Брандмауер Windows 7 в режимі підвищеної безпеки. Частина 2, Windows, Операційні системи, статті

Контекст Netsh AdvFirewall використовується в командному рядку із підвищеними правами. Для використання цього контексту, в командному рядку введіть netsh і натисніть на клавішу Enter, Після чого введіть advfirewall і натисніть на клавішу Enter. Команди всіх контекстів можуть бути використані для зміни політик брандмауера Windows і IPSec в різних місцях зберігання, такі як локальні сховища політик, а також об’єкти групових політик, розташованих в Active Directory. Контекст Netsh AdvFirewall підтримує команди:



Dump


Ця команда створює сценарій, який містить поточну конфігурацію. Якщо зберегти його у файлі, то такий сценарій може бути використаний для відновлення змінених параметрів. Ця команда Netsh доступна для декількох контекстів, але вона не реалізована в контексті Netsh advfirewall або в будь-якому його подконтексте. Коли команда dump використовується в кореневому контексті, в даних виводу команди не виводиться ніякої конфігураційної інформації брандмауера Windows або IPSec.


Export


Ця команда експортує конфігураційні дані поточної політики брандмауера Windows в режимі підвищеної безпеки в окремий файл. Цей файл може використовуватися командою import для відновлення конфігурації брандмауера Windows в режимі підвищеної безпеки на поточному або іншому комп’ютері. Брандмауер Windows в режимі підвищеної безпеки, на якому виконується команда експорту, визначається командою set store. Дана команда еквівалентна команді “Політика експорту” в оснащенні “Брандмауер Windows в режимі підвищеної безпеки”. Синтаксис команди наступний:


Export [Path] Ім’я_файлу


Параметр Path задає шлях до файлу та його ім’я, в якому буде записана конфігурація брандмауера Windows в режимі підвищеної безпеки. У тому випадку, якщо в дорозі файлу, або його імені присутні прогалини, весь шлях необхідно взяти в лапки. Якщо ви вказуєте тільки ім’я файлу, то він буде збережений в цій папці. Розширення файлу повинно бути *. Wfw. Приклад використання:

Export c:configadvfirewall_config.wfw


Import


Ця команда імпортує конфігураційні дані брандмауера Windows в режимі підвищеної безпеки з збереженого заздалегідь файлу, який створюється командою export. Дана команда еквівалентна команді “Імпортувати політику” в оснащенні “Брандмауер Windows в режимі підвищеної безпеки”. При виконанні команди імпорту, поточна політика перезаписується без попередження. У кожної експортованої політики для різних операційних систем є свій номер версії. Причому, якщо імпортувати політику на більш ранню версію Windows, то будуть імпортуватися тільки ті настройки, які підтримує дана операційна система. Синтаксис команди наступний:


Import [Path] Ім’я_файлу


Параметр Path задає шлях до файлу, в який раніше експортувалася конфігурація брандмауера Windows в режимі підвищеної безпеки. У тому випадку, якщо в шляху до файлу, або його імені присутні прогалини, весь шлях необхідно взяти в лапки. Якщо ви вказуєте тільки ім’я файлу, то утиліта netsh буде його шукати в цій папці. Розширення файлу повинно бути *. Wfw. Приклад використання:

Import c:configadvfirewall_config.wfw

Reset


Ця команда відновлює всі налаштування і правила брандмауера Windows в режимі підвищеної безпеки в стан за замовчуванням. Перед виконанням цієї команди рекомендується скористатися командою export. Дана команда еквівалентна команді “Відновити політику за замовчуванням” в оснащенні “Брандмауер Windows в режимі підвищеної безпеки”. У тому випадку, якщо дана команда виконується на поточному локальному комп’ютері, то зміни вступлять в силу моментально. Якщо ваш комп’ютер налаштований за допомогою групових політик, то скинуться настройки для всіх політик, стан яких “Не задано”. Якщо до політики застосовується правило групової політики, то команді reset не вийде скинути параметри для цієї політики. Синтаксис команди наступний:


Reset [Export [Path] Ім’я_файлу]


Причому, якщо вказати команду export, То перед тим як команда відновить політики, створені за замовчуванням, поточна конфігурація буде збережена у файл. Приклад використання:

Reset Export c:configadvfirewall.wfw


Set


Ця команда дозволяє настроїти як глобальні параметри, так і параметри окремих профілів брандмауера Windows в режимі підвищеної безпеки. За допомогою команди set можна скористатися наступним функціоналом:



Розглянемо кожне розширення команди:


set {ProfileType}


Ця команда налаштовує профіль, який пов’язаний з розташуванням мережі. В операційних системах Windows Vista і Windows Server 2008 якщо комп’ютер був підключений одночасно до декількох мереж, брандмауер Windows в режимі підвищеної безпеки до всіх мереж застосовував найсуворіший профіль. В операційних системах Windows 7 і Windows Server 2008 R2 можна настроювати і одночасно використовувати декілька профілів в тому випадку, якщо ви підключені до декількох мереж. Для того щоб переглянути, які у вас на комп’ютері існують профілі, скористайтеся командою netsh advfirewall show currentprofile, Яка буде детально описана трохи нижче. Команда set {ProfileType} еквівалентна налаштувань вкладок “Профіль домену”, “Загальний профіль” і “Приватний профіль” діалогу властивостей оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Синтаксис команди наступний:


Set ПараметрПрофіля Значення


Доступні параметри типів профілів:



У параметра set {ProfileType} існують чотири додаткові параметри:


State


Команда Set {ProfileType} state налаштовує загальний стан брандмауера Windows в режимі підвищеної безпеки. Після установки або оновлення операційної системи не нижче Windows Vista, стан за замовчуванням для всіх профілів на комп’ютерах включено. Для комп’ютерів, які були оновлені з більш старої версії Windows, стан брандмауера Windows в режимі підвищеної безпеки зберігається зі стану брандмауера Windows попередньої системи. Якщо при оновленні системи брандмауер Windows був включений, то по завершенню поновлення, він буде включений для всіх профілів. А в тому випадку, якщо при оновленні системи брандмауер Windows був відключений, то по завершенню поновлення, він буде відключений для всіх доступних профілів. Синтаксис команди наступний:


Set ТіпПровіля state {on / off / notconfigured}


Параметр on включає брандмауер Windows в режимі підвищеної безпеки для зазначеного профілю.


