A Biztonság beállítása varázslóval tűzfalszabályok hozhatók létre, amelyek lehetővé teszik, hogy a számítógép adatokat küldjön vagy adatokat fogadjon programoktól, rendszerszolgáltatásoktól, számítógépektől vagy felhasználóktól. A tűzfalszabályok a feltételeiknek megfelelő minden kapcsolat esetében három lehetséges művelet egyikét hajtják végre: a kapcsolat engedélyezése, csak IPsec szolgáltatáson keresztül biztosított kapcsolat engedélyezése vagy a kapcsolat kifejezett blokkolása.
 | Fontos! |
|
A tűzfalszabályok engedélyezik a tűzfalon keresztül történő forgalmat, de nem teszik biztonságossá azt. Az adatforgalom IPSec szolgáltatással való védelméhez kapcsolatbiztonsági szabályok hozhatók létre. A kapcsolatbiztonsági szabály létrehozása azonban nem engedélyezi a tűzfalon keresztüli forgalmat. Ehhez tűzfalszabályt kell létrehozni, ha a tűzfal alapértelmezett viselkedése nem engedélyezi a forgalmat. A kapcsolatbiztonsági szabályokat nem programokra vagy szolgáltatásokra, hanem két számítógép között alkalmazzák. A kapcsolatbiztonsági szabályok létrehozásához a Fokozott biztonságú Windows tűzfal beépülő modult (FW.msc) kell használni. |
Általános lap
A szabályok a bejövő és kimenő forgalom esetében egyaránt megadhatók. A szabályok program, szolgáltatás, protokoll és port megadására konfigurálhatók. Az informatikai környezet változásával a szabályok módosíthatók, törölhetők vagy újak hozhatók létre.
A tűzfalszabályok prioritási sorrendje a következő:
-
Hitelesített áteresztő (a blokkoló szabályokat felülíró szabályok)
-
Kapcsolat blokkolása
-
Kapcsolat engedélyezése
Bejövő szabályok
A bejövő szabályok kifejezetten engedélyezik vagy kifejezetten tiltják a számítógéphez hozzáférést kereső, a szabályban rögzített feltételeknek megfelelő forgalmat. Például egy szabály konfigurálható úgy, hogy a tűzfalon keresztül kifejezetten engedélyezze a Távoli asztal IPSec által védett forgalmát, de blokkolja ugyanezt a forgalmat, ha nem védi azt az IPSec szolgáltatás. A Windows rendszer első telepítésekor a bejövő forgalom le van tiltva. A forgalom engedélyezéséhez létre kell hoznia egy bejövő szabályt.
Kimenő szabályok
A kimenő szabályok kifejezetten engedélyezik vagy kifejezetten tiltják a számítógéptől érkező, a szabályban rögzített feltételeknek megfelelő forgalmat. Egy szabály konfigurálható például úgy, hogy a tűzfalon keresztül kifejezetten blokkolja a kimenő forgalmat egy adott számítógépre, de engedélyezze ugyanazt a forgalmat más számítógépek esetében. A kimenő forgalom engedélyezése alapértelmezett, ezért a forgalom blokkolásához kimenő szabály létrehozása szükséges.
Programok és szolgáltatások lap
Mivel a fokozott biztonságú Windows tűzfal alapértelmezés szerint minden bejövő kéretlen TCP/IP-forgalmat blokkol, szükséges lehet program-, port- és rendszerszolgáltatás-szabályok konfigurálása minden kiszolgálóként, figyelőként vagy társként viselkedő programhoz vagy szolgáltatáshoz. A program-, port- és rendszerszolgáltatás-szabályokat folyamatosan frissíteni kell a kiszolgálói szerepkörök és konfigurációk változásainak megfelelően.
| Fontos! |
|
A tűzfalszabályok beállításai újabb és újabb korlátozásokkal csökkentik a szabály feltételeinek megfelelő kapcsolatkérelmek körét. Ha például nem határoz meg programokat vagy szolgáltatásokat a Programok és szolgáltatások lapon, a rendszer engedélyezi a többi feltételnek megfelelő összes program és szolgáltatás kapcsolódását. Ezért az egyre részletesebb feltételek hozzáadásával a szabály fokozatosan egyre korlátozóbb, és egyre kevésbé valószínű az annak való megfelelés. |
Programok szabálylistához való hozzáadásához meg kell adni a program által használt végrehajtható fájl (.exe) teljes elérési útját. Azok a rendszerszolgáltatások, amelyek saját egyedi .exe fájllal rendelkeznek, és nem egy szolgáltatástárolóban találhatók, programnak minősülnek, és hozzáadhatók a szabálylistához. Hasonló módon a rendszerszolgáltatásként működő és a felhasználó bejelentkezésétől függetlenül futó programok is programnak tekinthetők, amennyiben saját .exe fájlt futtatnak.
