Поделиться через

Обзор брандмауэра Windows

Брандмауэр Windows — это функция безопасности, которая помогает защитить устройство, фильтруя сетевой трафик, который входит в устройство и выходит из нее. Этот трафик можно отфильтровать на основе нескольких критериев, включая IP-адрес источника и назначения, IP-протокол или номер порта источника и назначения. Брандмауэр Windows можно настроить для блокировки или разрешения сетевого трафика на основе служб и приложений, установленных на вашем устройстве. Это позволяет ограничить сетевой трафик только теми приложениями и службами, которым явно разрешено взаимодействовать в сети.

Брандмауэр Windows — это брандмауэр на основе узла, который входит в состав операционной системы и включен по умолчанию во всех выпусках Windows.

Брандмауэр Windows поддерживает протокол IPsec, который можно использовать для проверки подлинности с любого устройства, которое пытается связаться с вашим устройством. Если требуется проверка подлинности, устройства, которые не могут пройти проверку подлинности как доверенное устройство , не могут взаимодействовать с вашим устройством. IPsec можно использовать, чтобы требовать, чтобы определенный сетевой трафик был зашифрован, чтобы предотвратить его чтение анализаторами сетевых пакетов, которые могут быть подключены к сети злоумышленником.

Брандмауэр Windows также работает с сведениями о сетевом расположении , что позволяет применять параметры безопасности, соответствующие типам сетей, к которым подключено устройство. Например, брандмауэр Windows может применять профиль общедоступной сети , когда устройство подключено к интернету кафе, и профиль частной сети , когда устройство подключено к домашней сети. Это позволяет применять более строгие параметры к общедоступным сетям, чтобы обеспечить безопасность устройства.

Снимок экрана: приложение Безопасность Windows.

Практическое применение

Брандмауэр Windows предлагает несколько преимуществ для решения проблем безопасности сети в организации:

  • Снижение риска угроз сетевой безопасности. За счет уменьшения уязвимой области устройства брандмауэр Windows обеспечивает дополнительный уровень защиты для модели глубокой защиты. Это повышает управляемость и снижает вероятность успешной атаки.
  • Защита конфиденциальных данных и интеллектуальной собственности. Брандмауэр Windows интегрируется с IPsec, чтобы обеспечить простой способ обеспечения сквозной сетевой связи с проверкой подлинности. Это обеспечивает масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и при необходимости защитить конфиденциальность данных.
  • Расширенная ценность существующих инвестиций. Брандмауэр Windows — это брандмауэр на основе узла, включенный в операционную систему, поэтому дополнительное оборудование или программное обеспечение не требуется. Он также предназначен для дополнения существующих решений безопасности сети сторонних разработчиков с помощью документированного API.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие брандмауэр Windows.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии брандмауэра Windows предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Основные понятия

По умолчанию брандмауэр Windows выполняет следующие действия:

  • блокировать весь входящий трафик, если не запрашивается или не соответствует правилу
  • разрешить весь исходящий трафик, если только не соответствует правилу

Правила брандмауэра

Правила брандмауэра определяют разрешенный или заблокированный сетевой трафик, а также условия для этого. Правила предлагают широкий выбор условий для определения трафика, в том числе:

  • Имя приложения, службы или программы
  • IP-адреса источника и назначения
  • Может использовать динамические значения, такие как шлюз по умолчанию, DHCP-серверы, DNS-серверы и локальные подсети.
  • Имя или тип протокола. Для протоколов транспортного уровня, TCP и UDP можно указать порты или диапазоны портов. Для пользовательских протоколов можно использовать число от 0 до 255, представляющее протокол IP.
  • Тип интерфейса
  • Тип и код трафика ICMP/ICMPv6

Профили брандмауэра

Брандмауэр Windows предлагает три сетевых профиля: доменный, частный и общедоступный. Профили сети используются для назначения правил. Например, можно разрешить определенному приложению взаимодействовать в частной сети, но не в общедоступной сети.

Сеть домена

Профиль сети домена автоматически применяется к устройству, присоединенное к домену Active Directory, при обнаружении доступности контроллера домена. Этот профиль сети нельзя задать вручную.

Совет

Другим вариантом обнаружения сети домена является настройка параметров политики в поставщике CSP политики NetworkListManager, который также применяется к Microsoft Entra присоединенным устройствам.

Частная сеть

Профиль частной сети предназначен для частных сетей, таких как домашняя сеть. Администратор может задать его вручную в сетевом интерфейсе.

Общедоступная сеть

Профиль общедоступной сети разработан с учетом более высокого уровня безопасности для общедоступных сетей, таких как Wi-Fi горячие точки, кафе, аэропорты, отели и т. д. Это профиль по умолчанию для неопознанных сетей.

Совет

Используйте командлет Get-NetConnectionProfile PowerShell для получения активной категории сети (NetworkCategory). Используйте командлет Set-NetConnectionProfile PowerShell для переключения категории между частными и общедоступными.

Отключение брандмауэра Windows

Корпорация Майкрософт рекомендует не отключать брандмауэр Windows из-за потери других преимуществ, таких как возможность использования правил безопасности подключений по протоколу IPsec, защита сети от атак, использующих отпечаток сети, усиление защиты служб Windows и фильтры времени загрузки. Программное обеспечение брандмауэра сторонних разработчиков может программно отключить только те типы правил брандмауэра Windows, которые необходимо отключить для совместимости. Для этой цели не следует самостоятельно отключать брандмауэр. Если требуется отключить брандмауэр Windows, не отключайте его, останавливая службу брандмауэра Windows (в оснастке Службы отображаемое имя — Брандмауэр Защитника Windows, а имя службы — MpsSvc). Остановка службы брандмауэра Windows не поддерживается корпорацией Майкрософт и может вызвать проблемы, в том числе:

  • Меню "Пуск" может перестать работать
  • Современные приложения могут не устанавливаться или обновляться
  • Сбой активации Windows через телефон
  • Несовместимость приложений или ОС, зависящее от брандмауэра Windows

Чтобы отключить брандмауэр Windows, следует отключить профили брандмауэра Windows и оставить службу запущенной. Подробные инструкции см. в статье Управление брандмауэром Windows с помощью командной строки .

Дальнейшие действия

Узнайте о правилах брандмауэра Windows и рекомендациях по проектированию:

Правила брандмауэра Windows >

Предоставление отзывов

Чтобы предоставить отзыв о брандмауэре Windows, откройте Центр отзывов (WIN+F) и используйте категорию Безопасность и защита сети конфиденциальности>.