Параметр off відключає брандмауер Windows в режимі підвищеної безпеки для зазначеного профілю.


Значення параметра notconfigured дійсна тільки для сховища групової політики. Після застосування цього значення, стан активної політики переводиться в стан “Не задано”.


Приклад використання для включення брандмауера Windows в режимі підвищеної безпеки для всіх профілів:

set allprofiles state on




Firewallpolicy


Команда set {ProfileType} firewallpolicy налаштовує дії брандмауера для вхідного і вихідного трафіку за замовчуванням, а також забезпечує фільтрацію, яка використовується, коли трафік не відповідає правилам в даний час. Синтаксис команди наступний:


Set ТіпПрофіля firewallpolicy ВходящійТрафік, Вихідний трафік


Доступні значення для вхідного трафіку:



Доступні значення для вихідного трафіку:




Вказівка ​​закінчення сесії після чотирьох годин або 1000 сесій:

set global mainmode mmkeylifetime 240min,1000sess

Зміна схеми основного режиму IPSec:

set global mainmode mmsecmethods dhgroup2:des-md5,3des-sha1

Set store


За допомогою цієї команди можна змінювати сховище наступних налаштувань для команд Netsh advfirewall. В якості сховища політики, ця команда задає об’єкт групової політики (GPO), який визначається ім’ям комп’ютера, ім’ям домену та іменем об’єкта GPO, унікальним ідентифікатором GPO або локальним сховищем політик. Зазвичай при першому запуску команди Netsh, За замовчуванням ви працюєте з локальним сховищем політик (set store = local). Синтаксис команди наступний:


set store {local / gpo = ІмяКомпьютера / gpo = localhost / gpo = domainGPOName / gpo = domainGPOUniqueID}


Доступні параметри:


gpo = ComputerName – За допомогою цього параметра ви можете вказати, що всі наступні зміни для команд будуть застосовуватися до того комп’ютера, який вказаний в об’єкті групової політики. Локальні GPO та локальні політики безпеки розташовані в різних сховищах. На відміну від політик безпеки, локальні GPO зберігаються не в Active Directory, а тільки на локальному комп’ютері.


gpo = localhost – За допомогою цього параметра ви можете вказати зміни, які будуть застосовуватися до спеціальних об’єктах групових політик на локальному комп’ютері. Для застосування ідентичних налаштувань на інших комп’ютерах, після настройки поточних параметрів, їх можна експортувати за допомогою команди export, про яку розповідалося вище.


gpo = Domain GPOName – За допомогою цього параметра ви можете вказати зміни, які будуть застосовуватися для об’єктів групової політики, які зберігаються в домені. Причому, ім’я домену має бути зазначено у формі повного доменного імені (FQDN).


gpo = domain GPOUniqueID – За допомогою цього параметра ви можете вказати зміни, які будуть застосовуватися для об’єктів групової політики, які зберігаються в домені і ідентифікуються по GUID.


Приклад використання:

set store gpo=dc.domain.commarketing

Show


Ця команда дозволяє відображати параметри, які застосовуються до конфігураційним профілями або глобально до брандмауеру Windows в режимі підвищеної безпеки. За допомогою команди show можна користуватися наступним функціоналом:



Розглянемо кожне розширення команди.


Show {ProfileType}


Ця команда дозволяє відобразити профіль, який пов’язаний з розташуванням мережі. Команда show {ProfileType} еквівалентна інформації, яка відображається у вкладках “Профіль домену”, “Загальний профіль” і “Приватний профіль” діалогу властивостей оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Синтаксис команди наступний:


Show ІмяПрофіля Параметр


Де:


Імена профілів: allprofiles, currentprofile, domainprofile, privateprofile, publicprofile


Доступні параметри: state, firewallpolicy, settings, logging.


Кожен параметр докладно описаний в розділі set {ProfileType}.


Далі наводиться приклад, де при виведенні команди відобразяться параметри журналювання для активного профілю:

show currentprofile logging


Show Global


Ця команда дозволяє відобразити значення глобальних властивостей брандмауера Windows в режимі підвищеної безпеки. Якщо для команди не задаються параметри, то відображається вся доступна інформація. Синтаксис команди наступний:


show global [ { ipsec / mainmode / statefulftp } ]


Де параметрами можуть бути ipsec (Відображає спеціальні параметри IPSec), mainmode (Відображає параметри основного режиму) або statefulftp (Відображає підтримку FTP з відстеженням стану), які були описані в розділі Set global.


Далі наводиться приклад, де при виведенні команди відобразяться параметри основного режиму:

Show global mainmode


Show store


Ця команда відображає поточний сховище політики для netsh advfirewall. У зв’язку з тим, що сховище політики може бути єдиним на комп’ютері, для цієї команди не існує параметрів.


Приклад використання:

Show store

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*