Это странное слово Брандмауэр: что это, как настроить и чем опасно его отключение?

Знаете ли вы, какие порты открыты у вашего компьютера? Уверены, что никто не пытается «взломать» вашу сеть? Пропускает ли ваш брандмауэр запрещённые подключения? О том, как важно знать ответы на эти вопросы, расскажем в новом материале вместе с инженером по безопасности REG.RU Артёмом Мышенковым.

Брандмауэр, он же фаервол (firewall), он же межсетевой экран — это технологический барьер, который защищает сеть от несанкционированного или нежелательного доступа. Проще говоря, фаервол — охранник вашего компьютера, как и антивирус. И то и другое мы рекомендуем всегда держать включённым.

В чём же состоит риск отключения фаервола? Дело в том, что по умолчанию в вашем компьютере могут быть открытые порты, которые станут «входом» для злоумышленников.

Один из таких примеров — популярная служба Microsoft-DS (порт 445). С этим портом связаны крупные атаки наподобие WannaCry, а также другие уязвимости высокого уровня критичности. Чаще всего порт 445 просто открыт по умолчанию и необходимости в нём нет.

Примеры уязвимостей, связанных с портом 445. Справа отражена оценка уязвимости искусственным интеллектом Vulners AI, а также оценка по системе CVSS (Common Vulnerability Scoring System).

Как работает брандмауэр?

Сетевые экраны бывают двух основных видов: аппаратные и программные. Аппаратные разделяют разные подсети и фильтруют трафик между ними. Программные делают то же самое, но на уровне операционной системы.

Принцип действия сетевых экранов на разных ОС одинаковый: они работают на основе разрешающих и запрещающих правил. Разрешающие правила, как нетрудно догадаться, разрешают сетевые подключения для определённых портов, IP-адресов или программ. Такие подключения бывают исходящие и входящие.

Простой принцип настройки брандмауэра — разрешить только необходимые подключения и запретить все остальные. Посмотрим, как сделать это в операционных системах macOS, Windows и Linux.

Настройка firewall в macOS

Чтобы включить фаервол в macOS, нажмите на «яблоко» → «Системные настройки» → «Защита и безопасность». Выберите вкладку «Брандмауэр» и нажмите кнопку «Включить брандмауэр».

Защита и безопасность

После этого брандмауэр будет показывать предупреждение, когда какая-нибудь программа попытается открыть порт для доступа входящих соединений.

Если вы уверены, что приложению действительно необходим доступ к порту, то при нажатии кнопки «Разрешить» вы добавите программу в исключения брандмауэра, и для неё появится разрешающее правило. В противном случае нажмите «Отказать», чтобы создать запрещающее правило.

Настройка firewall в Windows

Самый популярный запрос в Google про Брандмауэр Windows — как его отключить. Это не наш метод! Возможно, интерфейс Брандмауэра Windows не самый дружелюбный, но мы попробуем с ним разобраться.

Если в системе установлены сторонние сетевые экраны, например Comodo Firewall или брандмауэр в составе антивируса Avast или Kaspersky, то встроенный Брандмауэр Windows работать не будет. Если же других сетевых экранов нет, то Брандмауэр должен быть обязательно включён.

Мы настроим Брандмауэр Windows в режиме повышенной безопасности.

Сначала нужно обязательно сделать бэкап политик (политика — набор правил для входящих и исходящих подключений): если что-то сломается, можно будет восстановить предыдущее состояние.

Делаем резервную копию, сохраняем политики.

Для входящих и исходящих подключений Брандмауэр Windows работает в одном из трёх режимов:

• разрешить — разрешены все подключения, кроме тех, что описаны в запрещающих правилах;
• блокировать (по умолчанию) — запрещены все подключения, кроме тех, что описаны в разрешающих правилах;
• блокировать все подключения — разрешающие правила не действуют.

Предлагаем вам два варианта настройки на выбор: попроще и посложнее.

Попроще

Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать все подключения».

Теперь будут заблокированы все входящие подключения независимо от правил.

Посложнее

Откройте «Свойства брандмауэра Windows». Во вкладках всех профилей выберите «Брандмауэр → Включить», «Входящие подключения → Блокировать (по умолчанию)».

При такой настройке будут блокироваться входящие подключения, для которых нет разрешающих правил.

Откройте вкладку «Правила для входящих подключений».

Оставьте только нужные разрешающие правила, либо удалите все. После этого брандмауэр будет запрашивать подтверждение, если какая-либо программа попытается открыть порт для входящих соединений.

Если вы уверены в приложении и знаете, что ему действительно необходим доступ к порту, то нажмите «Разрешить доступ», чтобы создать разрешающее правило. В противном случае нажмите «Отмена» — для приложения появится запрещающее правило.

Настройка firewall в Linux

Самое распространённое решение для Linux-систем — встроенный межсетевой экран Netfilter. Даже некоторые платные фаерволы под капотом используют именно его.

Настроить Netfilter можно с помощью утилит iptables или ufw.

Утилиту ufw настроить гораздо проще.

Заключение

Мы раскрыли базовые понятия, связанные с сетевыми экранами, но эта тема очень обширная. Если у вас появились вопросы — не стесняйтесь задавать в комментариях, мы обязательно ответим.

Включение брандмауэра в Windows 7

Брандмауэр Windows производит контроль за доступом приложений к сети. Поэтому он является первостепенным элементом защиты системы. По умолчанию он включен, но по различным причинам могло произойти его отключение. Этими причинами могут являться как сбои в системе, так и целенаправленная остановка фаервола пользователем. Но долго без защиты компьютер оставаться не может. Поэтому, если взамен брандмауэра не был установлен аналог, то актуальным становится вопрос его повторного включения. Посмотрим, как это сделать в Windows 7.

Включение защиты

Процедура включения брандмауэра напрямую зависит от того, что именно послужило причиной выключения данного элемента ОС, и каким способом его остановка была произведена.

Способ 1: Значок в трее

Наиболее простой способ включить встроенный фаервол Windows при стандартном варианте его отключения — использование значка Центра поддержки в трее.

Кликаем по значку в виде флажка «Устранение проблем ПК» в системном трее. Если он не отображается, то это значит, что иконка располагается в группе скрытых значков. В таком случае нужно сначала кликнуть по пиктограмме в форме треугольника «Отображать скрытые значки», а уже потом выбрать иконку устранения проблем.

После этого всплывет окошко, в котором должна быть надпись «Включить брандмауэр Windows (важное)». Кликаем по данной надписи.

После выполнения данной процедуры защита будет запущена.

Способ 2: Центр поддержки

Включить брандмауэр также можно, непосредственно посетив Центр поддержки через значок в трее.

Жмем по значку в трее «Устранение проблем» в виде флажка, о котором шел разговор при рассмотрении первого способа. В запустившемся окошке жмем по надписи «Открыть центр поддержки».

Открывается окно Центра поддержки. В блоке «Безопасность» в случае, если защитник действительно отключен, будет надпись «Сетевой брандмауэр (Внимание!)». Для активации защиты следует щелкнуть по кнопке «Включить сейчас».

Способ 3: подраздел Панели управления

Фаервол можно снова запустить в подразделе Панели управления, которой посвящен его настройкам.

Щелкаем «Пуск». Переходим по надписи «Панель управления».

Переходим по «Система и безопасность».

Перейдя в раздел, нажмите на «Брандмауэр Windows».

Переместиться в подраздел настроек фаервола можете и применив возможности инструмента «Выполнить». Инициируйте запуск, набрав Win+R. В области открывшегося окна вбейте:

Активируется окно настроек фаервола. В нем говорится о том, что в брандмауэре не используются рекомендованные параметры, то есть, защитник отключен. Об этом также свидетельствуют значки в виде щита красного цвета с крестиком внутри, которые находятся около наименований типов сетей. Для включения можно применить два метода.

Первый из них предусматривает простое нажатие на «Использовать рекомен. параметры».

Второй вариант позволяет произвести точную настройку. Для этого следует кликнуть по надписи «Включение и отключение брандмауэра Windows» в боковом списке.

В окне имеются два блока, которые соответствуют общественному и домашнему сетевому подключению. В обоих блоках переключатели следует установить в позицию «Включение брандмауэра Windows». При желании тут же можно определить, стоит ли активировать блокировку всех без исключения входящих подключений и сообщать, когда фаервол блокирует новое приложение. Делается это путем установки или снятия галочек около соответствующих параметров. Но, если вы не сильно разбираетесь в значениях данных настроек, то лучше их оставить по умолчанию, как это показано на изображении ниже. После завершения настроек обязательно жмем «OK».

После этого происходит возврат в главное окно настроек брандмауэра. Там сообщается о том, что защитник функционирует, о чем свидетельствуют также значки щитов зеленого цвета с галочками внутри.

Способ 4: включение службы

Снова запустить фаервол можно также с помощью включения соответствующей службы, если выключение защитника было вызвано её преднамеренной или аварийной остановкой.

Для перехода в Диспетчер служб, нужно в разделе «Система и безопасность» Панели управления щелкнуть по наименованию «Администрирование». Как попасть в раздел настроек системы и безопасности говорилось при описании третьего способа.

В наборе представленных системных утилит в окне администрирования следует щелкнуть по наименованию «Службы».

Диспетчер можете открыть и с помощью «Выполнить». Запускаем инструмент (Win+R). Вписываем:

Ещё один вариант перехода в Диспетчер служб предполагает использование Диспетчера задач. Вызываем его: Ctrl+Shift+Esc. Переходим в раздел «Службы» Диспетчера задач, а затем щелкаем по имеющей аналогичное название кнопке внизу окна.

Каждое из трех описанных действий приводит к вызову Диспетчера служб. Ищем в перечне объектов название «Брандмауэр Windows». Выделяем его. Если элемент отключен, то в колонке «Состояние» будет отсутствовать атрибут «Работает». Если в колонке «Тип запуска» установлен атрибут «Автоматически», то защитник можно запустить, просто щелкнув по надписи «Запустить службу» в левой части окна.

Если же в колонке «Тип запуска» стоит атрибут «Вручную», то следует поступить немного по-другому. Дело в том, что мы, конечно, можем включить службу так, как было описано выше, но при повторном включении компьютера защита не запустится автоматически, так как службу снова придется включать вручную. Чтобы избежать подобной ситуации, дважды кликаем по «Брандмауэр Windows» в перечне левой кнопкой мышки.

Открывается окно свойств в разделе «Общие». В области «Тип запуска» из раскрывшегося перечня вместо «Вручную» выбираем вариант «Автоматически». Затем последовательно жмем по кнопкам «Запустить» и «OK». Служба будет запущена, а окно свойств закрыто.

Если же в области «Тип запуска» стоит вариант «Отключена», то дело осложняется ещё больше. Как видим, при этом в левой части окна отсутствует даже надпись для включения.

Опять заходим в окно свойств, дважды кликнув по наименованию элемента. В поле «Тип запуска» устанавливаем вариант «Автоматически». Но, как видим, включить службу мы все-таки не можем, так как кнопка «Запустить» не активна. Поэтому щелкните «OK».

Как видим, теперь в Диспетчере при выделении наименования «Брандмауэр Windows» в левой части окна появилась надпись «Запустить службу». Щелкаем по ней.

Выполняется процедура запуска.

После этого служба будет запущена, о чем свидетельствует атрибут «Работает» напротив её названия в колонке «Состояние».

Способ 5: конфигурация системы

Остановленную службу «Брандмауэр Windows» можно запустить также, воспользовавшись инструментом конфигурации системы, если она там была ранее выключена.

Для перехода к нужному окну вызываем «Выполнить» нажатием Win+R и вводим в него команду:

Также можно, находясь в Панели управления в подразделе «Администрирование», в перечне утилит выбрать «Конфигурация системы». Эти действия будут равнозначными.

Запускается окно конфигурации. Перемещаемся в нем в раздел под названием «Службы».

Перейдя в указанную вкладку в перечне ищем «Брандмауэр Windows». Если данный элемент был выключен, то около него будет отсутствовать галочка, а также в колонке «Состояние» будет указан атрибут «Отключена».

Чтобы произвести включение ставим галочку около наименования службы и щелкаем последовательно «Применить» и «OK».

Открывается диалоговое окно, в котором говорится, что для вступления изменений настроек в силу требуется перезагрузить компьютер. Если вы хотите включить защиту немедленно, то жмите на кнопку «Перезагрузка», но предварительно закройте все работающие приложения, а также сохраните несохраненные файлы и документы. Если вы не считает, что установка защиты встроенным фаерволом нужна немедленно, то в этом случае жмите «Выход без перезагрузки». Тогда защита будет включена при следующем запуске компьютера.

После перезагрузки служба защиты будет включена, в чем можно убедиться, повторно зайдя в окне конфигурации в раздел «Службы».

Как видим, существует сразу несколько способов включения брандмауэра на компьютере под управлением операционной системы Виндовс 7. Конечно, можно применять любой из них, но рекомендуется, если остановка защиты произошла не по причине действий в Диспетчере служб или в окне конфигурации, все-таки использовать другие методы включения, в частности в разделе настроек брандмауэра в Панели управления.