Дана стаття описує принципи роботи брандмауера Windows (Windows Firewall), найбільш поширені проблеми, що виникають при його використанні, а також набір інструментів, що дозволяють усувати ці неполадки. Стаття адресована мережевим адміністраторам і досвідченим користувачам, знайомим з ОС Windows XP і протоколом TCP / IP.
Опис роботи брандмауера Windows
Брандмауер Windows - це брандмауер для вхідного трафіку, реєструючий стан зв`язку. На відміну від мережевих екранів на основі маршрутизаторів, що встановлюються між закритими мережами та Інтернетом, Брандмауер Windows працює в якості вузлового брандмауера, т. Е. Обробляє тільки трафік, спрямований на IP-адресу вашого комп`ютера.
Робота брандмауера заснована на виконанні наступної операції:
- Вхідний пакет перевіряється і порівнюється зі списком дозволеного трафіку. Якщо пакет відповідає одному з пунктів в списку, Брандмауер Windows дозволяє проходження цього пакета для подальшої обробки по протоколу TCP / IP. У разі невідповідності пакета записам у переліку дозволів, Брандмауер Windows без повідомлення користувача відкидає даний пакет, і, якщо включена реєстрація даного типу подій, створює запис у файлі журналу брандмауера Windows.
Трафік в списку винятків визначається за допомогою вказівки IP-адрес, TCP і UDP портів. Не можна задати правила для трафіку на підставі поля протоколу IP в заголовку IP.
Список дозволеного трафіку наповнюється двома шляхами:
- При проходженні вихідного пакета через підключення, захищене брандмауер Windows, створюється запис, роздільна відповідь на даний пакет. Відповідний трафік є запитуваною входять трафіком.
Наприклад, якщо на DNS-сервер надсилається запит на зіставлення імені (Name Query Request), Брандмауер Windows створює запис про те, що відповідне повідомлення-відповідь (Name Query Response), відправлене сервером DNS, може бути передано для подальшого опрацювання по протоколу TCP / IP. Таке функціонування дозволяє віднести Брандмауер Windows до брандмауерів, що реєструють стан зв`язку: зберігається інформація про трафік, ініційованому комп`ютером, так що передача у відповідь відповідного вхідний трафік дозволяється.
- Винятки для трафіку, що задаються брандмауер Windows, заносяться в список. Наявність цієї можливості дозволяє комп`ютеру, який працює в якості сервера, приймача або рівноправного вузла мережі і використовує Брандмауер Windows, приймати незапрошуваних трафік.
Наприклад, якщо комп`ютер виступає в ролі веб-сервера, Вам слід налаштувати Брандмауер Windows на виключення з фільтрації веб-трафіку, щоб комп`ютер міг відповідати на запити веб-клієнтів. Винятки можуть бути задані як для програм (в цьому випадку порти, що відкриваються зазначеною програмою, автоматично будуть додаватися до списку винятків), так і для TCP і UDP портів (які будуть відкриті незалежно від того, працюють використовують їх застосування та служби чи ні).
Відео: How to upgrade windows xp from SP2 to SP3! Very easy !!!
Найбільш поширені проблеми з брандмауера Windows
- При використанні брандмауера Windows найбільш часто зустрічаються такі проблеми:
- Неможливо налаштувати Брандмауер Windows
- При виконанні команди ping відсутня відгук з комп`ютера
- Ігровий, веб- чи іншої сервер не доступний з Інтернету
- Немає доступу до загальних папок і принтерів
- В папці Мережеве оточення не відображаються комп`ютери мережі.
- Чи не працює Віддалений помічник
Неможливо налаштувати Брандмауер Windows
Якщо всі налаштування на вкладках Загальні (General), Винятки (Exceptions) і Додатково (Advanced) у властивостях брандмауера виявляються недоступні (відображаються сірими), значить, Ви не є членом локальної групи Адміністратори (далі в цій статті - адміністратором комп`ютера). Налаштовувати Брандмауер Windows можна, тільки маючи права адміністратора.
