Как включить или отключить брандмауэр файервол в windows

Правильная настройка встроенных средств защиты Windows 10 позволяет комфортно и безопасно использовать компьютер. Ниже будут приведены основные способы настройки и варианты с полным отключением защиты.

Зачем отключать Windows Firewall?

Окно «Оповещение системы безопасности» является единственным, что может помешать пользователю при включенном защитнике, поэтому брандмауэр Windows работает очень ненавязчиво и многие предпочитают оставлять его включенным. Такой подход – наиболее оптимален, поскольку даже встроенной системы защиты – вполне достаточно для обычных пользователей.

Стоит добавить, многие разработчики вирусного ПО утверждают, что стандартная система безопасности Windows 10 имеет незначительное количество уязвимостей, которые заполняются при постоянных обновлениях ОС. Конечно это не гарантирует стопроцентную защиту от узкоспециализированного хакерского ПО, но обеспечивает высокую степень безопасности при попадании рядовых вирусов.

В некоторых случаях пользователь предпочитает устанавливать защиту своей системы от сторонних производителей. В таких случаях брандмауэр Windows можно отключить при установке нового антивирусного комплекса. Это поможет избежать конфликта между различными системами безопасности.

Настройки Windows Firewall

Для настройки параметров защитника Windows следует перейти в расширенные настройки брандмауэра. Для этого:

Шаг 1. Нажимаем по иконке поиска возле по «Пуск» и вводим фразу «Панель управления».

Шаг 2. В открывшемся окне, выбираем режим отображения «Мелкие значки» и переходим в «Брандмауэр защитника Windows».

Шаг 3. Чтобы перейти в окно расширенных настроек защиты, выбираем пункт «Дополнительные параметры».

Находясь в меню «Дополнительные параметры» можно посмотреть текущее состояние защитника и его основные настройки. Данная информация находится в первом пункте «Монитор брандмауэра».

Для создания собственных блокировок определенных приложений, следует воспользоваться графой «Правила для исходящих подключений», где следует выбрать пункт «Создать правило».

В открывшемся окне присутствует несколько вариантов блокировок сети. К примеру, можно заблокировать целый порт или конкретную программу. В нашем случае будет заблокирована конкретная программа, поэтому выбираем первый пункт и нажимаем далее.

Для блокировки конкретной программы, следует выбрать пункт «Путь программы» и выбрать необходимое приложение. Для примера, блокировка будет произведена на браузере Google Chrome. Исполняемый файл браузера находится по пути «C:\Program Files (x86)\Google\Chrome\Application». Его можно выбрать в пункте обзор, или самостоятельно ввести, скопировав путь из проводника.

Выбрав необходимую программу, следует выбрать действие, которое будет применено. Для блокировки, выбираем пункт «Блокировать подключение» и далее.

В следующем окне следует выбрать те профили, к каким будет применено созданное правило блокировки.

В последнем окне необходимо задать имя правилу. Для удобства поиска данной настройки называем её «Блокировка подключения Google Chrome» и подтверждаем действие кнопкой «Готово».

После выполнения вышеуказанных действий браузер Google Chrome перестанет подключаться к сети Интернет. Перезагрузка компьютера не потребуется.

Чтобы вернуть работоспособность браузера необходимо найти созданное правило в списке, нажать по нему ПКМ и выбрать пункт «Отключить». Если в настройке более нет необходимости, её можно удалить.

Стоит понимать, что не все исполнительные файлы относятся к подключению, поэтому в некоторых случаях блокировка может оказаться неэффективной. Чтобы устранить это, следует узнать через что происходит подключение к интернету и уже блокировать данный элемент. К примеру, многие онлайн игры, работающие на Jawa, подключаются к сети через исполнительный файл Jawa, а не собственный. Таким образом для блокировки игры необходимо заблокировать доступ исполнительного файла Jawa.

Как полностью отключить брандмауэр Windows?

Существует несколько быстрых способов полного отключения Windows Firewall, которые следует применять перед установкой новой защитной системы от сторонних производителей. Отключение защитника делает систему уязвимой для вредоносного ПО, поэтому отключать брандмауэр без нужды – строго не рекомендуется.

Отключение брандмауэра в панели управления

Одним из самых легких способов отключения защиты, является отключение через панель управления. Чтобы сделать это, необходимо:

Находясь в панели управления в пункте «Брандмауэр защитника Windows» следует перейти в пункт «Включение и выключение защитника».

В открывшемся окне достаточно перевести все пункты в отключенный режим и подтвердить действие кнопкой «Ок».

