Брандмауер Windows 7 в режимі підвищеної безпеки. Частина 4, Windows, Операційні системи, статті

У цій частині статті буде докладно розказано про роботу з контекстом Netsh Advfirewall Firewall. Цей контекст призначений для створення правил вхідних і вихідних підключень і еквівалентний вузлам “Правила для вхідних підключень” і “Правила для вихідних підключень” оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Незважаючи на зовнішню схожість, цей контекст сильно відрізняється від Netsh firewall. Контекст Netsh firewall призначений для забезпечення сумісності з Windows XP і Windows Server 2003, але не підтримує функціоналу брандмауера Windows в режимі підвищеної безпеки. Створені правила можна експортувати та застосовувати на інших комп’ютерах. Контекст Netsh advfirewall Firewall підтримує чотири команди, які описані в наступних розділах.




Add


Подібно контексту Netsh Advfirewall Consec, Команда Add також призначена тільки для створення правил вхідних і вихідних підключень, використовуючи команду Add rule. За допомогою цих правил можна створювати виключення для вхідного або вихідного трафіку, щоб явно дозволити або заборонити підключення через брандмауер Windows. Синтаксис команди наступний:


Netsh Advfirewall Firewall Add rule name = ІмяПравіла


де:


name = ІмяПравіла. За допомогою цього параметра ви можете вказати ім’я нового правила для вхідного або вихідного підключення. Ім’я правила повинно бути унікальним і не може мати значення “all”.


dir = { in / out }. За допомогою цього параметра ви можете вказати, чи буде правило створюватися для вхідного або вихідного трафіку. У цього параметра може бути тільки два значення:



action = { allow / block / bypass }. За допомогою цього параметра можна вказати дію, яка буде виконувати мережевий фільтр з пакетами, які вказані в поточному правилі. Цей параметр еквівалентний сторінці “Дії” майстра створення правила нового вхідного (вихідного) підключення оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Для цього параметра існують три параметри:



program = ПутьКПрограммеІмяПроцесса. При виборі цього параметра будуть перевірятися мережеві пакети, що посилаються і прийняті будь-якою програмою, що виконується на локальному комп’ютері. При виборі програми потрібно вести себе обережно. Наприклад, застосування правила до такого процесу як Svchost.exe, дія брандмауера Windows в режимі підвищеної безпеки може призвести до непередбачуваних дій.


service = {КороткоеІмяСлужби / any}. За допомогою цього параметра можна вказати службу, до якої застосовуватиметься правило. Короткі імена правил можна побачити у властивостях зазначеної служби оснастки “Служби”. Якщо service = any, правило діє тільки для служб.


description = Опис правила. За допомогою цього параметра ви можете вказати докладний опис для створеного правила.


enable = { yes /no }. За допомогою цього параметра можна вказати, чи повинно бути включено правило після його створення. Значення за замовчуванням – yes.


profile = { public / private / domain / any / [ ,… ] }. За допомогою цього параметра ви можете вказати профілі, на які буде поширюватися поточне правило. Правило буде застосовуватися тільки в тому випадку, якщо зазначений в правилі профіль буде активним. Профіль домену застосовується до мережі, якщо для домену, в який входить локальний комп’ютер, виявлений контролер домена. Приватний профіль застосовується до мережі, якщо вона позначена адміністратором комп’ютера як приватна і не є доменної мережею. Загальний профіль застосовується до мережі в тому випадку, якщо комп’ютер безпосередньо підключений до публічної мережі, наприклад в аеропорту чи кафе.


localip = {Адреси}. Цей параметр використовується для вказівки локальних і віддалених IP-адрес, мережевий трафік яких задовольняє даному правилу. Якщо ваш комп’ютер вказаний в списку локальних IP-адрес, то весь мережевий трафік, що входить або виходить від будь-якого з віддалених IP-адрес, задовольняє даному правилу. Цей параметр еквівалентний сторінці “Область” майстра створення правила нового вхідного (вихідного) підключення оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Доступні параметри:



remoteip = {Адреси}. За допомогою цього параметра ви можете вказати видалені IPv4-або IPv6-адреси, до яких застосовується дане правило. Мережевий трафік задовольняє правилу, якщо IP-адреса призначення є одним з адрес в списку. Для цього параметра доступні наступні значення:



localport = {any / Ціле число / rpc / rpc-epmap / iphttps / teredo / [, … ]}. За допомогою цього параметра вказується, які порти в мережевому пакеті відповідають даному правилу брандмауера. Відповідати правилом буде тільки той мережевий трафік, який відповідає умовам, заданим на цій сторінці, і до нього буде застосовано дію. Доступні такі значення:



remoteport = { any / Integer / [ ,… ] }. За допомогою цього параметра вказується, які віддалені порти в мережевому пакеті, задовольняють даному правилу брандмауера. Для цього параметра з значень доступні тільки цілі числа і any.


protocol = {any / Integer / icmpv4 / icmpv6 / icmpv4: тип, код / ​​icmpv6: тип, код / ​​tcp / udp}. За допомогою цього параметра задаються відомості про те, які протоколи, які вказуються в мережевому пакеті, задовольняють даному правилу брандмауера. Цей параметр еквівалентний сторінці “Протокол і порти” майстра створення правила нового вхідного (вихідного) підключення оснастки “Брандмауер Windows в режимі підвищеної безпеки”. Для цього параметра доступні наступні значення:



interfacetype = { any / wireless / lan / ras }. За допомогою цього параметра ви можете вказати, що з урахуванням вимог поточного правила, мережеві підключення встановлюються тільки засобами обраних інтерфейсів. Для цього параметра існує чотири значення:



rmtcomputergrp = SDDLСтрока. За допомогою цього параметра ви можете задати комп’ютери або групи комп’ютерів, які можуть з’єднуватися з локальним комп’ютером. Для правил вихідних підключень ці параметри дозволяють задати комп’ютери або групи комп’ютерів, з якими може з’єднуватися локальний комп’ютер. У тому випадку, якщо цей параметр вказаний в рядку команди, значенням параметра security має бути або authenticate, Або authenc. Якщо в параметрі action вказано значення bypass, То список комп’ютерів або груп комп’ютерів повинен бути зазначений в поточному параметрі.


rmtusrgrp = SDDLСтрока. За допомогою цього параметра ви можете визначити, які користувачі або групи користувачів можуть з’єднуватися з локальним комп’ютером. У тому випадку, якщо цей параметр вказаний в рядку команди, значенням параметра security має бути або authenticate, Або authenc. Якщо в параметрі action вказано значення bypass, То список облікових записів або груп облікових записів повинен бути зазначений в поточному параметрі


edge = { yes / deferapp / deferuser / no }. За допомогою цього параметра ви можете вказати, що трафік, який проходить через edge пристрій, як Network Address Translation (NAT) і дозволяється маршрутизатора, між локальним і віддаленим комп’ютерами. Параметр edge можна вказувати тільки для правил вхідного трафіку. Якщо значенням даного параметра встановлено deferapp або deferuser, То Windows дозволяє додатком або користувачеві отримувати входить небажаний трафік додатків від edge пристрою.


security = { authenticate / authenc / authdynenc / authnoencap / notrequired }. За допомогою цього параметра ви можете вказати налаштування безпеки для IPSec підключення. Для цього параметра є п’ять значень:



Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*