Якщо недоступними є деякі з налаштувань на вкладках загальні, винятки і додатково у властивостях брандмауера, то Ваш комп`ютер або:
- Входить в мережу, адміністратор якої застосував групову політику брандмауера Windows для активації і настройки функцій брандмауера Windows. Групова політика брандмауера Windows впливає на налаштування, що задаються адміністратором комп`ютера. В цьому випадку у верхній частині діалогового вікна брандмауера Windows з`являється повідомлення «Для Вашої безпеки деякі настройки визначаються груповою політикою» (For your security, some settings are controlled by Group Policy).
Зверніться за додатковою інформацією до адміністратора мережі.
- Чи не входить в домен і працює під управлінням ОС Windows XP Professional, але функціонування брандмауера визначається локальної групової політикою.
Для скидання налаштувань локальної групової політики, що регулюють роботу брандмауера Windows, відкрийте оснащення Політика «Локальний комп`ютер» (Local Computer Policy) і встановіть всі значення в гілці Конфігурація комп`ютера Адміністративні шаблони Мережа Мережеві підключення Брандмауер Windows (Computer Configuration Administrative Templates Network Network Connections Windows Firewall) в папках Профіль домену (Domain Profile) і Стандартний профіль (Standard Profile) як Чи не задана (Not Configured).
Відсутність відгуку з комп`ютера при виконанні команди ping
Звичайним засобом для виправлення несправностей сполуками є використання процедури ping для перевірки каналу зв`язку до IP-адреси комп`ютера, з яким Ви встановлюєте з`єднання. Використовуючи команду ping, Ви надсилаєте луна-запит ICMP і отримуєте луна-відповідь ICMP. За замовчуванням Брандмауер Windows не приймає вхідні луна-запити ICMP, і комп`ютер не може відправити луна-відповідь ICMP. Щоб локально налаштувати Брандмауер Windows на прийом луна-запитів ICMP, Вам слід активувати налаштування Вирішувати запит входить луни (Allow incoming echo request) в діалоговому вікні Параметри ICMP (ICMP), доступному з налаштувань ICMP на вкладці Додатково (Advanced) діалогового вікна брандмауер Windows. Приклад показаний на малюнку.
Ви також можете дозволити прийом луна-запитів ICMP для конкретного підключення, перейшовши з вкладки Додатково (Advanced) в Свойствах (Properties) обраного підключення в діалогове вікно Брандмауер Windows (Windows Firewall) (Натиснувши кнопку Параметри (Settings) в розділі Брандмауер Windows (Windows Firewall)), А звідти - на вкладку додатково (Advanced) і в діалогове вікно Параметри ICMP (ICMP), натиснувши кнопку Параметри (Settings) в розділі Протокол ICMP (ICMP).
Якщо Ваш комп`ютер входить до домену, Ви також можете задати виключення для ICMP через настройку Груповий політики брандмауера Windows.
Примітка. Параметри брандмауера Windows можуть змінювати тільки адміністратори комп`ютера, якщо це не суперечить налаштувань групової політики для брандмауера Windows.
Якщо прийом луна-запитів ICMP дозволено, з Вашого комп`ютера можна буде отримати відгук за допомогою команди ping. Однак при цьому він стане вразливим для атак, заснованих на використанні луна-запитів ICMP. Тому рекомендується активувати настройку Вирішувати запит входить луни (Allow incoming echo request), тільки коли в цьому є необхідність, і вимикати її, якщо вона не потрібна.
Ігровий, веб- чи іншої сервер не доступний з Інтернету
Якщо додаток або служба знаходиться в стані очікування незапрошуваних вхідного трафіку (наприклад, на сервері, приймачі або рівноправному вузлі мережі), Брандмауер Windows з настройками за замовчуванням буде відхиляти такий трафік, поки не будуть задані відповідні винятки. Винятки для додатків, які очікують незапрошуваних трафік, задаються наступними способами:
- Активацією встановлених винятків на вкладці Винятки (Exceptions) діалогового вікна Брандмауер Windows (Windows Firewall). До встановленим виключень належать Загальний доступ до файлів і принтерів, Віддалений помічник, Дистанційне керування робочим столом і UpnP-інфраструктура.
- Вручну з вкладки Винятки (Exceptions) діалогового вікна Брандмауер Windows (Windows Firewall).
- При запитах на створення винятків від додатків, що використовують виклики функцій API (application programming interface, інтерфейсу програмування додатків) Брандмауера Windows. Щоб виключення були створені, необхідно, щоб додаток запускав адміністратор комп`ютера.
Якщо програма не використовує виклики API брандмауера Windows і при роботі намагається прослуховувати TCP або UDP порти, Брандмауер Windows за допомогою діалогового вікна Попередження системи безпеки Windows (Windows Security Alert) запрошувати обліковим записом адміністратора, чи слід додати додаток до списку виключень на вкладці Винятки (Exceptions) діалогового вікна Брандмауер Windows (Windows Firewall), при цьому заблокувавши трафік для всіх користувачів (опція Блокувати (Keep blocking)), Або додати додаток до списку виключень і дозволити його трафік для всіх користувачів (опція Розблокувати (Unblock)), Або заблокувати незапрошуваних трафік в цей раз і повторити запит при наступному запуску програми (опція Відкласти (Ask Me Later)).
Щоб дізнатися шлях до програми, що відображається в діалоговому вікні Попередження системи безпеки Windows (Windows Security Alert), наведіть курсор миші на назву або опис програми. Шлях буде показаний в з`явилася підказкою.
Якщо користувач не має прав адміністратора комп`ютера, в діалоговому вікні Попередження системи безпеки Windows (Windows Security Alert) відобразиться повідомлення про те, що трафік блокується, і буде запропоновано звернутися за подальшою інформацією до адміністратора мережі.
Робота брандмауера Windows зі службами не налаштовується через діалогове вікно Попередження системи безпеки Windows (Windows Security Alert). Тому Вам слід задати виключення для служб вручну:
- За допомогою команд контексту netsh firewall.
- Через установки групової політики для брандмауера Windows.
Задати виключення вручну можна або за допомогою імен додатків, що дозволяє брандмауер Windows автоматично відкривати і закривати всі порти, необхідні службі або програмі, або шляхом визначення TCP і UDP портів, які будуть відкриті незалежно від того, працюють використовують їх застосування чи ні. З точки зору безпеки і простоти налаштування, установка винятків по іменах програм є кращим методом в порівнянні з зазначенням відкритих портів.
Щоб вручну задати виключення для програм, зробіть наступне:
- Натисніть кнопку Пуск (Start), перейдіть в Панель управління (Control Center), потім в Центр забезпечення безпеки (Security Center) і виберіть Брандмауер Windows (Windows Firewall).
- Перейдіть на вкладку Винятки (Exceptions).
- натисніть Додати програму (Add Program) і виберіть програму (додаток або службу) зі списку або за допомогою кнопки огляд (Browse). Якщо потрібно, задайте область значень.
- натисніть ОК для підтвердження заданих винятків.
Відео: Що робити якщо не запускається брандмауер Windows
Щоб вручну задати виключення для портів, зробіть наступне:
- Натисніть кнопку Пуск (Start), перейдіть в Панель Управління (Control Panel), потім в Центр забезпечення безпеки (Security Center) і виберіть Брандмауер Windows (Windows Firewall).
- Перейдіть на вкладку Винятки (Exceptions).
- натисніть Додати порт (Add Port), задайте ім`я та номер TCP або UDP портів і, якщо буде потрібно, область значень.
- натисніть ОК для підтвердження заданих винятків.
Примітка. Задавати виключення на основі IP-протоколу не можна.
Щоб визначити, для яких портів необхідно ставити виключення, зверніться до документації програми або на сайт її виробника за інформацією про налаштування брандмауерів для вирішення необхідного трафіку. Якщо Вам не вдається визначити трафік, який використовується програмою, або програма не працює після завдання винятків, дивіться розділ «Загальні методи визначення та налаштування виключень»В даній статті.
Застосування виключень для TCP і UDP портів ефективно тільки при роботі з програмами, які використовують статичні порти. Такі програми працюють з постійними, які не змінюються наборами портів. Однак деякі програми використовують динамічні порти, мінливі при кожному запуску програми або в процесі її роботи. Додаток, що приймає трафік через динамічні порти, слід вносити в список виключень для програм, а не портів.
