногда получается, что при выполнении очередного проекта, я случайно открываю какие-то обстоятельства, которые, вроде, никто не скрывает, можно даже найти документацию, поясняющую суть… Но многие, включая меня, находятся в плену заблуждений, поэтому не ищут ту документацию, полагаясь на совершенно неверную картину мира. У меня уже намечается целый цикл из статей, в которых я просто сообщаю, что всё, оказывается, не так, как многие (включая меня) думали. Была у меня статья про DMA, была статья про производительность шины PCI Express. К этому же циклу можно отнести статью про конфигурационные ПЗУ для ПЛИС Altera.

Сегодня мне хотелось бы рассказать пару слов про работу Windows Firewall, или, как его называют в русифицированной ОС – брандмауэра. В целом, это очень хорошая штука, но в частности… Оказывается, по умолчанию он работает в достаточно интересном режиме. Как говорится: «А пацаны и не знают». Итак, начинаем разбираться, что там к чему.



Введение

Сначала поясню суть задачи, которую я решал. Мне надо было проверить, насколько корректно работает очередная плата с нашим сервисом All Hardware. Но не та, которую я проверял в одной из прошлых статей, а более навороченная, с ПЛИС Xilinx.

Что представляет собой сервис All Hardware. Это сайт, на который пользователь заходит, авторизуется и получает список различных плат, физически размещённых на сервере. Зачем он это делает? Чтобы поработать с платой, не покупая её. Например, посмотреть, подойдёт ли она ему, или просто поупражняться в работе с конкретным контроллером. Платы предоставляют производители, а сервис – даёт сеанс работы с ними, ограниченный по времени. Пользователь выбирает плату из списка и получает три вещи: IP адрес, номер порта и видео с камеры, которая смотрит на эту макетку. На самом деле, там ещё можно через SSH пробрасывать порты, но в них я – не специалист. По моей части – именно адрес, порт и видео.

Дальше пользователь в среде разработки, которая стоит на его локальной машине, должен выбрать удалённый отладчик (для большинства сред это старый добрый GDB, для Кейла – более извратный, но если интересно – про это можно сделать отдельную статью, к фаерволу это не относится). Туда вбиваются выданные IP и порт, после чего можно начинать сеанс удалённой отладки, ориентируясь о происходящем с платой по картинке с камеры и по проброшенным через SSH-портам.

Таким образом, любой желающий может пощупать работу с различными отладочными платами, не покупая их. При этом, как и в случае с Redd, среда разработки и исходные коды размещаются на локальной машине. На сервер уходит только двоичный код. Но по истечении сеанса работы, автоматика стирает ПЗУ, так что следующий пользователь считать код уже не сможет.

Итак, возвращаемся к теме статьи. Каким боком здесь фаервол? Всё просто. Мне предстояло поработать с ПЛИС Xilinx. А их среда разработки совершенно официально обладает функцией WebTalk. Мне совершенно не хотелось, чтобы она сообщала о моих действиях «куда следует», поэтому среда стояла на несетевой машине. Даже если бы очень захотела – руки у неё коротки. Нет физического канала и всё тут! Но концепция сервиса All Hardware такова, что сеть быть должна. Для проверки машину пришлось временно подключать к проводу (на самом деле, отсутствие сети — это скорее привычка, на той машине всё равно ничего интересного нет). Что делать? Наступить на горло своей паранойе? Ну уж нет! Я решил ограничить среде разработки перечень разрешённых адресов, чтобы она могла работать только с localhost и сервером All Hardware. Не знаю, что будет потом, а сейчас у сервера All Hardware IP-адрес один и тот же. Просто от сеанса к сеансу выдаются новые порты. Итак, цель ясна, приступаем к реализации.

Какой фаервол взять?

