Создание базовой политики брандмауэра

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Во многих организациях есть брандмауэр периметра сети, который предназначен для предотвращения входа вредоносного трафика в сеть организации, но не включен брандмауэр на основе хост-кода на каждом устройстве организации.

Базовый дизайн политики брандмауэра помогает защитить устройства в организации от нежелательного сетевого трафика, который получает защиту периметра или возникает из вашей сети. В этом проекте вы развертывание правил брандмауэра на каждом устройстве в организации, чтобы разрешить трафик, необходимый используемым программам. Трафик, не совпадает с правилами, отброшен.

Трафик может быть заблокирован или разрешен в зависимости от характеристик каждого сетевого пакета: его источника или IP-адреса назначения, его исходных или адресных номеров порта, программы на устройстве, которое получает входящий пакет, и так далее. Эта конструкция также может быть развернута вместе с одним или более другими проектами, которые добавляют защиту IPsec в разрешенный сетевой трафик.

Многие сетевые администраторы не хотят решать трудную задачу определения всех необходимых правил для каждой программы, используемой организацией, а затем сохранения этого списка с течением времени. На самом деле большинство программ не требуют определенных правил брандмауэра. По умолчанию поведение Windows и большинства современных приложений упрощает эту задачу:

  • На клиентских устройствах поведение брандмауэра по умолчанию уже поддерживает типичные клиентские программы. В процессе установки программы создают для вас все необходимые правила. Необходимо создать правило, только если клиентская программа должна иметь возможность получать нежелательный входящий сетевой трафик с другого устройства.

  • При установке серверной программы, которая должна принимать нежелательный входящий сетевой трафик, программа установки, скорее всего, создает или включает соответствующие правила на сервере для вас.

    Например, при установке роли сервера автоматически создаются и включены соответствующие правила брандмауэра.

  • Для других стандартных сетевых правил можно легко настроить заранее установленные правила, встроенные в Windows 11, Windows 10, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8 и Windows 7 в GPO и развернуты на устройствах в вашей организации.

    Например, с помощью предопределяемых групп для общего доступа к основным сетям и файлам и принтерам можно легко настроить GPOs с правилами для часто используемых сетевых протоколов.

За редким исключением брандмауэр можно включить во всех конфигурациях. Поэтому рекомендуется включить брандмауэр на каждом устройстве в организации. Это включает серверы в сети периметра, мобильные и удаленные клиенты, подключенные к сети, а также все серверы и клиенты внутренней сети.

Внимание!

Остановка службы, связанной Защитник Windows брандмауэра с advanced Security, не поддерживается Корпорацией Майкрософт.

По умолчанию в новых установках Защитник Windows брандмауэр с расширенным обеспечением включен в Windows Server 2012, Windows 8 и более поздней.

При отключении Защитник Windows брандмауэра вы потеряете другие преимущества, предоставляемые службой, такие как возможность использования правил безопасности подключения IPsec, Windows закалки службы и защиты сети от форм атак с использованием сетевой дактилоскопии.

Совместимое программное обеспечение брандмауэра сторонних разработчиков может программным образом отключить только Защитник Windows брандмауэра, которые могут быть отключены для совместимости. Это рекомендуемый подход к совместному сосуществованию сторонних брандмауэров с брандмауэром Защитник Windows; брандмауэры сторонних сторон, соответствующие этой рекомендации, имеют сертифицированный логотип корпорации Майкрософт.

Обычно организация использует эту конструкцию в качестве первого шага к более комплексной Защитник Windows брандмауэра, которая добавляет изоляции серверов и изоляции домена.

После реализации этой разработки будет централизованное управление правилами брандмауэра, применяемыми ко всем устройствам, работающим Windows организации.

Важно!

Если вы также собираетесь развернуть разработку политики изоляции домена илиразработку политики изоляции серверов, рекомендуется совместно работать над всеми тремя проектами, а затем развернуть в слоях, соответствующих каждому проекту.

Основная конструкция брандмауэра может применяться к устройствам, которые являются частью леса Active Directory. Active Directory необходим для централизованного управления и развертывания объектов групповой политики, содержащих параметры и правила брандмауэра.

Дополнительные сведения об этом проекте: