Как заблокировать все (все входящие и исходящие доступ в интернет), кроме тех приложений, которые находятся в белом списке брандмауэра?


14

Можно ли автоматически блокировать входящие / исходящие интернет-соединения всех приложений, кроме, например, Firefox с брандмауэром Windows по умолчанию?

Я хотел бы заблокировать все, даже обновление Windows и других обновлений программного обеспечения.
Я хотел бы разрешить только один веб-браузер, как Firefox, Chrome или Opera.
Как я могу настроить такую ​​конфигурацию в брандмауэре Windows? Я вижу для блокировки приложения, но, кажется, вам нужно добавить по одному, и это утомительная задача.

Чего я хочу добиться, так это « белого списка », означающего, что я настроил 1 правило на брандмауэре, которое говорит «блокировать все» ( deny all any/anyгде
« запретить » = не пропускать ничего,
« все » = все типы трафика,
« любой / любой » = любой источник, любой пункт назначения).

Затем я настроил « белый список », то есть список хороших направлений, которые я хочу разрешить.
Список приложений, которым я хотел бы предоставить им сетевой доступ. Только приложение из этого списка сможет общаться.
Обратите внимание, что белый список отличается от черного списка, в котором белый список блокирует все, а затем позволяет несколько вещей позже. Имея это в виду, все автоматически блокируется и не может быть использовано.

Я хотел бы, чтобы была опция или кнопка, чтобы я мог редактировать, добавлять или удалять приложения в этом списке вручную.


Я не эксперт, поэтому, пожалуйста, попробуйте дать подробный ответ, так как я ничего не знаю о портах и ​​некоторых других выражениях, с которыми я столкнулся при поиске в Google.
Благодарность,


Повторяющийся вопрос, все от брандмауэра, также вы можете делать оповещения там superuser.com/questions/599743/…
Q.

3
Нет, мой вопрос более распространен и практичен.
Mojtaba Reyhani

Теперь это стало не по теме вопросом, требующим рекомендаций по продукту.
Арджан

@Arjan: Спасибо, Арджан, Мой вопрос о приложениях с технологией белого списка, а не о сравнении и рекомендациях по ним
Mojtaba

Очень хорошо, я отредактировал ваш вопрос, чтобы удалить часть рекомендаций по программному обеспечению.
Арджан

Ответы:


15

Вам не нужно никакого программного обеспечения стороннего брандмауэра.

По умолчанию брандмауэр Windows работает следующим образом:

  • Входящий - заблокировать все, кроме списка (белый список)
  • Исходящий - разрешить все, кроме списка (черный список)

Вы хотите заблокировать все входящие и все исходящие соединения по умолчанию.

Вы можете сделать это с помощью встроенного брандмауэра Windows. Способ сделать это (хотя и несколько скрытым способом) - изменить настройки следующим образом, выполнив эти 3 простых шага:

  1. Перейдите: Панель управления \ Система и безопасность \ Брандмауэр Windows

  2. Там щелкните правой кнопкой мыши, как показано на снимке экрана, чтобы получить свойства:

    Скриншот настроек брандмауэра

  3. Измените исходящие соединения на Блокировать для каждого профиля. Теперь вы можете добавлять в список только те программы, которые хотите.

Вы можете импортировать / экспортировать правила, щелкнув правой кнопкой мыши, как на скриншоте выше, и выбрав Export Policy. Он импортирует / экспортирует все это. Таким образом, вы можете экспериментировать, отключая правила и делая вашу машину более безопасной. Например, мои настройки следующие (исключая мои программы):

Входящий - здесь нет ни одного правила!

Исходящий - только «Базовая сеть - DNS (UDP-Out)» включен

Если вы используете OpenVPN, вам также необходимо добавить еще два правила для исходящих сообщений:

базовая сеть - протокол динамической конфигурации хоста (DHCP-Out)
и правило, разрешающее openvpn.exe.


1
Спасибо за вашу помощь и повтор. Я ценю вас искренне.
Mojtaba Reyhani

9

В поднятом окне оболочки сделайте

Настройте все профили для блокировки входящего / исходящего трафика:

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

Удалить все правила:

netsh advfirewall firewall delete rule all

Разрешить основные исходящие правила для портов 80,443,53,67,68

netsh advfirewall firewall add rule name="Core Networking (HTTP-Out)" dir=out action=allow protocol=TCP remoteport=80
netsh advfirewall firewall add rule name="Core Networking (HTTPS-Out)" dir=out action=allow protocol=TCP remoteport=443
netsh advfirewall firewall add rule name="Core Networking (DNS-Out)" dir=out action=allow protocol=UDP remoteport=53 program="%%systemroot%%\system32\svchost.exe" service="dnscache"
netsh advfirewall firewall add rule name="Core Networking (DHCP-Out)" dir=out action=allow protocol=UDP localport=68 remoteport=67 program="%%systemroot%%\system32\svchost.exe" service="dhcp"

