Mediante la procedura guidata Configurazione software è possibile creare regole del firewall per consentire al computer in uso di inviare traffico in uscita o ricevere traffico in entrata da programmi, servizi di sistema, computer o utenti. Le regole del firewall possono essere impostate in modo da eseguire una delle tre azioni disponibili per tutte le connessioni che soddisfano i criteri specificati: consentire la connessione, consentire solo una connessione protetta tramite IPSec (Internet Protocol Security) o bloccare esplicitamente la connessione.

Importante

Le regole del firewall consentono il passaggio del traffico attraverso il firewall, ma non lo proteggono. Per proteggere il traffico con IPSec, è possibile creare regole di sicurezza di connessione. La creazione di una regola di sicurezza di connessione tuttavia non consente il passaggio del traffico attraverso il firewall. Se pertanto il traffico non è consentito dal comportamento predefinito del firewall, sarà necessario creare una regola del firewall specifica. Le regole di sicurezza di connessione non vengono applicate a programmi o servizi, ma solo tra due computer. Per creare regole di sicurezza di connessione è necessario utilizzare lo snap-in Windows Firewall con sicurezza avanzata (FW.msc).

Scheda Generale

È possibile creare regole per il traffico in entrata o in uscita. La regola può essere configurata in modo da specificare il programma, il servizio, il protocollo o la porta. Man mano che cambia l'ambiente IT, è possibile modificare, creare o eliminare alcune regole.

Le regole del firewall vengono applicate nell'ordine di priorità seguente:

  • Eccezione con autenticazione, ovvero regole che ignorano le regole di blocco

  • Blocca connessione

  • Consenti connessione

Regole per il traffico in entrata

Le regole per il traffico in entrata autorizzano o bloccano esplicitamente durante il tentativo di accesso al computer il traffico che soddisfa i criteri in esse contenuti. È ad esempio possibile configurare una regola in modo da autorizzare esplicitamente il traffico protetto da IPSec per desktop remoto attraverso il firewall e bloccare lo stesso traffico se non è protetto da IPSec. Alla prima installazione di Windows, il traffico in entrata è bloccato. Per autorizzarlo, è necessario creare una regola per il traffico in entrata.

Regole per il traffico in uscita

Le regole per il traffico in uscita autorizzano o bloccano esplicitamente il traffico proveniente dal computer che soddisfa i criteri in esse contenuti. È ad esempio possibile configurare una regola in modo da bloccare esplicitamente il traffico in uscita verso un computer specifico attraverso il firewall e consentire lo stesso traffico verso altri computer. Poiché il traffico in uscita è consentito per impostazione predefinita, è necessario creare una regola per il traffico in uscita per bloccarlo.

Scheda Programmi e servizi

Poiché per impostazione predefinita Windows Firewall con sicurezza avanzata blocca tutto il traffico TCP/IP in entrata non richiesto, potrebbe essere necessario configurare regole per programmi, porte e servizi di sistema nel caso di programmi o servizi che fungono da server, listener o peer. Le regole di programmi, porte e servizi di sistema devono essere gestite di volta in volta man mano che vengono modificati i ruoli o le configurazioni del server.

Importante

Le impostazioni di una regola del firewall aggiungono livelli di restrizione sempre più severi ai criteri in base ai quali viene determinato se le richieste di connessione soddisfano o meno la regola. Se ad esempio non si specifica un programma o un servizio nella scheda Programmi e servizi, saranno autorizzati a connettersi tutti i programmi e i servizi, purché soddisfino altri criteri. Man mano che si aggiungono criteri più dettagliati, la regola diventerà pertanto sempre più restrittiva e le probabilità che venga soddisfatta saranno sempre più ridotte.

Per aggiungere un programma all'elenco delle regole, è necessario specificare il percorso completo del file eseguibile (con estensione exe) utilizzato dal programma. Un servizio di sistema che viene eseguito all'interno del proprio file exe specifico e non è ospitato in un contenitore dei servizi viene considerato un programma e può essere aggiunto all'elenco delle regole. Anche un programma che si comporta come un servizio di sistema e viene eseguito indipendentemente dal fatto che un utente si sia o meno connesso al computer viene considerato un programma, purché venga eseguito all'interno del proprio file exe specifico.