Отключение защитника при помощи командной строки

Другим способом отключения защитника Windows является командная строка. Чтобы выполнить отключение, необходимо:

Нажать ПКМ по кнопке пуск и выбрать «Командная строка(администратор)», «Windows PowerShell (администратор)».

В открывшемся окне командной строки вводим «netsh advfirewall set allprofiles state off» и подтверждаем Enter.

Данная команда отключит все профили сети и Windows Firewall станет неактивным.

Для включения защитника следует воспользоваться командой «netsh advfirewall set allprofiles state on».

Часто задаваемые вопросы

Windows Firewall – это важный компонент встроенной системы защиты Windows. Его главным заданием является ограничение или блокировка входящего и исходящего трафика. Таким образом брандмауэр не позволяет вредоносным программам отправлять личные данные злоумышленникам и наоборот – вредоносные программы блокируются еще до попадания в систему.

В некоторых случаях Windows Firewall может воспринимать ваш трафик как вредоносный и блокировать полезные сайты. Кроме того, многие пользователи предпочитают защиту от сторонних разработчиков. В таком случае брандмауер Windows Firewall лучше отключить чтобы избежать конфликтов систем защиты.

Воспользуйтесь программой RS Partition Recovery. Она проста в использовании и позволит восстановить утерянные данные в 99% случаев. Вы также можете создать папку, добавить ее в исключения защитника Windows и уже в нее записать восстановленный файл.

Чтобы управлять исключениями, либо блокировать входящий или исходящий трафик откройте Пуск –> Панель управления –> Брандмауэр защитника Windows –> Дополнительные параметры –> Монитор брандмауэра. В зависимости от того, что именно нужно настроить выберите правила для входящих или исходящих подключений –> Создать правило. Более детально читайте на нашем сайте.

Чтобы полностью отключить брандмауэр Windows откройте коммандную строку от имени администратора, введите команду «netsh advfirewall set allprofiles state off» и нажмите Enter для подтверждения.

(config)> access-list MyList1
(config-acl)>

access-list MyList1
permit tcp 192.168.1.33/32 0.0.0.0/32
deny icmp 192.168.1.0/24 0.0.0.0/32
deny ip 192.168.1.0/24 0.0.0.0/32

(config)> interface ISP
(config-if)> ip access-group MyList1 out
Network::Acl: Output "MyList1" access list added to "ISP".

(config)> interface Bridge3
(config-if)> security-level protected
Network::Interface::IP: "Bridge3": security level set to "protected".

(config)> show interface ISP

               id: GigabitEthernet1
            index: 1
             type: GigabitEthernet
      description: Broadband connection
   interface-name: ISP
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 2000
          address: 193.0.174.199
             mask: 255.255.255.0
           uptime: 12433
           global: yes
        defaultgw: yes
         priority: 700
   security-level: public
              mac: 50:ff:20:2d:ed:ea
        auth-type: none

От каких видов атак защищают

• Взлом удаленного доступа, когда объектом атаки становится удаленный рабочий стол; злоумышленник организует доступ со своего устройства через интернет с целью взломать логин, чтобы получить контроль над вашим ПК;
• Backdoor-доступ, при котором игра идет на слабых местах в системе безопасности или системных ошибках; такие уязвимости есть в любой операционной системе, Windows – вовсе не исключение;
• E-mail атаки, выражающиеся часто в виде спама объемом в тысячи писем, которые буквально забивают почтовый ящик пользователя; некоторые из отосланных писем содержат вредоносный вирусный код;
• Переадресации маршрута: на пути к целевому пункту пакеты данных проходят по определенному маршруту через маршрутизаторы; если использовать этот факт, можно создать впечатление, что данные поступают из надежного источника, чем и пользуются хакеры – поэтому большинство брандмауэров выполняют функции маршрутизаторов.

Это лишь некоторые способы, которые используют злоумышленники, и от действий которых брандмауэр защитит ваше устройство. Надеемся, картина под названием «что такое брандмауэр?» стала вам понятней.
Некоторые программные брандмауэры можно настроить так, чтобы они работали, как прокси-серверы. Тогда степень защищенности станет еще выше – скрывается сетевой адрес вашего компьютера. С ними исключается заражение через вредоносную веб-страницу, ведь, если стоит прокси, серверы не взаимодействуют непосредственно с компьютером. Дополнительным плюсом прокси является наличие кэша, благодаря которому при повторном обращении к странице, она загружается уже из его кэш-памяти, что гораздо быстрее.