И сбросить брандмауэр до значений по умолчанию

NETSH advfirewall reset

** Все изменения вступают в силу немедленно


Надеюсь, это было то, что вам нужно.
Хеймс

Я нашел это действительно полезным. Я действительно хотел отключить все правила, а не удалять их, что можно сделать с помощью:netsh advfirewall firewall set rule all new enable=no
v25

5

Еще один очень полезный, мощный и, конечно, бесплатный здесь:

TinyWall
TinyWall отличается от традиционных брандмауэров. Он не отображает всплывающие окна, которые «призывают пользователей разрешить». На самом деле, он не будет уведомлять вас о каких-либо заблокированных действиях вообще.
Вместо отображения всплывающих окон TinyWall позволяет легко вносить в белый список или разблокировать приложения различными способами.
Например, вы можете просто инициировать белый список с помощью горячей клавиши, а затем нажмите на окно, которое вы хотите разрешить. Или вы можете выбрать приложение из списка запущенных процессов.

Конечно, традиционный способ выбора исполняемого файла также работает. Этот подход позволяет избежать всплывающих окон, но при этом сохраняет брандмауэр очень простым в использовании.

Самое главное, что при использовании подхода без всплывающих окон пользователь заметит, что программе было отказано в доступе в Интернет, когда он больше не может ее использовать.
Следовательно, пользователи будут разблокировать только те приложения, которые им действительно нужны, и не более того, что является оптимальным с точки зрения безопасности.

Обзор возможностей

  • Многочисленные и простые способы внесения в белый список программ
  • Автоматический режим обучения
  • Защита от несанкционированного доступа через брандмауэр
  • Блокировка пароля настроек
  • Быстрые режимы, такие как Нормальная защита, Разрешить исходящие, Блокировать все, Разрешить все и Режим обучения
  • Поддержка временных / временных правил брандмауэра
  • Списки портов и доменов
  • Хозяева защиты файлов
  • Возможность всегда разрешать связь в локальной сети
  • Возможность ограничить приложение для локальной сети
  • Распознавание безопасного программного обеспечения и самозванцев
  • Полная поддержка IPv6
  • Список установленных и заблокированных соединений
  • Просмотр открытых портов на вашем компьютере
  • 100% бесплатное и чистое программное обеспечение. Нет платы, нет рекламы, нет платных обновлений.

Вы можете увидеть Thiny wallбелый список на изображении ниже: введите описание изображения здесь


Состояния вопроса с брандмауэром по умолчанию
kevinf

3

Блокировщик приложений брандмауэра

Firewall App BlockerРежим белого списка: он будет блокировать все, кроме элементов в белом списке, чтобы активировать его, установите флажок «Включить белый список» в правом нижнем углу.
Режим белого списка запрещает доступ ко всем сетевым интерфейсам. После включения режима белого списка перетащите приложение / приложения на интерфейс «Блокировка приложений брандмауэра», чтобы разрешить его / их. Это была наиболее востребованная функция: Блокировка приложений брандмауэра - белый список


3

Если вы хотите использовать Komodo Internet Security (KIS) или Comodo Free Firewall (CFF) :
белые списки брандмауэра Comodo помогут вам, включив все перечисленные ниже элементы, и больше ничего не разрешено в систему:

  • Веб-сайты
  • сети
  • Люди / устройства
  • Программные приложения

Инструкция по созданию белого списка:
Вы должны заблокировать все, кроме DNSвеб-браузеров, для этого перейдите к Advanced settings -> firewall settingsи включите «НЕ показывать всплывающие оповещения» и измените раскрывающийся список на Block Requests. Это заблокирует все, для чего не создано правило.

Теперь, чтобы создать правила для ваших приложений.
1- Перейти к add > browse > file groups > all applicatoins > use ruleset blocked application.

2- Затем добавьте еще одно правило и нажмите Browse > Running Processes > select svchost.exeзатем Use a custom ruleset > add block IP In or out then add another rule to allow UDP out destination port 53.

3. Чтобы разрешить вашему браузеру перейти, Advanced settings -> firewall settings -> applications rulesзатем добавьте любой браузер, к которому вы хотите разрешить доступ,
добавьте новое правило и дайте ему разрешение Web Browserили Allowed Applicationнабор правил.

4- Для обновления Windows я не совсем уверен, каким процессам нужен доступ к Интернету, поэтому, возможно, кто-то другой может дать нам некоторое представление.
Я думаю, что основной исполняемый файл находится под, C:\Windows\System32\wuauclt.exeно он также использует svchost.exe.

