 |
Примеры правил брандмауэра Windows 7
|
|
|
|
По сравнению с предыдущими версиями Windows синтаксис правил стал немного сложнее, но и возможности брандмауэра значительно расширились.
Краткий список возможных параметров правил:
add rule name=<строка>
dir=in|out
action=allow|block|bypass
[program=<путь к программе>]
[service=<краткое имя службы>|any]
[description=<строка>]
[enable=yes|no (по умолчанию - yes)]
[profile=public|private|domain|any[,...]]
[localip=any<подсеть>|<диапазон>|<список>]
[remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway| ||<подсеть>|<диапазон>|<список>]
[localport=0-65535||<диапазон портов>[,...]|RPC|RPC-EPMap|IPHTTPS|any (по умолчанию - any)]
[remoteport=0-65535|<диапазон портов>[,...]|any (по умолчанию - any)]
[protocol=0-255|icmpv4|icmpv6|icmpv4:тип,код|icmpv6:тип,код| tcp|udp|any (по умолчанию - any)]
[interfacetype=wireless|lan|ras|any]
[rmtcomputergrp=<строка SDDL>]
[rmtusrgrp=<строка SDDL>]
[edge=yes|deferapp|deferuser|no (по умолчанию - no)]
[security=authenticate|authenc|authdynenc|authnoencap|notrequired (по умолчанию - notrequired)]
Некоторые правила применения параметров:
Параметры могут следовать в произвольном порядке - dir=in action=allow и action=allow dir=in являются допустимыми значениями.
Если указана удаленная группа пользователей или компьютеров, для параметра security необходимо установить значение authenticate, authenc, authdynenc или authnoencap.
Установка authdynenc в качестве значения параметра security позволяет системам динамически согласовывать использование шифрования трафика, соответствующего данному правилу брандмауэра Windows. Шифрование согласуется в соответствии со свойствами существующего правила безопасности соединения. Этот параметр позволяет компьютеру принять первый пакет TCP или UDP входящего соединения IPsec, при условии, что он защищен, но не зашифрован, с помощью IPsec. Как только первый пакет будет обработан, сервер повторно согласует соединение и обновит его, чтобы все последующие соединения были полностью зашифрованы.
|
|
|
Если action=bypass, должна быть указана группа удаленных компьютеров, если dir=in.
Короткое имя службы можно посмотреть в ее свойствах, в поле Имя службы. Так, для службы "DNS-клиент" короткое имя - Dnscache. Если service=any, правило действует только для служб.
Значением кода или типа ICMP может быть any - любой ICMP трафик.
Параметр edge можно указывать только для правил входящего трафика (dir=in).
AuthEnc и authnoencap нельзя использовать вместе. Если задан параметр authnoencap, то параметр security=authenticate задавать необязательно.
Параметр Authdynenc допустим только в том случае, если значение dir равно in.
Примеры:
Добавление правила для входящего трафика для программы qip.exe:
netsh advfirewall firewall add rule name="allow QIP" dir=in program="c:\programfiles\qip\qip.exe" action=allow
Добавление правила, запрещающего исходящий трафик для TCP порта 80:
netsh advfirewall firewall add rule name="allow80" protocol=TCP dir=out localport=80 action=block
Добавление правила входящего трафика с требованием безопасности и шифрования для трафика через TCP-порт 80:
netsh advfirewall firewall add rule name="Require Encryption for Inbound TCP/80" protocol=TCP dir=in localport=80 security=authdynenc action=allow
Добавление правила входящего трафика для messenger.exe с требованием безопасности:
netsh advfirewall firewall add rule name="allow messenger" dir=in program="c:\program files\messenger\msmsgs.exe" security=authenticate action=allow
Добавление правила обхода брандмауэра с проверкой подлинности для группы acmedomain\scanners, определяемой строкой SDDL:
netsh advfirewall firewall add rule name="allow scanners" dir=in rmtcomputergrp=<строка SDDL> action=bypass security=authenticate
Добавление правила разрешения исходящего трафика для локальных портов 5000-5010 для udp:
netsh advfirewall firewall add rule name="Allow port range" dir=out protocol=udp localport=5000-5010 action=allow
Для просмотра всех правил брандмауэра используется команда:
netsh advfirewall firewall show rule name=all
|
|
|
netsh advfirewall firewall show rule name=all | more - с выдачей результатов на экран в постраничном режиме
netsh advfirewall firewall show rule name=all > C:\firewallrues.txt - с выдачей результатов в файл
Для просмотра конкретного правила указывается его имя. Для удаления правила используется параметр delete:
netsh advfirewall firewall show rule name=TEST просмотр правила с именем TEST
netsh advfirewall firewall delete rule name=test - удаление правила с именем TEST
Для изменения значений в существующих правилах используется параметр set и new перед изменяемым значением:
netsh advfirewall firewall set rule name="Allow port range" new localport=5000-6000 изменить диапазон портов для правила "Allow port range"
Настройками по умолчанию, в режиме повышенной безопасности брандмауэр Windows 7 блокирует все входящие подключения, не соответствующие ни одному правилу и разрешает исходящие.
|
|
|
B) Просмотрите текст вновь и скажите, верны ли данные утверждения. Измените предложения, содержащие неправильную информацию так, чтобы они тоже стали верными.
B) Просмотрите текст вновь и скажите, верны ли данные утверждения. Измените предложения, содержащие неправильную информацию так, чтобы они тоже стали верными.
B) Прочитайте текст. Правильно ли Вы ответили?
D) правилу левой руки
I. Закончите предложения, поставьте глаголы в скобках в правильную форму: Present Simple или Future Simple.
I. Правила аускультации легких.
II Правильное образование
II. Загальні правила формування та подання звіту
II. Когда акция движется правильно?
II. Правила навчання, що стосуються навчального матеріалу, об'єкту