На Windows XP и Windows 7 я пользовался Outpost Firewall. Это отечественная разработка. Очень надёжная и удобная. Я даже купил себе по акции пожизненную лицензию на три машины. Однажды этот фаервол помог мне выявить трояна, которого не видел ни один антивирус. Когда я сумел взять файл с телом вируса, я скормил его нескольким антивирусам, поставляющимся на LiveCD. Ни один не заметил ничего подозрительного. А фаервол у меня просто был в параноидальном режиме, откуда я и узнал о подозрительной активности программы.

Всё было хорошо, пока производитель этого фаервола не закрылся при странных обстоятельствах. После этого, я сильно загрустил. Настолько загрустил, что на основном моём ноутбуке до сих пор стоит семёрка с Outpost, так как я не стал искать ему замену. Но среда разработки Xilinx хочет десятку! Прекрасно! Значит, пришла пора осваивать работу с фаерволом, встроенным в эту ОС!

Все мы знаем, что когда какая-то программа пытается получить доступ к сети, этот стандартный фаервол спрашивает у нас, разрешить ей работу с сетью или нет. Мы можем запретить сразу, а можем снять галочку разрешения после, об этом в сети имеется масса руководств. Вот эти галочки:


Это знают все. Но какова ценность этих знаний? Я опущу свои мысли, которые одолевали меня при чтении массы однотипных статей «как запретить приложению выход в сеть», не рассказывающих, как его не запретить, а только ограничить. Лучше я покажу свои выводы на специально сделанном для этого примере. Напишем два простейших консольных приложения.

Сервер

Первое приложение будет прикидываться сервером. Оно принимает UDP-пакеты, в которых приходят строки, и отображает их на экране. Для того чтобы мы говорили об одном и том же, вот его исходный текст на С++:

Запускаем эту программу, передав в качестве аргумента номер порта (скажем, 1234) и предсказуемо получаем запрос от фаервола:


Разрешим ему сетевую активность… Пусть он пока ждёт, а мы напишем клиентскую часть в виде другого EXE-шника.

Клиент

Пусть наш клиент шлёт серверу строки с крутящейся палочкой. Вот его текст:

Запускаем, указав адрес сервера и порт, который был у сервера (у меня это 192.168.1.95 и 1234), после чего в серверном окне начинает бежать чуть иная, чем я хотел, но всё же палочка:


Но волнует меня не то, что символ “\r” не возвращает каретку в начало строки, а то, что клиент – это отдельный процесс… Запускаемый из совершенно отдельного файла. А фаервол не запросил у меня разрешения на его сетевую активность. Вместо этого, он разрешил её сам, даже не поставив меня в известность о том, что программа куда-то полезет. Как так?

Немного теории о режимах работы фаервола

По умолчанию, Windows-фаервол разрешает все исходящие соединения, если они не запрещены явно. То есть, к нам не смогут подключиться извне, но если какая-то программа проникла на нашу машину (или мы поставили её добровольно), она вполне может отсылать, что угодно, и никто ей по умолчанию это не запретит!

Собственно, вот соответствующая настройка фаервола:


Разрешено всё, что не запрещено. Приложению можно явно запретить активность. Именно этому посвящено огромное количество статей в Интернете… Но троян заберётся на нашу машину незаметно, мы и не догадаемся, что именно его надо занести в запрещённые приложения. Опять же, это не решает моей задачи, вынесенной во введение статьи. Мне надо оставить доступ к тем адресам, которые я разрешил и запретить все остальные.

Чтобы это сделать, надо перевести фаервол в режим «запрещено всё, что не разрешено» для исходящих соединений. Я вечно путаюсь, как войти в соответствующий пункт меню… Ага, нашёл…


И там сначала выбираем вкладку, соответствующую активному профилю (на моём рисунке это был «Общий профиль», а затем переключаем список выбора «Исходящие подключения» из «Разрешить (по умолчанию)» в «Блокировать».


Всё, мы можем спать спокойно? Увы, нет. Если бы всё было так просто – уверен, компания Microsoft сразу выбирала бы режим «Блокировать» для всех. Жаль, но всё только начинается.