Плюсы и минусы

Перечислим очевидные преимущества брандмауэров и укажем на их недостатки. Среди достоинств:

• функция мониторинга каждой программы с контролем через брандмауэр и последующей проверкой трафика при проведении незащищенной передачи личных данных;
• Возможность информировать пользователя через всплывающие сообщения об отфильтрованных соединениях, чтобы вы были всегда в курсе возникшей проблемы;
• Некоторые важные дополнительные функции, в основном, востребованные корпоративными пользователями.

Главный недостаток в работе программных брандмауэров видится нам так: чтобы брандмауэр следил за отправленными и полученными пакетами, он работает в режиме точки контроля безопасности, которая не способна работать совсем без сбоев и ложных срабатываний – поэтому брандмауэр иногда может заблокировать защищенную страницу, закрыть к ней доступ.
Подчас ложные срабатывания могут прервать рабочий процесс, но только, когда вычислительная мощность предприятия достаточно большая. Это характерно для компаний с большим количеством компьютерной техники. По статистике провайдера McFee, число организаций, ограничивающих функции безопасности брандмауэра или вовсе их выключающих, довольно велико – примерно треть.

Настройка

Прежде всего, рассмотрим подробнее проблему ложных срабатываний, покажем, как с ней бороться. Когда защитное приложение серьезно затрудняет работу, то, что такое брандмауэр, как не мешающий фактор? В таких ситуациях надо воспользоваться настройками программы. Слишком много функций отключать не следует – компьютеры останутся практически без защиты. Вместе с тем, высокая интенсивность фильтра брандмауэра ведет к ошибочно заблокированному контенту. В каждом конкретном случае, задача специалистов компании в области IT состоит в определении верного баланса.   
Нужно дать разрешение на открытие уже проверенных ресурсов (программ и соединений), для чего:

1. Надо открыть «Настройки», в них перейти в «Безопасность Windows».
2. Выбрать там «Брандмауэр и защита сети».
3. Кликнуть «Разрешить запуск программ через брандмауэр».
4. Выскочит окно, в котором нужно разрешить проверенным программам подключаться через частные сети.

В каждом компьютере с современными операционными системами есть встроенный брандмауэр. Он называется Defender, и это еще антивирус. Иногда его возможности могут оказаться недостаточными, тогда стоит задуматься: может быть целесообразно ставить двухуровневую защиту от вирусов? Есть ли смысл покупать платную версию брандмауэра или будет достаточно возможностей бесплатных? Если вы решили сменить встроенный брандмауэр на другой – выбор за вами, такое программное обеспечение широко представлено на рынке.
Так или иначе, на персональном компьютере для безопасности ваших данных обязательно должны быть два элемента: брандмауэр и антивирус. Брандмауэр предотвращает попадание опасного кода, а антивирус обнаруживает его и удаляет. Если бы не брандмауэр, у антивируса было бы очень много работы, ведь шпионский код продолжал бы проникать в устройство. Так что никогда не торопитесь отключать это полезное приложение.  

Если говорить, например, только об одном ПК – брандмауэр совершенно схож функционально с firewall. Чтобы не возникало путаницы, отметим, что брандмауэр – более широкое понятие. Продолжая раскрывать вопрос «что такое брандмауэр?», назовем его программно-аппаратным комплексом, действующим в масштабе всей сети. В то время как firewall работает максимум в рамках группы компьютеров. Различие еще в том, что брандмауэр нацелен на широкий спектр угроз, а firewall работает лишь с определенным трафиком.

Полагая, что встроенный брандмауэр (firewall) малоэффективен, делать поспешный вывод, что его следует отключить, нельзя. Найти в своем ПК настройки брандмауэра очень просто. Например, так:

1. Нажать одновременно клавиши Win и R, ввести команду control, нажать на «OK».
2. Для удобства прочтения и нахождения перейти в режим «Мелкие значки».
3. Найти пункт «Брандмауэр защитника Windows» в окне с элементами Панели управления.

Исключения брандмауэра

В Windows 10

В обеих ОС можно отключать брандмауэр временно, только для выбранных вами приложений и программ и даже навсегда. Пусть требуется всего минут на пятнадцать отключить брандмауэр 10, либо дождаться полной перезагрузки. Для этого:

• Зайдите в меню «Пуск», в «Параметры Windows».
• Войдите в отдел «Обновление и безопасность», где откройте «Защитник «Windows».
• Затем надо отключить такие пункты: «Защита в реальном времени», «Облачная защита», «Автоматическая отправка образцов» и «Расширенные уведомления».

Еще один способ:

• Нажмите сочетание клавиш Win+R.
• Введите команду services.msc, кликните «ОК».
• В окне управления службами найдите «Брандмауэр Windows».
• Перевести «Тип Запуска» в состояние «Отключена».
• Привести «Состояние» в положение «Остановить».
• Остается нажать кнопку «Применить», чтобы брандмауэр завершил работу.  

