Utilizando o Assistente de Configuração de Software (SCW - Software Configuration Wizard), pode criar regras de firewall para permitir que este computador envie ou receba tráfego de programas, serviços do sistema, computadores ou utilizadores. As regras de firewall podem ser criadas de modo a realizarem uma de três acções para todas as ligações que correspondam aos critérios da regra: permitir a ligação, apenas permitir uma ligação que esteja protegida através da utilização de IPsec (Internet Protocol security) ou bloquear explicitamente a ligação.
 | Importante |
|
As regras de firewall permitem a passagem de tráfego através da firewall, mas não protegem esse tráfego. Para proteger o tráfego com IPsec, pode criar regras de segurança de ligação. Todavia, a criação de uma regra de segurança de ligação não permite a passagem de tráfego através da firewall. Para isso tem de criar uma regra de firewall, caso o tráfego não seja permitido pelo comportamento predefinido da firewall. As regras de segurança de ligação não são aplicáveis a programas ou serviços; são aplicadas entre dois computadores. Tem de utilizar o snap-in Firewall do Windows com Segurança Avançada (FW.msc) para criar regras de segurança de ligação. |
Separador Geral
As regras podem ser criadas tanto para tráfego de entrada como para tráfego de saída. A regra pode ser configurada para especificar o programa, o serviço, o protocolo ou a porta. À medida que o seu ambiente de TI for sendo alterado, pode alterar, criar ou eliminar regras.
As regras de firewall são aplicadas pela seguinte ordem de prioridade:
-
Ignorar de forma autenticada (regras que ignoram regras de bloqueio)
-
Bloquear ligação
-
Permitir ligação
Regras de entrada
As regras de entrada permitem ou bloqueiam explicitamente o tráfego que tente aceder ao computador e que corresponda aos critérios da regra. Por exemplo, pode configurar uma regra para permitir explicitamente tráfego protegido por IPsec para o Ambiente de Trabalho Remoto através da firewall, mas bloquear esse mesmo tráfego se não estiver protegido por IPsec. Quando o Windows é instalado pela primeira vez, o tráfego de entrada é bloqueado; para permitir tráfego, tem de criar uma regra de entrada.
Regras de saída
As regras de saída permitem ou bloqueiam explicitamente o tráfego proveniente do computador que corresponde aos critérios da regra. Por exemplo, pode configurar uma regra para bloquear explicitamente tráfego de saída para um computador específico através da firewall, mas permitir esse mesmo tráfego para outros computadores. O tráfego de saída é permitido por predefinição, pelo que tem de criar uma regra de saída para bloquear tráfego.
Separador Programas e serviços
Tendo em conta que a Firewall do Windows com Segurança Avançada bloqueia todo o tráfego TCP/IP de entrada não solicitado por predefinição, poderá ter de configurar regras de programa, porta e serviço de sistema para programas ou serviços que funcionem como servidores, serviços de escuta ou elementos de rede. As regras de programa, porta e serviço de sistema têm de ser geridas de forma contínua em função das alterações efectuadas às configurações ou funções de servidor.
| Importante |
|
As definições de uma regra de firewall aumentam os níveis de restrição dos critérios com base nos quais os pedidos de ligação irão fazer corresponder a regra. Por exemplo, se não especificar um programa ou serviço no separador Programas e Serviços, será permitida a ligação por parte de todos os programas e serviços, caso correspondam a outros critérios. Assim, quanto mais detalhados forem os critérios adicionados mais restritiva será a regra e menos provável será a respectiva correspondência. |
Para adicionar um programa à lista de regras, tem de especificar o caminho completo para o ficheiro executável (.exe) utilizado pelo programa. Um serviço de sistema que seja executado no seu próprio ficheiro .exe exclusivo e que não seja alojado por um contentor de serviço é considerado um programa e pode ser adicionado à lista de regras. Da mesma forma, um programa que funciona como um serviço de sistema e que é executado quer haja ou não um utilizador com sessão iniciada no computador também é considerado um programa, desde que seja executado no seu próprio ficheiro .exe exclusivo.
