Элементы правила брандмауэра

Правила брандмауэра управляют защитой клиента от вредоносного сетевого трафика. Когда компьютер пытается подключиться к другому компьютеру, брандмауэр сравнивает тип соединения с правилами брандмауэра. С этими правилами автоматически сверяются все принимаемые и отправляемые пакеты. Брандмауэр блокирует или разрешает пакеты в соответствии с требованиями правил.

Для определения правил можно воспользоваться триггерами, в частности приложениями, хостами или протоколами. Например, правило может связывать протокол с конкретным целевым адресом. Для того чтобы правило применялось, необходимо, чтобы сработали все триггеры. Если для текущего пакета не сработает по крайней мере один триггер, то правило брандмауэра не применяется.

После срабатывания одного из правил брандмауэра другие правила не оцениваются. Если ни одно правило не сработало, пакет автоматически блокируется без регистрации события в журнале.

Правила брандмауэра задают условия, при которых сетевое соединение должно быть разрешено или заблокировано. Например, правило может разрешать трафик между удаленным портом 80 и IP-адресом 192.58.74.0 ежедневно с 9 утра до 5 вечера.

Табл.: Условия правил брандмауэра описывает критерии, применяемые при создании правил брандмауэра.

Табл.: Условия правил брандмауэра

Условие	Описание
Триггеры	Существуют следующие триггеры правил брандмауэра. Приложения Если приложение является единственным триггером в разрешающем трафик правиле, брандмауэр разрешит приложению выполнять любые сетевые операции. Важным здесь является само приложение, а не сетевые операции, которые оно выполняет. Допустим, что правилом разрешена программа Internet Explorer, а другие триггеры не определены. Пользователи смогут обращаться к удаленным сайтам по протоколам HTTP, HTTPS, FTP, Gopher и любым другим протоколам, поддерживаемым веб-браузером. Можно указать дополнительные триггеры, описывающие конкретные сетевые протоколы и хосты, подключение к которым разрешено. Хосты Локальным хостом всегда является локальный клиентский компьютер, а удаленным хостом всегда является удаленный компьютер, расположенный где-либо в сети. Это выражение взаимосвязи хостов не зависит от направления трафика. Указывая хост в качестве триггера, пользователь всегда указывает удаленный хост, то есть противоположный конец сетевого соединения. Протоколы Триггер протокола указывает один или несколько сетевых протоколов, использование которых нужно учитывать для описанного трафика. Локальный порт всегда принадлежит локальному хосту, а удаленный порт всегда принадлежит удаленному компьютеру. Это выражение взаимосвязи портов не зависит от направления трафика. Сетевые адаптеры Если в качестве триггера указан сетевой адаптер, правило будет применяться только к трафику, проходящему через указанный тип адаптера в любом направлении. Можно указать любой адаптер или адаптер, связанный с клиентским компьютером. Определения триггеров можно объединять для формирования более сложных правил, например для идентификации конкретного протокола относительно определенного целевого адреса. Для позитивного совпадения необходимо, чтобы при оценке правила брандмауэром сработали все триггеры. Если хотя бы один триггер для текущего пакета не срабатывает, брандмауэр не применяет правило.
Условия	Расписание и состояние экранной заставки. Параметры условий не описывают аспекты сетевого соединения. Вместо этого условные параметры определяют активное состояние правила. Условные параметры не являются обязательными, и их можно не определять. Можно настроить расписание или указать состояние экранной заставки, которое определяет, является ли правило активным или неактивным. Неактивные правила не учитываются брандмауэром при получении пакетов.
Действия	Разрешить или заблокировать, заносить в журнал или не заносить в журнал. Параметры действий указывают, какие действия должен предпринять брандмауэр, если правило сработало. Если правило было выбрано в результате получения пакета, то брандмауэр выполнит все действия. Брандмауэр разрешит или заблокирует пакет, а также занесет сведения об операции в журнал либо не будет этого делать. Если брандмауэр разрешил трафик, то выбранному правилом трафику будет разрешен доступ к сети. Если брандмауэр заблокировал трафик, то выбранному правилом трафику будет запрещен доступ к сети.

Условие

Описание

Триггеры

Существуют следующие триггеры правил брандмауэра.

Приложения

Если приложение является единственным триггером в разрешающем трафик правиле, брандмауэр разрешит приложению выполнять любые сетевые операции. Важным здесь является само приложение, а не сетевые операции, которые оно выполняет. Допустим, что правилом разрешена программа Internet Explorer, а другие триггеры не определены. Пользователи смогут обращаться к удаленным сайтам по протоколам HTTP, HTTPS, FTP, Gopher и любым другим протоколам, поддерживаемым веб-браузером. Можно указать дополнительные триггеры, описывающие конкретные сетевые протоколы и хосты, подключение к которым разрешено.
Хосты

Локальным хостом всегда является локальный клиентский компьютер, а удаленным хостом всегда является удаленный компьютер, расположенный где-либо в сети. Это выражение взаимосвязи хостов не зависит от направления трафика. Указывая хост в качестве триггера, пользователь всегда указывает удаленный хост, то есть противоположный конец сетевого соединения.
Протоколы

Триггер протокола указывает один или несколько сетевых протоколов, использование которых нужно учитывать для описанного трафика.

Локальный порт всегда принадлежит локальному хосту, а удаленный порт всегда принадлежит удаленному компьютеру. Это выражение взаимосвязи портов не зависит от направления трафика.
Сетевые адаптеры

Если в качестве триггера указан сетевой адаптер, правило будет применяться только к трафику, проходящему через указанный тип адаптера в любом направлении. Можно указать любой адаптер или адаптер, связанный с клиентским компьютером.

Определения триггеров можно объединять для формирования более сложных правил, например для идентификации конкретного протокола относительно определенного целевого адреса. Для позитивного совпадения необходимо, чтобы при оценке правила брандмауэром сработали все триггеры. Если хотя бы один триггер для текущего пакета не срабатывает, брандмауэр не применяет правило.

Условия

Расписание и состояние экранной заставки.

Параметры условий не описывают аспекты сетевого соединения. Вместо этого условные параметры определяют активное состояние правила. Условные параметры не являются обязательными, и их можно не определять. Можно настроить расписание или указать состояние экранной заставки, которое определяет, является ли правило активным или неактивным. Неактивные правила не учитываются брандмауэром при получении пакетов.

Действия

Разрешить или заблокировать, заносить в журнал или не заносить в журнал.

Параметры действий указывают, какие действия должен предпринять брандмауэр, если правило сработало. Если правило было выбрано в результате получения пакета, то брандмауэр выполнит все действия. Брандмауэр разрешит или заблокирует пакет, а также занесет сведения об операции в журнал либо не будет этого делать.

Если брандмауэр разрешил трафик, то выбранному правилом трафику будет разрешен доступ к сети.

Если брандмауэр заблокировал трафик, то выбранному правилом трафику будет запрещен доступ к сети.

См. Как брандмауэр использует проверку с учетом состояния.

См. Добавление правила брандмауэра.