Наиболее быстрым способом является использование командной строки.
Войдите в меню «Пуск», введите в строку команду
netsh advfirewall set allprofiles state offи нажмите «ОК».

Для Windows 11

В этой операционной системе можно аналогично использовать окошко «Безопасность Windows». Оно открывается с панели задач или через пункт «Параметры». Нужно найти раздел «Брандмауэр и безопасность сети». Найти профиль сети, помеченный как «Активный». Остается только перевести его переключатель в положение «Откл.», а потом подтвердить выполненные действия.
Можно отключить брандмауэр Windows 11 через командную строку. Команда та же, что и для Windows 10. Но вызов командной строки осуществляется по-другому. Это выполняется при помощи нового приложения Windows Terminal так:

• Правой кнопкой мыши кликните кнопку «Пуск» или нажмите комбинацию Win+X.
• Выберете в меню «Терминал Windows (с правами Администратора)».
• В открывшемся окошке откроется другая вкладка (PowerShell), в строке заголовка надо нажать стрелку и выбрать потом «Командная строка», а можно просто нажать сочетание – Ctrl+Shift+2.
• Появится вызванная от имени администратора командная строка.
• Осталось ввести команду netsh advfirewall set allprofiles state off

и нажать Ввод (Enter) – должно высветиться слово «Ок».

 
В Windows 11 можно выполнить отключение брандмауэра и другим способом – через «Панель управления». Можно попробовать найти и нажать эту кнопку в панели задач, но там ее может не оказаться. Если это так, то нажмите «Пуск» и начните вводить фразу «панель управления» в появившейся строке поиска. Система сама подскажет правильный вариант. Дальнейшие действия аналогичны тем, что мы уже указали для Windows 10.

Эта статья посвящена основам управления настройками и правилами встроенного Windows Defender Firewall из командной строки PowerShell. Мы рассмотрим, как включать/отключать брандмауэр для различных профилей, создавать, редактировать и удалять правила, экспортировать/импортировать правила Windows Firewall с помощью PowerShell.

Для управления настройками Windows Firewall обычно используется отдельная графическая MMC оснастка
wf.msc
(Control Panel -> System and Security -> Windows Defender Firewall -> Advanced settings). Большинство операций по настройке и управлению параметрами Windows Firewall можно выполнять из командной строки PowerShell. Для этого, начиная с версии Windows PowerShell 5.1, можно использовать встроенный модуль NetSecurity

Полный список командетов в модуле NetSecurity можно вывести с помощью команды:

Get-Command -Module NetSecurity

Раньше для управления правилами и настройками Брандмауэра Windows использовалась команда
netsh advfirewall firewall
.

Как включить и отключить Windows Defender Firewall через PowerShell?

По умолчанию Defender Firewall в Windows включен.

Как вы видите, в Windows Firewall есть три типа сетевых профилей:

• Domain (Доменный) – применяется к компьютерам, включенным в домен Active Directory;
• Private (Частный) – домашние или рабочие сети;
• Public (Общий) – общедоступные сети.

В настройках профилей по-умолчанию разрешены все исходящие подключения и блокируется входящие (кроме разрешенных).

Информация о типах сетей хранится службой Network Location Awareness (NLA) в базе данных. Вы можете изменить профиль сети в Windows, если он определился некорректно.

Каждый профиль может отличаться используемым набором правил файервола. По умолчанию все сетевые интерфейсы компьютера защищены фаейрволом и к ним применяются все три типа профилей.

Чтобы полностью отключить Firewall в Windows, выполните команду:

Set-NetFirewallProfile -All -Enabled False

Либо укажите конкретный профиль вместо All:

Set-NetFirewallProfile -Profile Public -Enabled False

Чтобы включить файервол для всех трех сетевых профилей, используется команда:

Set-NetFirewallProfile -All -Enabled True

Вывести тип профиля, который применяется к сетевому подключению:

В этом примере к сетевому подключению Ethernet0 применяется доменный профиль (DomainAuthenticated).

Вы можете управлять правилами Windows Firewall на удаленных компьютерах, если на них настроен PowerShell Remoting (WinRM). В этом примере с помощью командлета Invoke-Command мы отключим файервол на удаленных компьютерах из списка:

Можно изменить действие по-умолчнию для профиля Public и заблокировать все входящие подключения.

Текущие настройки профиля можно вывести так:

Get-NetFirewallProfile -Name Public

Если вы управляете настройками Windows Firewall через GPO, вы можете вывести текущие результирующие настройки профилей так:

Get-NetFirewallProfile -policystore activestore

Проверим, что все параметры брандмауэра применяются ко всем сетевым интерфейса компьютера.