 | Atenção |
|
A adição de programas que alojam serviços, tais como o Svchost.exe, Dllhost.exe e Inetinfo.exe, à lista de regras sem restrições adicionais na regra pode expor o computador a ameaças de segurança. Além disso, a adição destes programas pode entrar em conflito com outras políticas de protecção de serviços em computadores com o Windows Server 2008 R2 ou o Windows Server 2008. |
Quando adiciona um programa à lista de regras, a Firewall do Windows com Segurança Avançada abre (desbloqueia) e fecha (bloqueia) dinamicamente as portas necessárias ao programa. Quando o programa está em execução e a receber tráfego de entrada, a Firewall do Windows com Segurança Avançada abre as portas necessárias; quando o programa não está em execução ou a receber tráfego de entrada, a Firewall do Windows com Segurança Avançada fecha as portas. Devido a este comportamento dinâmico, a adição de programas à lista de regras constitui o método recomendado para permitir a passagem de tráfego de entrada não solicitado através da Firewall do Windows com Segurança Avançada.
 | Nota |
|
Só pode utilizar regras de programa para permitir a passagem de tráfego de entrada não solicitado através da Firewall do Windows com Segurança Avançada se o programa utilizar o Winsock (Windows Sockets) para criar atribuições de portas. Se um programa não utilizar o Winsock para atribuir portas, terá de determinar as portas utilizadas pelo programa e adicioná-las à lista de regras. |
Separador Protocolos e Portas
Em alguns casos, se não conseguir adicionar um programa ou serviço de sistema à lista de regras, terá de determinar a porta ou portas utilizadas pelo programa ou serviço de sistema e, em seguida, adicionar a porta ou portas à lista de regras da Firewall do Windows com Segurança Avançada.
No separador Protocolos e Portas, poderá seleccionar a partir de uma lista dos protocolos utilizados com maior frequência e o respectivo número de protocolo associado. Se o protocolo que necessita de adicionar não estiver na lista, poderá seleccionar Personalizado e especificar o número de protocolo.
Se seleccionar o protocolo TCP ou UDP, poderá então especificar as portas local e remota a que a regra se aplica. Quando adiciona uma porta TCP ou UDP à lista de regras, a porta é aberta (desbloqueada) sempre que a Firewall do Windows com Segurança Avançada estiver em execução, quer haja ou não um programa ou serviço de sistema a receber tráfego de entrada na porta. Por este motivo, se necessitar de permitir a passagem de tráfego de entrada não solicitado através da Firewall do Windows com Segurança Avançada, deve criar uma regra de programa em vez de uma regra de porta.
Separador Âmbito
Utilize o separador Âmbito para especificar um endereço IP, uma sub-rede ou um intervalo de endereços IP. Pode utilizar endereços IPv4 ou IPv6.
Endereços IP locais
Em Endereços IP Locais, poderá configurar a regra de firewall para ser aplicada quando o computador de destino for o computador local. Pode ainda identificar quando a regra se aplica ao computador local especificando um endereço IP ou intervalo de endereços IP para aplicar a regra aos computadores que residam num certo ramo da rede.
Endereços IP remotos
Em Endereços IP Remotos, poderá configurar a regra de firewall para ser aplicada quando o computador de destino for um computador remoto. Pode ainda identificar quando a regra se aplica a computadores remotos especificando um endereço IP ou intervalo de endereços IP para aplicar a regra aos computadores que residam num certo ramo da rede.
Acerca da especificação de endereços IP
-
IPv4. Se a rede utilizar o endereçamento IPv4, poderá especificar um único endereço IP, tal como 172.30.160.169 ou uma sub-rede, tal como 146.53.0.0/24.
-
IPv6. Se a rede utilizar o endereçamento IPv6, pode especificar um único endereço IP como oito conjuntos de quatro dígitos hexadecimais separados pelo carácter de dois pontos (ou num formato equivalente permitido) ou como uma sub-rede.
-
Em qualquer dos formatos, para especificar um intervalo de endereços, basta especificar o primeiro (De) e o último (Até) endereço IP incluídos na regra.