Процесс добавления того же приложения, к которому вы хотите разрешить, будет таким же.

Важно: Брандмауэры работа в иерархической структуре, поэтому с TOPчтобы таким BOTTOMобразом, поэтому правила , чтобы позволить, всегда должны быть добавлены до (выше) , чем правило блокировать все !!

Наконец, вы можете увидеть конфигурацию Comodo Firewall ниже:

Наконец, конфигурация Comodo Firewall

Для импорта / экспорта и управления личными конфигурациями



Состояния вопроса с брандмауэром по умолчанию
kevinf

1

Я исследовал брандмауэр Windows и выяснил, что его модуль фильтрации исходящего трафика работает только в режиме черного списка. Другими словами, он проверяет соединение на соответствие всем правилам и, если не находит подходящего правила, разрешает соединение.


Хотя ваш вопрос касается только брандмауэра Windows, возможно, вам будет полезно узнать, что существуют сторонние персональные брандмауэры, которые действительно могут работать в режиме белого списка. Comodo Internet Security, ESET Internet Security и ZoneAlarm можно настроить для работы в режиме белого списка.

Когда я говорю «настроен», я имею в виду, что вы должны изменить их конфигурацию по умолчанию. Например, в случае Comodo Internet Security вы должны переключиться в режим на основе политик. Кроме того, по умолчанию Comodo Internet Security разрешает приложениям Магазина Windows иметь доступ к Интернету, но вы также можете отменить это.


Еще раз спасибо за вашу помощь, вы используете какие-либо сторонние инструменты брандмауэра из белого списка, какие из них вы порекомендуете?
Mojtaba Reyhani

1
Я сам использую Comodo дома и ESET на работе. Конечно, я использую интерактивный режим белого списка; каждый раз, когда приложение хочет подключиться к Интернету, Comodo спрашивает меня, что делать.

Знаете ли вы, есть Kaspersky internet security (KIS)такая функция?
Mojtaba Reyhani

У KIS была такая функция, но я не работал с ней с 2011 года.

3
@MojtabaReyhani Я обычно не упоминаю об этом, но я думаю, что я должен сделать это в вашем случае: Comodo Internet Security бесплатен.

1

Evorim Free Firewall

Вы можете использовать Evorim Free Firewallи поставить Evorim в «Paranoid Mode», чтобы заблокировать все, кроме того, что вы хотите разрешить.

Параноидальный режим Не
доверяй никому! В режиме Paranoid никакое программное обеспечение не может получить доступ к Интернету или сети без вашего предварительного согласия. Только приложения, которым вы доверяете, получают доступ в Интернет.

Evorim Paranoid Mode
Настройки белого списка Evorim Paranoid Mode


Состояния вопроса с брандмауэром по умолчанию
kevinf

1

Проблема с отключением всех исходящих подключений заключается в том, что брандмауэр Windows не уведомляет вас, когда процессы пытаются установить исходящие подключения. Это означает, что вам придется проверять журналы, чтобы узнать об этом, или использовать для лучшего контроля бесплатный Windows Firewall Control .

Вы также можете использовать сторонний брандмауэр, который позволяет лучше контролировать, например Comodo Free Firewall .

Чтобы отключить все исходящие правила с помощью брандмауэра Microsoft:

  1. Войдите в апплет Брандмауэр Windows в режиме повышенной безопасности
  2. Щелкните правой кнопкой мыши Брандмауэр Windows в режиме повышенной безопасности на локальном компьютере.
  3. Выберите Свойства
  4. В открывшемся диалоговом окне выберите свой профиль: домен, частный или общедоступный.
  5. Установите для Исходящих подключений значение Блокировать и нажмите ОК. образ
  6. Нажмите на Исходящие правила
  7. Выберите и отключите правила, которые вы не хотите разрешать, нажав Отключить правило . Вы также можете сначала набрать Ctrl+, Aчтобы выбрать все правила, затем, отключив их, включить или добавить разрешенные правила.