Attenzione

L'aggiunta di programmi che ospitano servizi, ad esempio Svchost.exe, Dllhost.exe e Inetinfo.exe, all'elenco delle regole senza che siano incluse ulteriori restrizioni nella regola può esporre il computer a rischi di sicurezza. L'aggiunta di questi programmi può inoltre generare conflitti con altri criteri di protezione avanzata dei servizi nei computer che eseguono Windows Server 2008 R2 o Windows Server 2008.

Quando si aggiunge un programma all'elenco delle regole, Windows Firewall con sicurezza avanzata apre e chiude, ovvero sblocca e blocca, dinamicamente le porte necessarie per il programma. Quando il programma è in esecuzione e in ascolto dell'eventuale traffico in entrata, Windows Firewall con sicurezza avanzata apre le porte richieste. Quando invece il programma non è in esecuzione o non è in ascolto del traffico in entrata, Windows Firewall con sicurezza avanzata chiude le porte. A causa di questo comportamento dinamico, l'aggiunta di programmi all'elenco delle regole è il metodo consigliato per autorizzare traffico in entrata non richiesto attraverso Windows Firewall con sicurezza avanzata.

Nota

È possibile utilizzare regole dei programmi per autorizzare il traffico in entrata non richiesto attraverso Windows Firewall con sicurezza avanzata solo se nel programma viene utilizzato Windows Sockets (Winsock) per creare le assegnazioni delle porte. Se in un programma non viene utilizzato Winsock per l'assegnazione delle porte, sarà necessario determinare quali porte vengono utilizzate dal programma e aggiungerle all'elenco delle regole.

Scheda Protocolli e porte

In alcuni casi, se non è possibile aggiungere un programma o un servizio di sistema all'elenco delle regole, sarà necessario determinare quali porte vengono utilizzate dal programma o dal servizio di sistema e quindi aggiungerle all'elenco delle regole di Windows Firewall con sicurezza avanzata.

Nella scheda Protocolli e porte è possibile selezionare da un elenco dei protocolli di utilizzo più comune e dal relativo numero di protocollo associato. Se un protocollo che è necessario aggiungere non è visualizzato nell'elenco, selezionare Personalizzato e specificare il numero di protocollo.

Se si seleziona il protocollo TCP o UDP, è quindi possibile specificare le porte locali e remote alle quali si applica la regola. Quando si aggiunge una porta TCP o UDP all'elenco delle regole, la porta è aperta, ovvero sbloccata, ogni volta che Windows Firewall con sicurezza avanzata è in esecuzione, indipendentemente dal fatto che un programma o un servizio di sistema sia o meno in ascolto del traffico in entrata sulla porta. Se pertanto si ha necessità di autorizzare il traffico in entrata non richiesto attraverso Windows Firewall con sicurezza avanzata, sarà opportuno creare una regola del programma anziché una regola della porta.

Scheda Ambito

Utilizzare la scheda Ambito per specificare un indirizzo IP, una subnet o un intervallo di indirizzi IP. È possibile utilizzare indirizzi IPv4 e IPv6.

Indirizzi IP locali

In Indirizzi IP locali è possibile configurare la regola del firewall da applicare quando il computer di destinazione è il computer locale. È possibile determinare ulteriormente quando la regola si applica al computer locale specificando un indirizzo IP o un intervallo di indirizzi IP in modo tale da applicare la regola a computer che risiedono in un certo ramo della rete.

Indirizzi IP remoti

In Indirizzi IP remoti è possibile configurare la regola del firewall da applicare quando il computer di destinazione è un computer remoto. È possibile determinare ulteriormente quando la regola si applica al computer remoto specificando un indirizzo IP o un intervallo di indirizzi IP in modo tale da applicare la regola a computer che risiedono in un certo ramo della rete.

Informazioni sulla specifica di indirizzi IP

  • IPv4. Se la rete utilizza indirizzi IPv4, è possibile specificare un unico indirizzo IP, ad esempio 172.30.160.169, o una subnet, ad esempio 146.53.0.0/24.

  • IPv6. Se la rete utilizza indirizzi IPv6, è possibile specificare un unico indirizzo IP composto da otto gruppi di quattro cifre esadecimali separate da virgole, o in un formato equivalente consentito, oppure immettere una subnet.

  • Per entrambi i formati, per specificare un intervallo di indirizzi, specificare semplicemente il primo (Da) e l'ultimo (A) indirizzo IP incluso nella regola.

Ulteriori riferimenti