Mediante el Asistente para configuración de seguridad (SCW), puede crear reglas de firewall para permitir a este equipo enviar tráfico o recibirlo de programas, servicios de sistema, equipos o usuarios. Se pueden crear reglas de firewall que lleven a cabo una de las tres acciones siguientes para todas las conexiones que coincidan con los criterios de la regla: permitir la conexión, permitir sólo una conexión protegida mediante el uso del protocolo de seguridad de Internet (IPsec) o bloquear explícitamente la conexión.
 | Importante |
|
Las reglas de firewall permiten el tráfico a través del firewall pero no lo protegen. Para proteger el tráfico con IPsec, puede crear reglas de seguridad de conexión. Sin embargo, la creación de una regla de seguridad de conexión no permite el tráfico a través del firewall. Debe crear una regla de firewall para hacerlo si el tráfico no está permitido por el comportamiento predeterminado del firewall. Las reglas de seguridad de conexión no se aplican a programas o servicios; se aplican entre dos equipos. Se debe usar el complemento Firewall de Windows con seguridad avanzada (FW.msc) para crear reglas de seguridad de conexión. |
Ficha General
Las reglas pueden crearse para el tráfico entrante o el tráfico saliente. La regla se puede configurar para especificar el programa, servicio, protocolo o puerto. A medida que cambia el entorno de TI, puede cambiar, crear o eliminar reglas.
Las reglas de firewall se aplican con el siguiente orden de prioridad:
-
Omitir autenticados (reglas que invalidan reglas de bloqueo)
-
Bloquear la conexión
-
Permitir la conexión
Reglas de entrada
Las reglas de entrada permiten o bloquean explícitamente el tráfico que intenta obtener acceso al equipo y que coincide con los criterios de la regla. Por ejemplo, puede configurar una regla para permitir explícitamente el tráfico protegido mediante IPsec para Escritorio remoto a través del firewall, pero bloquear el mismo tráfico si no está protegido mediante IPsec. Cuando se instala Windows por primera vez, el tráfico entrante está bloqueado. Para permitir el tráfico, debe crear una regla de entrada.
Reglas de salida
Las reglas de salida permiten o bloquean explícitamente el tráfico originado en el equipo que coincide con los criterios de la regla. Por ejemplo, puede configurar una regla para bloquear explícitamente el tráfico saliente hacia un equipo específico a través del firewall, pero permitir el mismo tráfico a otros equipos. El tráfico saliente se admite de manera predeterminada, por lo que debe crear una regla de salida para bloquear el tráfico.
Ficha Programas y servicios
Puesto que Firewall de Windows con seguridad avanzada bloquea todo el tráfico TCP/IP entrante no solicitado de manera predeterminada, puede ser necesario configurar reglas de programa, puerto y servicio del sistema para los programas o servicios que actúan como servidores, agentes de escucha o equipos del mismo nivel. Las reglas de programa, puerto y servicio del sistema deben administrarse de forma continua, a medida que cambien las configuraciones o las funciones del servidor.
| Importante |
|
La configuración de una regla de firewall agrega niveles crecientes de restricción a los criterios para los que las solicitudes de conexión coincidirán con la regla. Por ejemplo, si no especifica ningún programa o servicio en la ficha Programas y servicios, todos los programas y servicios podrán conectarse si coinciden con otros criterios. Por tanto, al agregar criterios más detallados, la regla se hace más restrictiva progresivamente y cada vez hay menos posibilidades de que coincida. |
Para agregar un programa a la lista de reglas, debe especificar la ruta de acceso completa al archivo ejecutable (.exe) usado por el programa. Un servicio del sistema que se ejecuta dentro de su archivo .exe único y que no está hospedado en un contenedor de servicios se considera un programa y puede agregarse a la lista de reglas. De la misma forma, un programa que funciona como un servicio del sistema y se ejecuta al margen de si un usuario inició sesión en el equipo también se considera un programa, siempre que se ejecute dentro de su archivo .exe único.
