Поделиться через


Обзор брандмауэра Windows

Брандмауэр Windows — это функция безопасности, которая помогает защитить устройство, фильтруя сетевой трафик, который входит в устройство и выходит из нее. Этот трафик можно отфильтровать на основе нескольких критериев, включая IP-адрес источника и назначения, IP-протокол или номер порта источника и назначения. Брандмауэр Windows можно настроить для блокировки или разрешения сетевого трафика на основе служб и приложений, установленных на вашем устройстве. Это позволяет ограничить сетевой трафик только теми приложениями и службами, которым явно разрешено взаимодействовать в сети.

Брандмауэр Windows — это брандмауэр на основе узла, который входит в состав операционной системы и включен по умолчанию во всех выпусках Windows.

Брандмауэр Windows поддерживает протокол IPsec, который можно использовать для проверки подлинности с любого устройства, которое пытается связаться с вашим устройством. Если требуется проверка подлинности, устройства, которые не могут пройти проверку подлинности как доверенное устройство , не могут взаимодействовать с вашим устройством. IPsec можно использовать, чтобы требовать, чтобы определенный сетевой трафик был зашифрован, чтобы предотвратить его чтение анализаторами сетевых пакетов, которые могут быть подключены к сети злоумышленником.

Брандмауэр Windows также работает с сведениями о сетевом расположении , что позволяет применять параметры безопасности, соответствующие типам сетей, к которым подключено устройство. Например, брандмауэр Windows может применять профиль общедоступной сети , когда устройство подключено к интернету кафе, и профиль частной сети , когда устройство подключено к домашней сети. Это позволяет применять более строгие параметры к общедоступным сетям, чтобы обеспечить безопасность устройства.

Практическое применение

Брандмауэр Windows предлагает несколько преимуществ для решения проблем безопасности сети в организации:

  • Снижение риска угроз сетевой безопасности. За счет уменьшения уязвимой области устройства брандмауэр Windows обеспечивает дополнительный уровень защиты для модели глубокой защиты. Это повышает управляемость и снижает вероятность успешной атаки.
  • Защита конфиденциальных данных и интеллектуальной собственности. Брандмауэр Windows интегрируется с IPsec, чтобы обеспечить простой способ обеспечения сквозной сетевой связи с проверкой подлинности. Это обеспечивает масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и при необходимости защитить конфиденциальность данных.
  • Расширенная ценность существующих инвестиций. Брандмауэр Windows — это брандмауэр на основе узла, включенный в операционную систему, поэтому дополнительное оборудование или программное обеспечение не требуется. Он также предназначен для дополнения существующих решений безопасности сети сторонних разработчиков с помощью документированного API.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие брандмауэр Windows.

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Права на лицензии брандмауэра Windows предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Основные понятия

По умолчанию брандмауэр Windows выполняет следующие действия:

  • блокировать весь входящий трафик, если не запрашивается или не соответствует правилу
  • разрешить весь исходящий трафик, если только не соответствует правилу

Правила брандмауэра

Правила брандмауэра определяют разрешенный или заблокированный сетевой трафик, а также условия для этого. Правила предлагают широкий выбор условий для определения трафика, в том числе:

  • Имя приложения, службы или программы
  • IP-адреса источника и назначения
  • Может использовать динамические значения, такие как шлюз по умолчанию, DHCP-серверы, DNS-серверы и локальные подсети.
  • Имя или тип протокола. Для протоколов транспортного уровня, TCP и UDP можно указать порты или диапазоны портов. Для пользовательских протоколов можно использовать число от 0 до 255, представляющее протокол IP.
  • Тип интерфейса
  • Тип и код трафика ICMP/ICMPv6

Профили брандмауэра

Брандмауэр Windows предлагает три сетевых профиля: доменный, частный и общедоступный. Профили сети используются для назначения правил. Например, можно разрешить определенному приложению взаимодействовать в частной сети, но не в общедоступной сети.

Сеть домена

Профиль сети домена автоматически применяется к устройству, присоединенное к домену Active Directory, при обнаружении доступности контроллера домена. Этот профиль сети нельзя задать вручную.

Совет

Другим вариантом обнаружения сети домена является настройка параметров политики в поставщике CSP политики NetworkListManager, который также применяется к Microsoft Entra присоединенным устройствам.

Частная сеть

Профиль частной сети предназначен для частных сетей, таких как домашняя сеть. Администратор может задать его вручную в сетевом интерфейсе.

Общедоступная сеть

Профиль общедоступной сети разработан с учетом более высокого уровня безопасности для общедоступных сетей, таких как Wi-Fi горячие точки, кафе, аэропорты, отели и т. д. Это профиль по умолчанию для неопознанных сетей.

Совет

Используйте командлет Get-NetConnectionProfile PowerShell для получения активной категории сети (NetworkCategory). Используйте командлет Set-NetConnectionProfile PowerShell для переключения категории между частными и общедоступными.

Дальнейшие действия

Узнайте о правилах брандмауэра Windows и рекомендациях по проектированию:

Правила брандмауэра Windows >

Предоставление отзывов

Чтобы предоставить отзыв о брандмауэре Windows, откройте Центр отзывов (WIN+F) и используйте категорию Безопасность и защита сети конфиденциальности>.