Usando o Assistente de Configuração de Software (ACS), você pode criar regras de firewall para permitir que este computador envie tráfego para ou receba-o de programas, serviços do sistema, computadores ou usuários. As regras de firewall podem ser criadas para adotar uma das três seguintes ações para todas as conexões que corresponderem aos critérios da regra: permitir a conexão, permitir apenas uma conexão que esteja protegida pelo uso do protocolo IPSec (Internet Protocol Security) ou bloquear explicitamente a conexão.

Importante

As regras de firewall permitem o tráfego no firewall, mas não o protegem. Para proteger o tráfego com o protocolo IPSec, você pode criar regras de segurança da conexão. Entretanto, a criação de uma regra de segurança da conexão não permite o tráfego através do firewall. Para isso, é necessário criar uma regra de firewall caso o tráfego não seja permitido pelo comportamento padrão do firewall. As regras de segurança da conexão não são aplicadas a programas ou serviços; elas são aplicadas entre dois computadores. O snap-in Firewall do Windows com Segurança Avançada (FW.msc) deve ser usado para criar regras de segurança de conexão.

Guia Geral

As regras podem ser criadas para tráfego de entrada ou de saída, A regra pode ser configurada para especificar o programa, o serviço, o protocolo ou a porta. Conforme seu ambiente de TI for mudando, você pode alterar, criar ou excluir regras.

As regras de firewall são aplicadas na seguinte ordem de prioridade:

  • Bypass autenticado (regras que substituem regras de bloqueio)

  • Bloquear conexão

  • Permitir conexão

Regras de entrada

As regras de entrada permitem ou bloqueiam explicitamente o tráfego que tenta acessar o computador que corresponde aos critérios na regra. Por exemplo, você pode configurar uma regra para permitir explicitamente que o tráfego protegido pelo protocolo IPSec passe para a área de trabalho remota através do firewall, mas seja bloqueado caso não esteja protegido pelo protocolo. Quando o Windows é instalado pela primeira vez, o tráfego de entrada está bloqueado; para permitir o tráfego, é preciso criar uma regra de entrada.

Regras de saída

As regras de saída permitem ou bloqueiam explicitamente o tráfego originado do computador que corresponde aos critérios na regra. Por exemplo, é possível configurar uma regra para bloquear explicitamente o tráfego de saída para um computador específico através do firewall, mas permitir esse mesmo tráfego para outros computadores. Por padrão, o tráfego de saída é permitido. Portanto, é necessário criar uma regra de saída para bloqueá-lo.

Guia Programas e Serviços

Como o Firewall do Windows com Segurança Avançada bloqueia, por padrão, todo o tráfego TCP/IP de entrada não solicitado, pode ser que você precise configurar regras de programas, de portas e de serviços do sistema para os programas ou os serviços que estão atuando como servidores, ouvintes ou computadores ponto a ponto. As regras de programas, portas e serviços do sistema devem ser gerenciadas constantemente, à medida que as configurações ou funções do servidor mudarem.

Importante

As configurações de uma regra de firewall adicionam níveis crescentes de restrição aos critérios da regra que deverão ser atendidos pelas solicitações de conexão. Por exemplo, se você não especificar um programa ou serviço na guia Programas e Serviços, todos os programas e serviços terão permissão para se conectar se atenderem a outros critérios. Portanto, adicionar critérios mais detalhados torna a regra cada vez mais restritiva, diminuindo a probabilidade de ela ser atendida.

Para adicionar um programa à lista de regras, você deve especificar o caminho completo para o arquivo executável (.exe) usado pelo programa. Um serviço do sistema que é executado em seu próprio arquivo .exe exclusivo e não é hospedado por um contêiner de serviços é considerado como sendo um programa e pode ser adicionado à lista de regras. Da mesma maneira, um programa que funciona como um serviço do sistema e é executado independentemente de um usuário estar ou não conectado ao computador também é considerado um programa, desde que seja executado em seu próprio arquivo .exe exclusivo.