 | Precaución |
|
La adición de programas que hospedan servicios, como Svchost.exe, Dllhost.exe e Inetinfo.exe, a la lista de reglas sin más restricciones en la regla puede exponer el equipo a amenazas de seguridad. Además, la adición de estos programas puede entrar en conflicto con otras directivas del sistema de protección de servicios en equipos en los que se ejecuta Windows Server 2008 R2 o Windows Server 2008. |
Cuando se agrega un programa a la lista de reglas, Firewall de Windows con seguridad avanzada abre (desbloquea) y cierra (bloquea) dinámicamente los puertos requeridos por el programa. Cuando se ejecuta el programa y se escucha el tráfico entrante, Firewall de Windows con seguridad avanzada abre los puertos necesarios; si el programa no se está ejecutando o no está escuchando el tráfico entrante, Firewall de Windows con seguridad avanzada cierra los puertos. Debido a este comportamiento dinámico, la adición de programas a la lista de reglas es el método recomendado para permitir el tráfico entrante no solicitado a través de Firewall de Windows con seguridad avanzada.
 | Nota |
|
Puede usar las reglas de programa para permitir el tráfico entrante no solicitado a través de Firewall de Windows con seguridad avanzada solo si el programa usa Windows Sockets (Winsock) para crear las asignaciones de puertos. Si un programa no usa Winsock para asignar puertos, debe determinar los puertos que usa el programa y agregarlos a la lista de reglas. |
Ficha Protocolos y puertos
En algunos casos, si no puede agregar un programa o servicio del sistema a la lista de reglas, debe determinar el puerto o puertos que usa el programa o el servicio del sistema y, a continuación, agregarlos a la lista de reglas de Firewall de Windows con seguridad avanzada.
En la ficha Protocolos y puertos, puede seleccionar en una lista los protocolos que se usan con más frecuencia y el número de protocolo asociado a estos. Si el protocolo que necesita agregar no está en la lista, puede seleccionar Personalizado y especificar el número de protocolo.
Si selecciona los protocolos TCP o UDP, podrá especificar los puertos locales y remotos a los que se aplicará la regla. Al agregar un puerto TCP o UDP a la lista de reglas, el puerto se abre (se desbloquea) siempre que Firewall de Windows con seguridad avanzada se esté ejecutando, independientemente de si es un programa o un servicio del sistema que escucha el tráfico entrante en el puerto. Por este motivo, si necesita permitir el tráfico entrante no solicitado a través de Firewall de Windows con seguridad avanzada, debe crear una regla de programa, en lugar de una regla de puerto.
Ficha Ámbito
Use la ficha Ámbito para especificar una dirección IP, una subred o un intervalo de direcciones IP. Puede usar direcciones IPv4 e IPv6.
Direcciones IP locales
En Direcciones IP locales, puede configurar la regla de firewall que se aplicará cuando el equipo de destino sea el equipo local. Asimismo, puede determinar cuándo la regla se aplicará al equipo local especificando una dirección IP o un intervalo de direcciones IP para aplicar la regla a equipos que residen en una rama específica de la red.
Direcciones IP remotas
En Direcciones IP remotas, puede configurar la regla de firewall que se aplicará cuando el equipo de destino sea un equipo remoto. Asimismo, puede determinar cuándo la regla se aplicará a equipos remotos especificando una dirección IP o un intervalo de direcciones IP para aplicar la regla a equipos que residen en una rama específica de la red.
Acerca de la especificación de direcciones IP
-
IPv4. Si la red usa direccionamiento IPv4, puede especificar una dirección IP única, como 172.30.160.169, o una subred, como 146.53.0.0/24.
-
IPv6. Si la red usa el direccionamiento IPv6, puede especificar una dirección IP única como ocho conjuntos de cuatro dígitos hexadecimales separados por punto y coma (o en un formato permitido equivalente) o como una subred.
-
En ambos casos, para especificar un intervalo de direcciones, especifique la primera dirección IP (De) y la última (A) incluidas en la regla.