Als u de wizard Software configureren gebruikt, kunt u firewallregels maken om deze computer toe te staan verkeer te verzenden naar of te ontvangen van programma's, systeemservices, computers of gebruikers. U kunt firewallregels maken om voor alle verbindingen die voldoen aan de regelcriteria, een van de volgende drie acties uit te voeren: de verbinding toestaan, alleen een verbinding toestaan die is beveiligd door middel van IPsec (Internet Protocol security) of de verbinding uitdrukkelijk blokkeren.

Belangrijk

Met firewallregels wordt verkeer via de firewall toegestaan, maar wordt het betreffende verkeer niet beveiligd. Als u verkeer met IPsec wilt beveiligen, kunt u beveiligingsregels voor verbindingen maken. Als u echter een beveiligingsregel voor verbindingen maakt, wordt daarmee het verkeer via de firewall niet toegestaan. Als het verkeer niet door het standaardgedrag van de firewall wordt toegestaan, moet u hiervoor een firewallregel maken. Beveiligingsregels voor verbindingen worden niet toegepast op programma's of services, maar worden toegepast tussen twee computers. De module Windows Firewall met geavanceerde beveiliging (FW.msc) moet worden gebruikt om verbindingsbeveiligingsregels te maken.

Het tabblad Algemeen

Regels kunnen voor binnenkomend verkeer of voor uitgaand verkeer worden gemaakt. De regel kan worden geconfigureerd om het programma, de service, het protocol of de poort op te geven. Wanneer uw IT-omgeving verandert, kunt u regels wijzigen, maken of verwijderen.

Firewallregels worden in deze volgorde van prioriteit toegepast:

  • Geverifieerde bypass (regels die blokkeringsregels overschrijven)

  • Verbinding blokkeren

  • Verbinding toestaan

Regels voor binnenkomende verbindingen

Met regels voor binnenkomende verbindingen wordt verkeer dat probeert toegang te krijgen tot de computer en dat voldoet aan de criteria in de regel, uitdrukkelijk toegestaan of uitdrukkelijk geblokkeerd. U kunt bijvoorbeeld een regel configureren dat verkeer uitdrukkelijk wordt toegestaan wanneer het via de firewall is beveiligd met IPsec voor Extern bureaublad, maar dat hetzelfde verkeer moet worden geblokkeerd als het niet is beveiligd met IPsec. Als Windows voor het eerst wordt geïnstalleerd, wordt binnenkomend verkeer geblokkeerd. Als u verkeer wilt toestaan, moet u een binnenkomende regel maken.

Regels voor uitgaande verbindingen

Met regels voor uitgaande verbindingen wordt verkeer dat afkomstig is van de computer en dat voldoet aan de criteria in de regel, uitdrukkelijk toegestaan of uitdrukkelijk geblokkeerd. U kunt bijvoorbeeld een regel configureren dat uitgaand verkeer naar een specifieke computer via de firewall uitdrukkelijk wordt geblokkeerd, terwijl hetzelfde verkeer naar andere computers wordt toegestaan. Uitgaand verkeer wordt standaard toegestaan. Als u verkeer wilt blokkeren, moet u dus een regel voor uitgaande verbindingen maken.

Tabblad Programma's en services

Omdat in Windows Firewall met geavanceerde beveiliging al het ongevraagde binnenkomende TCP/IP-verkeer standaard wordt geblokkeerd, moet u wellicht programma-, poort- en systeemserviceregels maken voor programma's of services die fungeren als servers, listeners of peers. Aangezien uw serverfuncties of configuraties veranderen, moeten regels voor programma's, poorten en systeemservices continu worden beheerd.

Belangrijk

De instellingen van een firewallregel zorgen voor toenemende beperkingsniveaus van de regelcriteria, waaraan verbindingsaanvragen moeten voldoen. Als u bijvoorbeeld geen programma of service op het tabblad Programma's en services opgeeft, wordt aan alle programma's en services, als deze voldoen aan andere criteria, toegestaan verbinding te maken. Als u gedetailleerdere criteria toevoegt, zijn er dus steeds meer beperkingen aan de regel verbonden en wordt minder snel aan de criteria voldaan.

Als u een programma aan de lijst met regels wilt toevoegen, moet u het volledige pad opgeven naar het uitvoerbare bestand (.EXE) dat door het programma wordt gebruikt. Een systeemservice die met het eigen unieke EXE-bestand wordt uitgevoerd en geen servicecontainer als host heeft, wordt als een programma beschouwd en kan aan de lijst met regels worden toegevoegd. Evenzo wordt een programma dat als een systeemservice fungeert en wordt uitgevoerd ongeacht of een gebruiker is aangemeld bij de computer, als een programma beschouwd, als het maar met het eigen unieke EXE-bestand wordt uitgevoerd.

