Med hjälp av guiden Konfigurera säkerhet kan du skapa brandväggsregler som tillåter att den här datorn skickar trafik till eller tar emot trafik från program, systemtjänster, datorer eller användare. Brandväggsregler kan skapas så att någon av tre åtgärder utförs för alla anslutningar som uppfyller villkoren i regeln: tillåta anslutningen, endast tillåta en anslutning som har gjorts säker med hjälp av IPsec (Internet Protocol Security) eller uttryckligen blockera anslutningen.

Viktigt!

Brandväggsregler tillåter trafik genom brandväggen, men gör inte denna trafik säker. Du kan skapa anslutningssäkerhetsregler om du vill göra trafiken säker med IPsec. Om du skapar en anslutningssäkerhetsregel tillåts dock inte trafiken att passera brandväggen. Du måste skapa en brandväggsregel för detta, om trafiken inte tillåts med brandväggens standardinställningar. Anslutningssäkerhetsregler tillämpas inte på program eller tjänster. De tillämpas mellan två datorer. Snapin-modulen Windows-brandväggen med avancerad säkerhet (FW.msc) måste användas när du skapar anslutningssäkerhetsregler.

Fliken Allmänt

Regler kan skapas antingen för inkommande trafik eller för utgående trafik. Regeln kan konfigureras så att du anger program, tjänster, protokoll eller portar. När IT-miljön förändras kan du behöva ändra, skapa eller ta bort regler.

Brandväggsregler tillämpas i följande prioritetsordning:

  • Autentiserat kringgående (regler som åsidosätter blockeringsregler)

  • Blockera anslutning

  • Tillåt anslutning

Regler för inkommande trafik

Regler för inkommande trafik tillåter eller blockerar uttryckligen trafik försöker att nå den dator som uppfyller villkoren i regeln. Du kan till exempel konfigurera en regel så att den uttryckligen tillåter trafik som gjorts säker med IPsec för Fjärrskrivbord genom brandväggen, men blockerar samma trafik om den inte gjorts säker med IPsec. När Windows först installeras blockeras inkommande trafik, för att tillåta trafik måste du skapa en regel för inkommande trafik.

Regler för utgående trafik

Regler för utgående trafik tillåter eller blockerar uttryckligen trafik som kommer från den dator som uppfyller villkoren i regeln. Du kan till exempel konfigurera en regel så att utgående trafik uttryckligen blockeras till en dator genom brandväggen, men tillåter samma trafik till andra datorer. Utgående trafik tillåts som standard, så du måste skapa en regel för utgående trafik om du vill blockera trafiken.

Fliken Program och tjänster

Eftersom all inkommande ofiltrerad TCP/IP-trafik blockeras i Windows-brandväggen med avancerad säkerhet som standard kan du behöva konfigurera regler för program, portar och systemtjänster för program eller tjänster som fungerar som servrar, lyssnare eller peer-datorer. Regler för program, portar och systemtjänster måste hanteras regelbundet i takt med att serverrollerna eller konfigurationerna ändras.

Viktigt!

Inställningarna för en brandväggsregel ökar begränsningsnivåerna i villkoren i regeln som en anslutningsbegäran matchas mot. Om du till exempel inte anger ett program eller en tjänst på fliken Program och tjänster tillåts alla program och tjänster att ansluta om de uppfyller andra kriterier. Ju mer detaljerade villkor, desto mer restriktiv blir regeln, och sannolikheten att villkoren uppfylls minskar.

När du vill lägga till ett program i regellistan måste du ange den fullständiga sökvägen till den körbara filen (.exe) som används av programmet. En systemtjänst som körs med en egen unik EXE-fil och som inte har en tjänstebehållare som värd anses vara ett program och kan läggas till i regellistan. På samma sätt kan ett program som fungerar som en systemtjänst och körs, oavsett om en användare är inloggad på datorn eller inte, anses vara ett program så länge det körs med sin egna unika exe-fil.

Varning

Om du lägger till program som är värdar för tjänster, t.ex. Svchost.exe, Dllhost.exe och Inetinfo.exe, i regellistan utan några ytterligare begränsningar kan datorn bli sårbar för säkerhetshot. Att lägga till de här programmen kan också orsaka konflikter med andra tjänsthärdningsprinciper som kör Windows Server 2008 R2 eller Windows Server 2008.

När du lägger till ett program i regellistan öppnas (avblockeras) och stängs (blockeras) portarna som behövs i programmet dynamiskt i Windows-brandväggen med avancerad säkerhet. När programmet körs och inkommande trafik avlyssnas öppnas de portar som krävs i Windows-brandväggen med avancerad säkerhet. När programmet inte körs eller inkommande trafik inte avlyssnas stängs portarna. På grund av det här dynamiska funktionssättet rekommenderas metoden att lägga till program i regellistan om du vill tillåta ofiltrerad inkommande trafik genom Windows-brandväggen med avancerad säkerhet.

OBS

Du kan använda programregler för att tillåta ofiltrerad inkommande trafik genom Windows-brandväggen med avancerad säkerhet endast om Winsock (Windows Sockets) används för att skapa porttilldelningar i programmet. Om Winsock inte används för porttilldelning i ett program måste du ange vilka portar som används i programmet och lägga till dessa portar i regellistan.

Fliken Protokoll och portar

I vissa fall måste du bestämma vilken eller vilka portar som används av programmet eller systemtjänsten om du inte kan lägga till ett program eller en systemtjänst i regellistan, och sedan lägga till porten eller portarna i regellistan för Windows-brandväggen med avancerad säkerhet.

På fliken Protokoll och portar kan du välja i en lista över de mest använda protokollen och tillhörande protokollnummer. Om protokollet som du vill lägga till inte finns i listan kan du välja Anpassat och ange protokollnumret.

Om du väljer protokollet TCP eller UDP kan du sedan ange de lokala portarna och fjärrportarna som regeln gäller för. När du lägger till en TCP- eller UDP-port i regellistan öppnas (avblockeras) porten när Windows-brandväggen med avancerad säkerhet körs och oavsett om det finns ett program eller en systemtjänst som avlyssnar inkommande trafik via porten eller inte. Av den här anledningen bör du skapa en programregel i stället för en portregel om du behöver tillåta ofiltrerad inkommande trafik via Windows-brandväggen med avancerad säkerhet.

Fliken Omfång

Använd fliken Omfång när du vill ange en IP-adress, ett undernät eller ett IP-adressintervall. Du kan använda både IPv4- och IPv6-IP-adresser.

Lokala IP-adresser

Under Lokala IP-adresser kan du ange att brandväggsregeln gäller när måldatorn är den lokala datorn. Du kan också definiera när regeln gäller för den lokala datorn genom att ange en IP-adress eller ett IP-adressintervall om du vill att regeln ska gälla för datorer som finns inom en viss del av nätverket.

Fjärr-IP-adresser

Under Fjärr-IP-adresser kan du ange att brandväggsregeln gäller när måldatorn är en fjärrdator. Du kan också definiera när regeln gäller för fjärrdatorer genom att ange en IP-adress eller ett IP-adressintervall om du vill att regeln ska gälla för datorer som finns inom en viss del av nätverket.

Om att ange IP-adresser

  • IPv4. Om IPv4-adressering används i nätverket kan du ange en separat IP-adress, till exempel 172.30.160.169, eller ett undernät, till exempel 146.53.0.0/24.

  • IPv6. Om IPv6-adressering används i nätverket kan du ange en separat IP-adress som åtta grupper av fyra hexadecimaltal som avgränsas med kolon (eller i ett liknande format som är tillåtet) eller som ett undernät.

  • Med båda formaten anger du den första (Från) och sista (Till) IP-adressen i regeln när du vill ange ett adressintervall.

Ytterligare referenser