Windows inbyggda brandvägg döljer möjligheten att skapa kraftfulla brandväggsregler. Blockera program från att komma åt Internet, använd en vitlista för att kontrollera nätverksåtkomst, begränsa trafik till specifika portar och IP-adresser och mer - allt utan att installera en annan brandvägg.
Brandväggen innehåller tre olika profiler, så att du kan tillämpa olika regler på privata och offentliga nätverk. Dessa alternativ ingår i snapin-modulen Windows-brandväggen med avancerad säkerhet, som först dök upp i Windows Vista.
Åtkomst till gränssnittet
Det finns en mängd olika sätt att dra upp Windows-brandväggen med Advanced Security-fönstret. En av de mest uppenbara är från kontrollpanelen i Windows Firewall - klicka på länken Avancerade inställningar i sidofältet.
Du kan också skriva "Windows Firewall" i sökrutan i Start-menyn och välja Windows Firewall med Advanced Security-applikationen.
Konfigurera nätverksprofiler
Windows-brandväggen använder tre olika profiler:
- Domänprofil : Används när din dator är ansluten till en domän.
- Privat : Används när du är ansluten till ett privat nätverk, till exempel ett arbets- eller hemnätverk.
- offentlig : Används när du är ansluten till ett offentligt nätverk, till exempel en offentlig Wi-Fi-åtkomstpunkt eller en direktanslutning till Internet.
Windows frågar om ett nätverk är offentligt eller privat när du först ansluter till det.
En dator kan använda flera profiler, beroende på situationen. En företagsbärbar dator kan till exempel använda domänprofilen när den är ansluten till en domän på jobbet, den privata profilen när den är ansluten till ett hemnätverk och den offentliga profilen när den är ansluten till ett offentligt Wi-Fi-nätverk - allt samma dag.
Klicka på länken Egenskaper för Windows-brandvägg för att konfigurera brandväggsprofilerna.
Fönster för brandväggsegenskaper innehåller en separat flik för varje profil. Windows blockerar inkommande anslutningar och tillåter utgående anslutningar för alla profiler som standard, men du kan blockera alla utgående anslutningar och skapa regler som tillåter specifika typer av anslutningar. Den här inställningen är profilspecifik, så du kan bara använda en vitlista i specifika nätverk.
Om du blockerar utgående anslutningar får du inte ett meddelande när ett program blockeras - nätverksanslutningen misslyckas tyst.
Skapa en regel
För att skapa en regel, välj kategorin Inkommande regler eller Utgående regler till vänster i fönstret och klicka på länken Skapa regel till höger.
Windows-brandväggen erbjuder fyra typer av regler:
- Program - Blockera eller tillåt ett program.
- Hamn - Blockera eller tillåt en port, portintervall eller protokoll.
- Fördefinierad - Använd en fördefinierad brandväggsregel som ingår i Windows.
- Beställnings - Ange en kombination av program, port och IP-adress som ska blockeras eller tillåtas.
Exempelregel: Blockering av ett program
Låt oss säga att vi vill blockera ett visst program från att kommunicera med Internet - vi behöver inte installera en brandvägg från tredje part för att göra det.
Välj först programregeltypen. På nästa skärm använder du bläddringsknappen och väljer programmets .exe-fil.
Välj ”Blockera anslutningen” på åtgärdsskärmen. Om du skapade en vitlista efter att ha blockerat alla program som standard väljer du "Tillåt anslutning" för att vitlista applikationen istället.
På profilskärmen kan du tillämpa regeln på en viss profil - om du till exempel bara vill att ett program ska blockeras när du är ansluten till offentligt Wi-Fi och andra osäkra nätverk, lämna rutan "Allmänt". Som standard tillämpar Windows regeln på alla profiler.
På skärmen Namn kan du namnge regeln och ange en valfri beskrivning. Detta hjälper dig att identifiera regeln senare.
Brandväggsregler som du skapar träder i kraft omedelbart. Regler du skapar visas i listan så att du enkelt kan inaktivera eller ta bort dem.
Exempelregel: Begränsa åtkomst
Om du verkligen vill låsa ner ett program kan du begränsa portarna och IP-adresserna det ansluter till. Låt oss till exempel säga att du har en serverapplikation som du bara vill komma åt från en specifik IP-adress.
I listan Inkommande regel klickar du på Ny regel och väljer anpassad regeltyp.
Välj det program du vill begränsa i programfönstret. Om programmet körs som en Windows-tjänst, använd knappen Anpassa för att välja tjänsten från en lista. För att begränsa all nätverkstrafik på datorn till att kommunicera med en specifik IP-adress eller ett portintervall, välj ”Alla program” istället för att ange ett specifikt program.
I rutan Protokoll och portar väljer du en protokolltyp och anger portar. Om du till exempel kör ett webbserverprogram kan du begränsa webbserverapplikationen till TCP-anslutningar på port 80 och 443 genom att ange dessa portar i rutan Lokal port.
På fliken Scope kan du begränsa IP-adresser. Om du till exempel bara vill att servern ska kommunicera med en specifik IP-adress, anger du den IP-adressen i fjärr-IP-adressrutan.
Välj alternativet "Tillåt anslutning" för att tillåta anslutning från IP-adressen och portarna du angav. Var noga med att kontrollera att inga andra brandväggsregler gäller för programmet - om du till exempel har en brandväggsregel som tillåter all inkommande trafik till serverapplikationen, kommer den här regeln inte att göra någonting.
Regeln träder i kraft när du har angett de profiler som den ska tillämpas på och namnge den.
Windows-brandväggen är inte lika lätt att använda som tredjeparts brandväggar, men den erbjuder en överraskande mängd kraft. Om du vill ha mer kontroll och användarvänlighet kanske du har det bättre med en brandvägg från tredje part.