Если все интерфейсы защищены, команда должна вернуть:

DisabledInterfaceAliases : {NotConfigured}

Можно отключить определенный профиль для интерфейса (вывести список имен интерфейсов можно с помощью командлета Get-NetIPInterface).

Set-NetFirewallProfile -Name Public -DisabledInterfaceAliases "Ethernet0"

Как вы видите, теперь профиль Public не применяется к интерфейсу Ethernet0:

DisabledInterfaceAliases : {Ethernet0}

С помощью командлета
Set-NetFirewallProfile
вы можете изменить параметры профиля (действие по-умолчанию, журналирование, путь и размер лог файла, настройки оповещений и т.д.).

Вы можете настроить параметры логирования сетевых подключений на уровне каждого профиля. По умолчанию журналы Windows Firewall хранятся в каталоге
%systemroot%\system32\LogFiles\Firewall
, размер файла – 4 Мб. Вы можете изменить включить журналирование подключений и увеличить максимальный размер файла:

Создать новое правило Windows Firewall

Для управления правилами брандмауэра используются 9 командлетов:

• New-NetFirewallRule
• Copy-NetFirewallRule
• Disable-NetFirewallRule
• Enable-NetFirewallRule
• Get-NetFirewallRule
• Remove-NetFirewallRule
• Rename-NetFirewallRule
• Set-NetFirewallRule
• Show-NetFirewallRule

Рассмотрим несколько простых примеров открытия портов в Windows Firewall.

Например, вы хотите разрешить входящие TCP подключения на порты 80 и 443 для профилей Domain и Private. Воспользуйтесь такой командой:

Вы можете разрешить или заблокировать трафик для конкретной программы. Например, вы хотите заблокировать исходящие соединения для FireFox:

Разрешим входящее RDP подключение по стандартному порту TCP\3389 только с одного IP адреса:

New-NetFirewallRule -DisplayName "AllowRDP" –RemoteAddress 192.168.1.55 -Direction Inbound -Protocol TCP –LocalPort 3389 -Action Allow

Чтобы разрешить ICMP ping для адресов из указанных диапазонов IP адресов и подсети, используйте команды:

New-NetFirewallRule -DisplayName "Allow inbound ICMPv4" -Direction Inbound -Protocol ICMPv4 -IcmpType 8 -RemoteAddress $ips -Action Allow

New-NetFirewallRule -DisplayName "Allow inbound ICMPv6" -Direction Inbound -Protocol ICMPv6 -IcmpType 8 -RemoteAddress $ips -Action Allow

Добавить в правило файервола список IP адресов из текстового файла (по одному IP в строке):

В предыдущей статье мы показывали как с помощью PowerShell можно заблокировать доступ к сайтам не только по IP адресу, но и по DNS имени домена/сайта.

Разрешить все входящие подключения с указанного IP адреса (добавить адрес в белый список):

$IP = '192.168.1.20'
New-NetFirewallRule -DisplayName "Allow $IP" -Direction Inbound -Action Allow -RemoteAddress $IP

Изменить правило Windows Firewall с помощью PowerShell

Чтобы отредактировать правило брандмауэра, используется командлет Set-NetFirewallRule. Например, вы хотите разрешить входящие подключения с указанного IP адреса для ранее созданного правила:

Если нужно добавить в правило файервола несколько IP адресов, используйте такой скрипт:

Вывести все IP адреса, которые содержатся в правиле брандмауэра:

Удалить один IP адрес из правила:

Включить/отключить правило Windows Defender Firewall

Вы можете включать/отключать правила файервола с помощью командлетов Disable-NetFirewallRule и Enable-NetFirewallRule.

Disable-NetFirewallRule –DisplayName 'WEB-Inbound'

Чтобы разрешить ICMP (ping), выполните команду:

Enable-NetFirewallRule -Name FPS-ICMP4-ERQ-In

Чтобы удалить правило брандмауэре используется командлет Remove-NetFirewallRule.

Remove-NetFirewallRule -DisplayName 'WEB-Inbound'

Чтобы сбросить все правила Microsoft Defender Firewall и восстановить настройки по умолчанию, выполните команду:

netsh advfirewall reset

(New-Object -ComObject HNetCfg.FwPolicy2).RestoreLocalFirewallDefaults()

Это очистит все пользовательские настройки и правила Microsoft Defender Firewall. В списке правил останутся только стандартные правила сетевого доступа Windows.