Немає доступу до загальних папок і принтерів
Якщо на комп`ютері з працюючим брандмауер Windows немає доступу до загальних файлів або принтерів, Вам слід активувати встановлене виключення для Загального доступу до файлів і принтерів (File and Printer Sharing) на вкладці Винятки (Exceptions) діалогового вікна брандмауер Windows (Windows Firewall).
Примітка. На комп`ютерах, що мають пряме з`єднання з Інтернетом (на керованих комп`ютерах в Стандартному профілі), активація виключення для Загального доступу до файлів і принтерів (File and Printer Sharing) категорично не рекомендується, так як в цьому випадку зловмисні користувачі можуть спробувати отримати доступ до загальних файлів і загрожувати безпеці Ваших даних. У малих домашніх і офісних (SOHO) мережах з єдиною підмережею застосовуйте виняток для Загального доступу до файлів і принтерів тільки для прямих підключень до підмережі SOHO і для області локальної підмережі (опція Тільки локальна мережа (підмережа) (My network (subnet) only) в діалоговому вікні Зміна області (Change Scope)).
Не вдалося визначити управляти віддаленим комп`ютером, на якому працює Брандмауер Windows
Якщо Вам не вдається здійснювати віддалене управління комп`ютером, на якому працює Брандмауер Windows, Вам слід активувати встановлене виключення для Віддаленого Помічника (Remote Assistance) на вкладці Винятки (Exceptions) діалогового вікна Брандмауер Windows (Windows Firewall).
Примітка. Активація виключення для Віддаленого Помічника (Remote Assistance) на комп`ютерах, безпосередньо підключених до Інтернету (на керованих комп`ютерах в Стандартному профілі), вкрай небажана, тому що в цьому випадку зловмисні користувачі можуть спробувати віддалено контролювати Ваш комп`ютер. У малих домашніх і офісних (SOHO) мережах з єдиною підмережею застосовуйте виняток для віддаленого помічника (Remote Assistance) тільки для прямих підключень до підмережі SOHO і для області локальної підмережі (опція Тільки локальна мережа (підмережа) (My network (subnet) only)) В діалоговому вікні Зміна області (Change Scope)).
В папці Мережеве оточення не відображаються комп`ютери мережі
Відео: Налаштування брандмауера Windows
Причина проблеми тут та сама, що і при відсутності доступу до загальних папок і принтерів. Якщо у вікні мережеве оточення після включення брандмауера Windows невидимі комп`ютери Вашої приватної мережі, Вам слід активувати встановлене виключення для Загального доступу до файлів і принтерів (File and Printer Sharing) на вкладці Винятки (Exceptions) у властивостях брандмауера Windows.
Примітка. Активація виключення для Загального доступу до файлів і принтерів (File and Printer Sharing) на комп`ютерах, що мають пряме з`єднання з Інтернетом, категорично не рекомендується, так як в цьому випадку зловмисні користувачі можуть спробувати отримати доступ до загальних файлів і загрожувати безпеці Ваших даних. У малих домашніх і офісних (SOHO) мережах з єдиною підмережею застосовуйте виняток для Загального доступу до файлів і принтерів тільки для прямих підключень до підмережі SOHO і для області локальної підмережі (опція Тільки локальна мережа (підмережа) (My network (subnet) only)) В діалоговому вікні Зміна області (Change Scope)).
Ази windows firewall
Працюємо c "віддаленим помічником" windows xp
Реалізація спільного доступу в windows xp з правами адміністратора
Виправляємо помилку 0x80070422 на windows 7, 10
Відключити брандмауер windows 7
Віддалене управління windows xp
Вбудовані системні інструменти windows 8
Брандмауер windows vista
Налаштування віддаленого доступу до файлів і папок в windows xp
Включення і відключення брандмауера windows
Як в windows 10 внести програму в список виключень брандмауера
Створення ярлика для включення і відключення брандмауера windows vista
Погляд на брандмауер windows vista від winline.ru
Усунення помилки при встановленні з`єднання з сервером skype
Як ноутбук підключити до комп`ютера
Як відключити брандмауер?
Що робити, якщо не запускається веб-браузер гугл хром
Як в брандмауері додати в виключення
Відкриття портів в брандмауері і роутере
Налагодження та відключення файрвола