Cuidado

A adição de programas que hospedem serviços como, por exemplo, Svchost.exe, Dllhost.exe e Inetinfo.exe, à lista de regras sem outras restrições na regra pode expor o computador a riscos de segurança. Além disso, a inclusão desses programas pode gerar conflito com outras diretivas do sistema de proteção de serviços nos computadores que estejam executando o Windows Server 2008 R2 ou Windows Server 2008.

Quando você adiciona um programa à lista de regras, o Firewall do Windows com Segurança Avançada abre (desbloqueia) e fecha (bloqueia) dinamicamente as portas necessárias para o programa. Quando o programa está em execução e está escutando tráfego de entrada, o Firewall do Windows com Segurança Avançada abre as portas necessárias; quando o programa não está em execução ou não está escutando o tráfego de entrada, o Firewall do Windows com Segurança Avançada fecha as portas. Devido a esse comportamento dinâmico, a inclusão de programas na lista de regras é o método recomendado para permitir que o tráfego de entrada não solicitado passe pelo Firewall do Windows com Segurança Avançada.

Observação

Você pode usar regras do programa para permitir que tráfego de entrada não solicitado passe pelo Firewall do Windows com Segurança Avançada somente se o programa usar Windows Sockets (Winsock) para criar atribuições de porta. Se um programa não utilizar o Winsock para atribuir portas, é necessário determinar quais portas o programa usa e adicioná-las à lista de regras.

Guia Protocolos e Portas

Em alguns casos, se não for possível adicionar um programa ou um serviço do sistema à lista de regras, você precisará determinar qual ou quais portas o programa ou serviço utiliza e, então, adicioná-la(s) à lista de regras do Firewall do Windows com Segurança Avançada.

Na guia Protocolos e Portas, você pode fazer seleções em uma lista de protocolos usados com mais frequência e seus números de protocolo associados. Se o protocolo que deseja adicionar não estiver na lista, você poderá selecionar Personalizado e especificar o número do protocolo.

Se escolher o protocolo TCP ou UDP, você poderá especificar as portas locais e remotas às quais a regra será aplicada. Quando você adiciona uma porta TCP ou UDP à lista de regras, ela é aberta (desbloqueada) toda vez que o Firewall do Windows com Segurança Avançada está em execução, independentemente de haver ou não um programa ou serviço do sistema escutando o tráfego nela. Por isso, para permitir que o tráfego de entrada não solicitado passe pelo Firewall do Windows com Segurança Avançada, você deverá criar uma regra de programa, e não uma regra de porta.

Guia Escopo

Use a guia Escopo para especificar um endereço IP, uma sub-rede ou um intervalo de endereços IP. Você pode usar os dois endereços IP – IPv4 e IPv6.

Endereços IP locais

Em Endereços IP Locais, você pode configurar a regra de firewall a ser aplicada quando o computador de destino for o computador local. Também é possível identificar quando a regra se aplica ao computador local, especificando um endereço IP ou um intervalo de endereços IP para aplicar a regra aos computadores que estejam em uma determinada ramificação da rede.

Endereços IP remotos

Em Endereços IP Remotos, você pode configurar a regra de firewall a ser aplicada quando o computador de destino for um computador remoto. Também é possível identificar quando a regra se aplica a computadores remotos, especificando um endereço IP ou um intervalo de endereços IP para aplicar a regra aos computadores que estejam em uma determinada ramificação da rede.

Sobre a especificação de endereços IP

  • IPv4. Se a rede usar endereçamento IPv4, você poderá especificar um único endereço IP, como 172.30.160.169, ou uma sub-rede, como 146.53.0.0/24.

  • IPv6. Se a rede usar endereçamento IPv6, você poderá especificar um único endereço IP como oito conjuntos de quatro dígitos hexadecimais separados por vírgulas (ou em um formato equivalente e permitido) ou como uma sub-rede.

  • Em ambos os formatos, para especificar um intervalo de endereços, basta especificar o primeiro (De) e o último (Até) endereço IP incluído na regra.

Referências adicionais