Перед сбросом можно экспортировать текущие настройки в файл.

netsh advfirewall export "C:\Backup\firewall-config.wfw"

В дальнейшем вы можете вернуть старые настройки файервола, импортировав файл с правилами:

netsh advfirewall import "C:\Backup\firewall-config.wfw"

Вывести список активных правил Windows Firewall

Список активных правил для входящего трафика можно вывести так:

Если, например, нам нужно вывести список блокирующих исходящих правил:

Если нужно отобразить имя программы в правиле:

Как вы видите командлет Get-NetFirewallRule не выводит порты сетевые порты и IP адреса для правил брандмауэра. Чтобы вывести всю информацию о разрешенных входящих (исходящих) подключениях в более удобном виде с отображением номеров портов, используйте такой скрипт:

PowerShell предоставляет широкие возможности по управлению правилами Windows Firewall из командной строки. Вы можете автоматически запускать скрипты PowerShell для открытия/закрытия портов при возникновении определенных событий. В следующей статье мы рассмотрим простую систему на базе PowerShell и Windows Firewall для автоматической блокировки IP адресов, с которых выполняется удаленный перебор паролей по RDP на Windows VDS сервере.

Как известно, встроенный брандмауэр Windows не обладает особым функционалом, поэтому обычно отключается более продвинутыми продуктами. Впрочем, даже при выключенном брандмауэре иногда необходимо проводить некоторые настройки. Например, открывать/закрывать порты. И, если на одном компьютере это проще сделать через графический интерфейс, то проводить одну и ту же настройку на нескольких компьютеров в сети таким способом будет утомительно. Рассмотрим управление брандмауэром Windows через командную строку. Получившиеся команды можно будет затем записать в bat-файл и разослать по сети.

Данный синтаксис актуален для Windows Vista, 7, 8 и серверных редакций, начиная с 2008.

Начнем с основ. Включение брандмауэра:

netsh advfirewall set allprofiles state on

netsh advfirewall set allprofiles state off

Включение отдельных профилей:

netsh advfirewall set domainprofile state on
netsh advfirewall set privateprofile state on
netsh advfirewall set publicprofile state on

Выключение отдельных профилей:

netsh advfirewall set domainprofile state off
netsh advfirewall set privateprofile state off
netsh advfirewall set publicprofile state off

Закрыть все входящие соединения и разрешить все исходящие:

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

Открыть локальный порт по протоколу TCP для входящего соединения. Для примера 80:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN

В примере name это имя правила. Можно указать удобное Вам.

Аналогично с протоколом UDP:

netsh advfirewall firewall add rule name="test" protocol=UDP localport=80 action=allow dir=IN

Ну и, соответственно, если мы хотим запретить входящие на локальный 80 порт по TCP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=block dir=IN

Для UDP дублировать не буду. Там всё аналогично кроме названия протокола.

Разрешить исходящие на удаленный порт по протоколу TCP. Опять же, пусть будет 80 порт.

netsh advfirewall firewall add rule name="test" protocol=TCP remoteport=80 action=allow dir=OUT

Открыть диапазон удаленных портов для исходящего соединения по протоколу UDP:

netsh advfirewall firewall add rule name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUT

Создать правило по подключению только с конкретного IP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1

Или диапазона IP:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100

Подсеть можно вписать и по имени или просто как 192.168.0.1/100.

Разрешить соединение для определенной программы:

netsh advfirewall firewall add rule name="test" dir=in action=allow program="C:\test\test.exe" enable=yes

Созданное правило можно удалить командой

netsh advfirewall firewall delete rule name="test"

Команды можно комбинировать и видоизменять, причем довольно гибко. Например, если мы хотим открыть порт только для определенного типа профилей, то можно набрать команду следующего вида:

netsh advfirewall firewall add rule name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain

И так далее, добавляя диапазоны адресов, пути к приложениям и прочее в удобной последовательности.

Во все современные версии Windows встроен брандмауэр Windows Defender Firewall. Это встроенный программный межсетевой экран, который защищает Windows от несанкционированного внешнего доступа к компьютеру и запущенным на нем службам. По умолчанию брандмауэр Windows включен и защищает все сетевые интерфейсы компьютера. Брандмауэр блокирует все входящие подключения и разрешает все исходящие.

В подавляющем большинстве случае Windows Firewall должен быть включен. Если вам нужно разрешить доступ к компьютеру для определенной службы или IP адреса, просто создайте разрешающее правило. Однако в некоторых ситуациях администратору нужно полностью отключить Windows Defender Firewall для проверки сетевых подключений. В этой статье мы покажем несколько способов, как отключить и включить встроенный брандмауэр Windows.

Отключить/включить брандмауэр из панели управления Windows

В современных версиях Windows 10 и 11 для управления брандмауэром используется панель Безопасность Windows (Windows Security).