Немного о прикладном мазохизме

Итак. Допустим, вы включили режим блокировки для исходящих… Сразу умерло всё, включая браузеры. В целом, никто не мешает в любой момент вернуть выбор в старое положение и откатиться к исходному варианту. Но давайте посмотрим, что нам вообще даёт новый режим. Мы получаем список правил. И у этих правил можно задать безусловное условие разрешения, а можно задать для приложения список открытых портов и список открытых адресов. Адреса можно задавать группой. Вот окно настройки портов:


Вот окно настройки адресов:



Мало того, никто не мешает открыть порт для любых программ, ограничив список допустимых адресов ему. То есть, мы говорим не «Программе такой-то разрешить доступ к портам таким-то», а «Всем программам, работающим через порт такой-то, разрешить работу, ограничив адреса следующей группой».

Всё замечательно, кроме одного. Если список правил для входящих соединений нам формирует система, то для исходящих всё надо добавлять самому. Как я говорил, у меня умер браузер – мне пришлось добавить его в разрешённые исходящие самостоятельно. Как настраиваются адреса, я не буду описывать, статья не об этом. Статей про настройку правил (с целью блокировки, правда) – пруд пруди. В целом, обычно я находил подходящее правило для входящих, копировал имя файла оттуда, после чего – создавал правило для исходящих, указав тот же файл. Ну, и разрешал активность этой программе.

Когда у меня возникла проблема с подключением к VPN в офисе, я поисследовал список готовых правил и нашёл вот такое (я заранее знал, что у нас VPN подключение идёт по протоколу L2TP):


Правило создано за нас, но не активировано. Я зашёл в его свойства, активировал его, после чего слева в списке появился зелёный шарик с галочкой, а VPN-соединение с офисом заработало.

Но так или иначе, а в целом, работа с таким фаерволом попахивает мазохизмом. Надо иметь железную волю, чтобы не закричать: «А надоело это всё» и не вернуться к старому режиму работы. Я уже почти дошёл до этого состояния (благо опыты с Xilinx для All Hardware уже были завершены), но один мой знакомый подсказал мне красивое решение.

Надстройка над штатным фаерволом

Оказывается, есть официально бесплатная программа Windows Firewall Control.


Она сама по себе ничего не делает, а просто управляет фаерволом, встроенным в Windows, предоставляя очень удобные интерфейсы. Теперь не надо бегать через кучу меню, чтобы что-то настроить. Все настройки удобно и компактно собраны на нескольких вкладках. Расписывать все функции этой программы я не буду. Цель статьи – не описать её, а просто отметить её существование. Дальше – все желающие смогут найти специализированные статьи, зная имя Windows Firewall Control.


Я могу разрешить ему доступ, после чего будет автоматически создано правило, я могу запретить доступ, я могу заблокировать приложение однократно.

Вот я ради интереса нашёл автоматически созданное правило в штатном списке фаервола и ограничил ему список доступных адресов:


В общем, с этим приложением жизнь стала намного проще даже при использовании штатного Windows Firewall. Настолько лучше, что эта машина с Windows 10 осталась в сети, ведь она уже не так беззащитна, как была до того.

Заключение

Штатный Windows Firewall по умолчанию работает в таком режиме, что любая программа может начать отсылать данные, о чём пользователь даже не будет проинформирован. Это никто не скрывает, но не все об этом знают. Можно, конечно, поставить сторонний фаервол, но вполне достаточно перевести штатный Windows Firewall в режим «запрещено всё, что не разрешено». К сожалению, при этом поддержка сетевой работоспособности штатными средствами превращается в ад. Но сторонняя официально бесплатная программа Windows Firewall Control устраняет это неудобство.

Будете ли вы пользоваться связкой из штатного фаервола и этой программы, либо достанете сторонний фаервол, вопрос открытый. Но то, что использовать штатный фаервол в режиме по умолчанию несколько боязно, по-моему, не подлежит сомнению.

Читайте также: