В предыдущей заметке, мы обсуждали вопрос блокировки UDP трафика для защиты от утечки реального IP-адреса, при использовании технологии WebRTC в самом браузере. Сегодня, мы будем настраивать правила брандмауэра, при помощи встроенного брандмауэра Windows.
По теме: «Что такое WebRTC и как это касается меня?». В конце заметки, есть способ блокировки UDP-трафика, при помощи брандмауэра Symantec Endpoint Protection.
Примечательно, что стандартный брандмауэр Windows, часто называют неудобным и дырявым. Однако, если разобраться в его настройках, можно создать эффективную защиту, без использования стороннего защитного программного обеспечения и дополнительных финансовых затрат.
Нужна компьютерная помощь? Есть проблемы, которые не можете устранить самостоятельно?
Надежные исполнители по доступным ценам.
Как открыть «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности»?
Запускаем «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности». Для этого, нажмите на клавиатуре сочетание клавиш Win -> R и в открывшемся окне «Выполнить», вставьте команду:
WF.msc
и нажмите «ОК».
Откроется окно «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности включен Локальный компьютер», где можно создавать правила для входящих и исходящих подключений в брандмауэре Windows.
Создаем правила для входящих подключений в брандмауэре Windows 10.
В открывшемся окне «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности включен Локальный компьютер», выбираем вкладку «Правила для входящих подключений». В окне «Действия», выбираем параметр «Создать правило...»:
В открывшемся окне «Тип правила», выбираем «Для порта» и нажимаем «Далее»:
В окне «Протокол и порты», выбираем необходимый протокол (UDP или TCP). В частности, если мы хотим заблокировать UDP трафик для защиты от утечки реального IP-адреса через WebRTC, нам нужно выбрать «Протокол UDP»:
В параметрах «Укажите порты, к которым будет применяться это правило», необходимо выбрать либо «Все локальные порты» или указать конкретный порт/порты (можно указать несколько портов, через запятую), выбрав «Определенные локальные порты». Если вы, хотите заблокировать UDP трафик в браузере, вам нужно указать два порта:
- 80 - используется браузерами для http-подключений
- 443 - используется браузерами для https-подключений
*Как альтернативный вариант для HTTP, может использоваться 8080 порт.
Список всех TCP и UDP портов, можно посмотреть тут.
При этом, лучше выбрать вариант «Все локальные порты» и потом, после создания правила, отредактировать его (ниже, описаны действия). Если полностью заблокировать UDP трафик посредством брандмауэра Windows и не отредактировать правило, будет потерян доступ в Интернет, в большинстве случаев.
Либо, если хотите заблокировать полностью весь UDP трафик, можете выбрать «Все локальные порты». Тогда, весь входящий UDP трафик, будет блокирован.
В новом окне «Действия», выбираем «Блокировать подключение» и нажимаем «Далее»:
В окне «Профиль», оставляем все по умолчанию и нажимаем «Далее»:
В окне «Имя», указываем желаемое имя/название правила брандмауэра и нажимаем «Готово»:
Создаем правила для исходящих подключений в брандмауэре Windows 10.
Для создания правила блокировки UDP трафика при исходящих соединениях, посредством создания правила в стандартном брандмауэре Windows 10, ничем не отличается от создания правил для входящего трафика (описан выше).
Выбираем параметр «Правила для исходящих подключений». В окне «Действия», выбираем параметр «Создать правило...»:
В открывшемся окне «Тип правила», выбираем «Для порта» и нажимаем «Далее»:
В окне «Протокол и порты», выбираем необходимый протокол (UDP или TCP). В частности, если мы хотим заблокировать UDP трафик для защиты от утечки реального IP-адреса через WebRTC, нам нужно выбрать «Протокол UDP»:
Как и в случае создания правила для входящих подключений, если вы, хотите заблокировать UDP трафик в браузере, вам нужно указать два порта:
- 80 - используется браузерами для http-подключений
- 443 - используется браузерами для https-подключений
*Как альтернативный вариант для HTTP, может использоваться 8080 порт.
Список всех TCP и UDP портов, можно посмотреть тут.