Если панель Windows Security не открывается или повреждена, вы можете восстановить ее.

1. Перейдите в меню Параметры (Settings -> Update & Security -> Windows Security) или выполните команду
   windowsdefender://network/
   ;
2. Выберите раздел Firewall and network protection;
3. По очереди щелкните по каждому из трех сетевых профилей (Domain, Private и Public) и отключите Microsoft Defender Firewall; ,
4. Подтвердите отключение в окне User Account Control.

В Windows для каждого сетевого подключения используется один из трех сетевых профилей:

• Domain – применяется для компьютеров, которые добавлены в домен AD
• Private – для небольших офисных LAN, рабочих групп и домашней сети
• Public – для общественных сетей (кафе, аэропорты)

В зависимости от типа сети к сетевому интерфейсу применяются различные правила брандмауэра и настройки обнаружения Windows в сетевом окружении. Вы можете изменить профиль сети подключения как описано тут.

В предыдущих версиях Windows и в Windows Server 2012R2/2016/2019 можно отключить брандмауэр через классическую панель управления «Windows Firewall with Advanced Security«:

1. Откройте консоль
   firewall.cpl
   ;
2. Щелкните по Turn Windows Defender Firewall on or off;
3. Отключите Windows Defender firewall для всех типов сетей.

Если на компьютере есть несколько сетевых интерфейсов, вы можете отключить файервол только для некоторых из них.

1. Нажмите кнопку Advanced Settings -> Windows Defender Firewall properties;
2. В настройках каждого сетевого профиля есть раздел Protected network connections. Нажмите кнопку Customize;
3. Снимите галки с тех сетевых интерфейсов, для которых нужно отключить брандмауэр.
4. Аналогичным образом отключите защиту сетевых интерфейсов брандмуэром в настройках других сетевых профилей.

Когда вы отключаете брандмауэр, в трее начнет отображаться соответствующее уведомление.

Чтобы скрыть это всплывающее уведомление, добавьте следующий параметр реестра:

reg add "HKLM\Software\Microsoft\Windows Defender Security Center\Notifications" /v "DisableNotifications" /t REG_DWORD /d "1" /f

Обратите внимание, что в Windows есть отдельная системная служба Windows Defender Firewall (
mpssvc
). Если вы отключите или приостановите эту службу, это не отключит брандмауэр до тех пор, пока вы сами не отключите защиту для сетевых профилей.

Однако через остановку служб вы можете отключить встроенный антивирус Защитник Windows.

Отключить Windows Firewall через GPO

Вы можете отключить Windows Firewall с помощью групповых политик.

На отдельном компьютере нужно использовать консоль редактора локальной групповой политики (
gpedit,msc
), а в доменной среде нужно создать новую GPO с помощью консоли управления GPMC.

1. Откройте GPO и перейдите в раздел Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile.
2. Откройте параметр “Windows Firewall: Protect all network connections” и измените значение на Disabled;
3. Аналогичным образом измените параметр в секции Standard Profile;
4. Обновите настройки GPO на компьютере и проверьте, что брандмауэр для доменного профиля отключен;
5. Если компьютер будет подключен к сети, отличной от доменной, Windows Firewall будет защищать такое подключение.
6. Если вы хотите отключить брандмауэр для всех сетевых профилей, перейдите в раздел GPO Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Отключите файервол на вкладках всех трех сетевых профилей.

После того, как вы отключили Windows Firewall через GPO, пользователь не сможет включить его вручную через панель управления.

Как отключить или включить брандмауэр Windows с помощью PowerShell?

Для управления Windows Firewall из командной строки можно использовать PowerShell.

Проверьте, что брандмауэр включен для всех трех сетевых профилей:

Можно отключить брандмауэр только для одного сетевого профиля:

Set-NetFirewallProfile -Profile Domain -Enabled False

Или отключить firewall сразу для всех сетевых профилей:

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled False

Чтобы включить Windows Defender, выполните команду:

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled True

Вы можете отключить защиту брандмауэра для конкретного сетевого подключения. Чтобы узнать имя сетевого подключения, выведите их список:

Теперь можно отключить файервол для выбранного интерфейса:

Set-NetFirewallProfile -Profile Domain, Public, Private -DisabledInterfaceAliases "My_Internal_NIC1"

Вывести список сетевых адаптеров, которые исключены из файервола:

Очистить список исключений:

Стандартный брандмауэр Windows является эффективным средством для защиты системы. Когда программа прослушивает определенный порт и принимает входящие соединения, брандмауэр Windows вмешивается до того, как начинается обмен данными, и спрашивает, как себя вести (активировать сервер или заблокировать его).

Однако, по умолчанию брандмауэр Windows не блокирует исходящий трафик. Все программы, установленные на компьютере, как на клиентских, так и на серверных компьютерах (например, установки Windows Server), могут подключаться к удаленным серверам путём обмена данными – в зашифрованном или простом тексте – через Интернет.

В случае Windows брандмауэр может использоваться для управления входящим и исходящим трафиком: в то время как входящие соединения проверяются и удерживаются до тех пор, пока пользователь явно не укажет, какое поведение необходимо сохранить, исходящие соединения всегда разрешены. Следовательно, наличие инструмента, который облегчает создание набора эффективных правил брандмауэра в среде Windows, может быть очень полезным во многих ситуациях.

Windows Firewall Control – поможет эффективно использовать брандмауэр

Windows Firewall Control – это программа с древними корнями, программное обеспечение, которое позволяет вам глубоко настраивать поведение брандмауэра Windows, активируя все функции персонального брандмауэра. В частности, Windows Firewall Control заставляет ь брандмауэр Windows каждый раз спрашивать, как себя вести, даже когда запущенное приложение пытается подключиться к удаленному серверу.

Фильтруя весь трафик, вы получаете возможность защитить себя от кражи личной информации и блокировать любые попытки обмена данными с помощью программ, которые не должны обмениваться данными с внешней сетью.

Когда начинается установка, появляется экран, подобный показанному на рисунке: вы можете оставить настройки без изменений и нажать .

После нажатия кнопки программа сразу же запустится и покажет свой значок на панели задач Windows.

При двойном щелчке по значку появится главное окно программы: как вы видите, по умолчанию внешние связи всегда разрешены.

В разделе «Профили» брандмауэра Windows рекомендуется выбрать параметр «Средняя фильтрация», чтобы все попытки подключиться к внешней стороне автоматически блокировались, если они не управляются с помощью правила «ad hoc». В этой конфигурации брандмауэр Windows будет разрешать только те соединения, которые явно разрешены программами.

Но как поведёт себя брандмауэр, когда обнаруживается попытка подключения к удаленным серверам, не предусмотренная ни в одном из уже созданных правил? Вы можете решить это, зайдя в раздел Уведомления.

Выбрав параметр «Показать уведомления», можно получать уведомления всякий раз, когда новая программа пытается получить доступ к Интернету: таким образом, пользователь может настроить правила связи.

Щелкнув по значку в правом верхнем углу, вы можете запросить анализ файла с помощью антивирусного ядра VirusTotal.

Выбор режима обучения в разделе «Уведомления» разрешит доступ в Интернет для всех программ с цифровой подписью и покажет предупреждение для тех, у кого его нет.

При выборе «Отключено» Windows Firewall Control будет блокировать все приложения – с цифровой подписью или без неё – для которых пользовательское правило не было настроено и будет воздерживаться от показа каких-либо уведомлений.

Если щелкнуть правой кнопкой мыши значок, отображаемый на панели задач, а затем выбрать панель «Правила», вы получите доступ к панели управления с полным списком используемых в настоящее время правил.

Линии с зеленым фоном обозначают правила, разрешающие общение; правила блокировки выделены розовым фоном.

Нажатие на Показать недопустимые правила и Показать дубликаты правил помогает определить любые правила, которые больше не действительны (например, потому что соответствующие файлы больше не существуют в системе), и дублируют их.

Мы рекомендуем регулярно проверять журнал подключений, щелкнув правой кнопкой мыши значок программы и выбрав Журнал подключений.

Щелкнув Обновить (или нажав клавишу ), вы можете получить список последних 100 подключений, заблокированных программой, в хронологическом порядке.

Щелкнув правой кнопкой мыши по элементу, вы можете разрешить все попытки подключения программы, подтвердить её блокировку или создать собственное правило брандмауэра (настроить и создать).

Программное обеспечение было недавно переписано с четкой целью оптимизировать раздел, касающийся правил безопасности. Он может автоматически блокировать любые изменения в правилах брандмауэра Windows, чтобы избежать попыток, предпринимаемых потенциально вредоносными программами, обмениваться данными в сети без ограничений (блок «Правила безопасности» в разделе «Безопасность»).

Функциональность безопасного профиля действует в том же духе: он блокирует все попытки импорта или экспорта правил брандмауэра в брандмауэре Windows.

Похожее:

Список сетевых команд в CMD — Записки IT-шникa kaktusenok: Настройка параметров сетевого адаптера из командной строки Netstat для Windows: как мониторить сеть с её помощью? | Сеть без проблем Netsh advfirewall firewall dump