 | Figyelem! |
|
Ha szolgáltatásokat kiszolgáló programokat, például az Svchost.exe, a Dllhost.exe vagy az Inetinfo.exe fájlokat adja hozzá a szabálylistához a listák további korlátozása nélkül, a számítógép biztonsági kockázatoknak lehet kitéve. Az ilyen programok hozzáadása emellett ütközhet más szolgáltatáskorlátozó házirendekkel is a Windows Server 2008 R2 vagy Windows Server 2008 rendszert futtató számítógépeken. |
Ha programokat ad hozzá a szabálylistához, a fokozott biztonságú Windows tűzfal dinamikusan megnyitja (feloldja a blokkolást) vagy zárolja (blokkolja) az adott programhoz szükséges portokat. Amennyiben a program fut és figyeli a bejövő forgalmat, a fokozott biztonságú Windows tűzfal megnyitja a szükséges portokat, amennyiben a program nem fut, vagy nem figyeli a bejövő forgalmat, a fokozott biztonságú Windows tűzfal zárolja a portokat. E dinamikus viselkedés miatt ajánlott a programok szabálylistához való hozzáadása a fokozott biztonságú Windows tűzfalon keresztül érkező kéretlen forgalom engedélyezéséhez.
 | Megjegyzés |
|
A programszabályokkal csak akkor engedélyezheti a kéretlen bejövő forgalmat a fokozott biztonságú Windows tűzfalon keresztül, ha a program a Windows Sockets (Winsock) alkalmazást használja a portkiosztások létrehozásához. Ha egy program nem használja a Winsock alkalmazást a portok kiosztásához, meg kell határozni, hogy mely portokat használja a program, és hozzá kell adni azokat a szabálylistához. |
Protokollok és portok lap
Néhány esetben, amikor nem tud hozzáadni egy programot vagy rendszerszolgáltatást a szabálylistához, meg kell határoznia, hogy a program vagy a rendszerszolgáltatás melyik portot vagy portokat használja, majd az illető portot vagy portokat hozzá kell adnia a fokozott biztonságú Windows tűzfal szabálylistájához.
A Protokollok és portok lapon a leggyakrabban használt protokollok és a megfelelő protokollszámok listájáról választhat. Ha a kívánt protokoll nem szerepel a listán, válassza az Egyéni lehetőséget, és adja meg a protokoll számát.
A TCP és UDP protokollok kiválasztása esetén megadhatók azok a helyi és távoli portok, amelyekre a szabály vonatkozik. Ha hozzáad egy TCP- vagy UDP-portot a szabálylistához, a port megnyitott (feloldott) lesz minden olyan alkalommal, amikor a Fokozott biztonságú Windows tűzfal fut, függetlenül attól, hogy egy program vagy rendszerszolgáltatás figyeli-e a bejövő forgalmat a porton vagy sem. Ezért, ha a fokozott biztonságú Windows tűzfalon keresztül engedélyezni kívánja a kéretlen bejövő forgalmat, akkor portszabály helyett érdemes programszabályt létrehoznia.
Hatókör lap
A Hatókör lapon IP-címeket, alhálózatokat és IP-címtartományokat adhat meg. IPv4- és IPv6-címeket is használhat.
Helyi IP-címek
A Helyi IP-címek területen konfigurálhatja a helyi célszámítógépek esetén alkalmazandó tűzfalszabályt. A szabály helyi számítógépen való alkalmazási köre tovább szűkíthető IP-címek vagy IP-címtartományok megadásával, mely esetben a szabály a hálózat bizonyos telephelyein található számítógépekre fog vonatkozni.
Távoli IP-címek
A Távoli IP-címek területen konfigurálhatja a távoli célszámítógépek esetén alkalmazandó tűzfalszabályt. A szabály távoli számítógépeken való alkalmazási köre tovább szűkíthető IP-címek vagy IP-címtartományok megadásával, mely esetben a szabály a hálózat bizonyos telephelyein található számítógépekre fog vonatkozni.
Az IP-címek megadásáról
-
IPv4. Ha a hálózat IPv4-címzést használ, egyetlen IP-cím (például 172.30.160.169) vagy egy alhálózat (például 146.53.0.0/24) is megadható.
-
IPv6. Ha a hálózat IPv6-címzést használ, az IP-címet nyolc darab négyjegyű hexadecimális (illetve ezzel egyenértékű, megengedett formátumú) számcsoportként vagy alhálózatként adhatja meg.
-
Mindkét formátum esetén meghatározhat egy IP-címtartományt a szabályba foglalandó első (Kezdet) és utolsó (Vég) IP-cím megadásával.