Большое спасибо за вашу помощь и внимание, но ни у одного из Comodo Free Firewall, ZoneAlarm Free Firewall, or Private firewallних нет простого варианта белого списка, как Tiny Wall.
Mojtaba Reyhani

Вы можете попробовать брандмауэр Microsoft вместе с Windows Firewall Control ..
harrymc

Это немного отличается от того, что я помню, на какой версии?
подмастерье Компьютерщик

@JourneymanGeek: Windows 10.
harrymc

1
@MojtabaReyhani: для Comodo см. Этот пост .
harrymc

1

Я использую ответ @Hames, который превосходен. На моем Windows 7 мне пришлось немного изменить его, чтобы он работал ( %%systemroot%%не работал при копировании / вставке в cmd.exe)

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
netsh advfirewall firewall delete rule all
netsh advfirewall firewall add rule name="Core Networking (DNS-Out)" dir=out action=allow protocol=UDP remoteport=53 program="c:\windows\system32\svchost.exe" service="dnscache"
netsh advfirewall firewall add rule name="Core Networking (DHCP-Out)" dir=out action=allow protocol=UDP localport=68 remoteport=67 program="c:\windows\system32\svchost.exe" service="dhcp"
netsh advfirewall firewall add rule name="Chrome" dir=out action=allow program="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
netsh advfirewall firewall add rule name="Firefox" dir=out action=allow program="C:\Program Files\Mozilla Firefox\firefox.exe"

Кроме того, в отличие от связанного ответа, я не разрешаю порты 80/443 по умолчанию для всех программ, но я помещаю их в белый список по отдельности (например, Firefox, Chrome и т. Д.)


0

Blumentals Software Surfblocker

С Surfblocker вы можете легко ограничить доступ в Интернет в указанное время или по запросу.
Вы можете разрешать и блокировать веб-сайты, а также ограничивать доступ к программам и функциям. Например, вы можете разрешить только электронную почту, а также работать или изучать связанные веб-сайты.
Вы также можете просто защитить паролем подключение к Интернету или установить его автоматическое отключение через определенное время. Конечно, вы также можете автоматически блокировать вредный и опасный контент.

Разрешить только связанные с работой вещи Разрешить связанные с работой веб-сайты и программы , блокируя все остальное

Разрешить только указанные службы или программы, такие как электронная почта

Вы можете заблокировать доступ в Интернет, разрешая только определенные интернет-услуги или программы. Для этого выполните следующие действия:

  1. Запустите Surfblocker, введите свой пароль Surfblocker (если требуется).
  2. Проверьте Блокировать все.
  3. Нажмите «Исключения» и в разделе «Разрешенные службы» отметьте службы, которые вы хотите разрешить.
  4. Нажмите «Исключения» и в разделе «Разрешенные программы» добавьте программы, которые вы хотите разрешить.

Состояния вопроса с брандмауэром по умолчанию
kevinf

0

SimpleWall

SimpleWall WhiteList

Описание:

Простой инструмент для настройки платформы фильтрации Windows (WFP), который может настроить сетевую активность на вашем компьютере.

Облегченное приложение меньше мегабайта и совместимо с Windows Vista и более поздними операционными системами.
Для корректной работы нужны права администратора.

Функции:

  • Бесплатный и открытый исходный код
  • Простой интерфейс без раздражающих всплывающих окон
  • Редактор правил (создайте свои собственные правила)
  • Внутренний блок-лист (блокировка Windows шпион / телеметрия)
  • Информация об удаленных пакетах с уведомлением и записью в файл (win7 +)
  • Информация о разрешенных пакетах с возможностью входа в файл (win8 +)
  • Поддержка подсистемы Windows для Linux (WSL) (win10)
  • Поддержка Магазина Windows (win8 +)
  • Поддержка служб Windows
  • Поддержка локализации
  • Поддержка IPv6

Веб-сайт: www.henrypp.org


Состояния вопроса с брандмауэром по умолчанию
kevinf

0

Управление брандмауэром Windows

Windows Firewall Controlэто мощный инструмент, который расширяет функциональность брандмауэра Windows и предоставляет новые дополнительные функции, которые делают брандмауэр Windows лучше.
Он работает в системном трее и позволяет пользователю легко контролировать собственный брандмауэр, не тратя время на навигацию к определенной части брандмауэра.

Это инструмент для управления собственным брандмауэром из Windows 10, 8.1, 8, 7, Server 2016, Server 2012. Контроль брандмауэра Windows предлагает четыре режима фильтрации, которые можно переключать одним щелчком мыши: Высокая фильтрация - все исходящие и входящие соединения заблокированы. Этот профиль блокирует все попытки подключения к вашему компьютеру и обратно.

Средняя фильтрация - исходящие соединения, которые не соответствуют правилу, блокируются. Только те программы, которые вы разрешаете, могут инициировать исходящие соединения.

Низкая фильтрация - разрешены исходящие соединения, которые не соответствуют правилу. Пользователь может заблокировать программы, которые он не хочет разрешать устанавливать исходящие соединения.

Без фильтрации - брандмауэр Windows отключен. Не используйте этот параметр, если на вашем компьютере не установлен другой брандмауэр.

Windows Firewall Control не выполняет фильтрацию пакетов и не блокирует и не разрешает подключение. Это делается самим брандмауэром Windows на основе существующих правил брандмауэра.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.