Waarschuwing

Als programma's die als host fungeren voor services, zoals Svchost.exe, Dllhost.exe en Inetinfo.exe, zonder verdere beperkingen in de regel aan de lijst met regels worden toegevoegd, kan de computer worden blootgesteld aan beveiligingsrisico's. Bovendien kan het toevoegen van deze programma's strijdig zijn met andere beleidsregels ten aanzien van servicebeveiliging op computers waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd.

Wanneer u een programma toevoegt aan de lijst met regels, wordt door Windows Firewall met geavanceerde beveiliging de door het programma vereiste poorten dynamisch geopend (blokkering opgeheven) en gesloten (geblokkeerd). Als het programma wordt uitgevoerd en luistert naar binnenkomend verkeer, worden de vereiste poorten geopend. Als het programma niet wordt uitgevoerd of niet luistert naar binnenkomend verkeer, worden de poorten gesloten. Vanwege dit dynamische gedrag is het toevoegen van programma's aan de lijst met regels de aanbevolen methode om ongevraagd binnenkomend verkeer via Windows Firewall met geavanceerde beveiliging toe te staan.

Opmerking

U kunt programmaregels gebruiken om ongevraagd binnenkomend verkeer via Windows Firewall met geavanceerde beveiliging alleen toe te staan als Windows Sockets (Winsock) wordt gebruikt om poorttoewijzingen te maken. Als poorten niet met Winsock worden toegewezen, moet u bepalen welke poorten door het programma worden gebruikt en deze poorten aan de lijst met regels toevoegen.

Tabblad Protocollen en poorten

Soms moet u, als u een programma of systeemservice niet aan de lijst met regels kunt toevoegen, bepalen welke poort of poorten wordt/worden gebruikt door het programma of de systeemservice. Vervolgens moet u de poort of de poorten aan de lijst met regels van Windows Firewall met geavanceerde beveiliging toevoegen.

Op het tabblad Protocollen en poorten kunt u kiezen uit een aantal gangbare protocollen en het bijbehorende protocolnummer. Als het protocol dat u nodig hebt niet in de lijst staat, kunt u Aangepast selecteren en het protocolnummer opgeven.

Als u het TCP- of het UDP-protocol selecteert, kunt u vervolgens opgeven op welke lokale of externe poorten de regel van toepassing is. Als u een TCP- of UDP-poort aan de lijst met regels toevoegt, is de poort open (de blokkering is opgeheven) wanneer Windows Firewall met geavanceerde beveiliging wordt uitgevoerd, ongeacht of er een programma of systeemservice luistert naar binnenkomend verkeer op de poort. Daarom moet u een programmaregel in plaats van een poortregel maken als u ongevraagd binnenkomend verkeer via Windows Firewall met geavanceerde beveiliging wilt toestaan.

Tabblad Bereik

Gebruik het tabblad Bereik om een IP-adres, een subnet of een reeks IP-adressen op te geven. U kunt zowel IPv4- als IPv6-adressen gebruiken.

Lokale IP-adressen

Onder Lokale IP-adressen kunt u de firewallregel configureren die moet worden toegepast als de doelcomputer de lokale computer is. U kunt aangeven wanneer de regel op de lokale computer van toepassing is door een IP-adres op te geven, of een IP-adresbereik wanneer de doelcomputers zich op een bepaalde tak van het netwerk bevinden.

Externe IP-adressen

Onder Externe IP-adressen kunt u de firewallregel configureren die moet worden toegepast als de doelcomputer een externe computer is. U kunt aangeven wanneer de regel op externe computers van toepassing is door een IP-adres op te geven, of een IP-adresbereik wanneer de doelcomputers zich op een bepaalde tak van het netwerk bevinden.

Informatie over het opgeven van IP-adressen

  • IPv4.Geef één IP-adres op, bijvoorbeeld 172.30.160.169, of een subnet, zoals 146.53.0.0/24, wanneer uw netwerk gebruikmaakt van IPv4-adressering.

  • IPv6. Geef één IP-adres op als acht sets van vier hexadecimale cijfers die van elkaar worden gescheiden door dubbele punten (of in een vergelijkbare toegestane indeling) of als een subnet, als uw netwerk gebruikmaakt van IPv6-adressering.

  • U kunt in beide gevallen een reeks adressen opgeven door in de velden Van en T/m het eerste en het laatste IP-adres van de reeks te specificeren.

Extra naslaginformatie