При этом, как и в случае с созданием правила для создания входящего подключения, надежнее будет выбрать вариант «Все локальные порты», а потом, настроить правило под блокировку UDP трафика, только из конкретного приложения.
Либо, если хотите заблокировать полностью весь UDP трафик, можете выбрать «Все локальные порты». Тогда, весь входящий UDP трафик, будет блокирован.
В новом окне «Действия», выбираем «Блокировать подключение» и нажимаем «Далее»:
В окне «Профиль», оставляем все по умолчанию и нажимаем «Далее»:
В окне «Имя», указываем желаемое имя/название правила брандмауэра и нажимаем «Готово»:
Данным способом, можно создавать любые правила для брандмауэра Windows 10. При этом, у нас нет возможности при создании правила брандмауэра, более гибко настроить брандмауэр Windows 10, чтобы блокировать например UDP трафик только для браузера. Для этого, мы можем указать только порты. Однако, их могут использовать и другие программы. Полная блокировка UDP трафика, может негативно сказаться на работе ряда программ и зачастую, полностью блокирует выход в Сеть. Прежде, чем использовать данные настройки, сначала вникните в суть и поймите, что вам именно нужно. При этом, мы можем после создания правила, произвести более тонкую настройку правила и указать, например, что нужно блокировать не весь UDP трафик, а только для конкретного приложения (например, только в браузере). Таким образом, мы сохраним доступ в Сеть и защитимся от утечки IP-адреса при использовании браузера с поддержкой технологии WebRTC.
Тонкая настройка правил стандартного брандмауэра Windows 10.
После того, как вы создадите правила для входящих и исходящих подключений, вы сможете их в последствии:
- Отключить правило (1.)
- Удалить правило (2.)
- Тонкая настройка правила (3.)
Как уже упоминалось выше, при создании правила брандмауэра, у нас нет возможности настроить более гибко правило, под свои нужды. Однако, после создания правила, мы можем его настроить. Вот тут и открывается весь потенциал стандартного брандмауэра Windows.
При этом, если заблокировать полностью UDP трафика, мы потеряем в большинстве случаев, полностью доступ в Интернет. Поэтому, теперь, нам необходимо настроить правило брандмауэра, чтобы блокировался только UDP трафик браузера.
Итак, рассмотрим на примере блокировки UDP трафика для исходящего соединения. Если мы, указали блокировать весь трафик при создании правил для входящих/исходящих соединений, мы можем теперь, указать только нужный браузер для блокировки UDP трафика. Для этого, нажимаем правой кнопкой мыши по созданному правилу и выбираем «Свойства»:
В окне «Свойства:» нашего правила, переходим на вкладку «Правила и службы»:
Предположим, у нас задача заблокировать UDP трафик, только для браузера Google Chrome. В таком случае, выбираем в пункте «Программы» -> «Эта программа» и нажимаем «Обзор»:
После добавления браузера*, нажимаем «Применить» (1.) и «ОК» (2.):
*Будьте предельно внимательны, при создании правил и указывайте верный путь к нужному файлу.
При последующем обновлении программы, необходимо проверять и редактировать при необходимости правила брандмауэра. Так как путь к исполняемым файлам, может меняться. Например, Браузер Opera, при каждом обновлении, создает новый путь к исполняемому файлу. Таким образом, правило брандмауэра, перестанет работать для нужной версии и его нужно редактировать.
Теперь, наше правило брандмауэра Windows, будет блокировать UDP трафик, только в браузере Google Chrome. Таким образом, мы можем создавать правила и потом, настраивать их более гибко, под свои задачи. Естественно, если нам нужно создать несколько правил, для разных программ, мы должны создать сначала правило в брандмауэре, а потом, отредактировать его.
Заключение.
У меня нет задачи, описать разные сценарии настройки брандмауэра Windows. Моя цель, показать основной принцип создания правил в брандмауэре Windows и как их можно редактировать. Понимая данные принципы работы с брандмауэром Windows, вы сможете самостоятельно создавать и настраивать правила брандмауэра, под свои нужды.
Если у вас будут вопросы, поправки и дополнения – делитесь ими в комментариях. Ваш опыт, может быть полезным для других пользователей.