Заблокировать программе доступ в Интернет

Заблокировать программе доступ в Интернет

Существует два способа запрещения (или разрешения) программе обращаться к Интернету. Первый заключается в том, что вы указываете выполняемый файл программы и «говорите», что этой программе доступ к Интернету запрещен (или разрешен). В этом случае вы запретите (или разрешите) доступ конкретному выполняемому файлу (конкретной программе). Предположим, что вы разрешили доступ к Интернету программе qip.ехе. Если кто-то переименует ее выполняемый файл в qip1.ехе, то доступ к Интернету этой программе будет запрещен, поскольку брандмауэр ничего не знает об этой программе — он знаком только с программой qip.ехе.

Второй способ запрещения (разрешения) доступа основан на портах. В этом случае вы можете запретить (или разрешить) доступ сразу всем программам определенного класса. Например, сервис ICQ использует порт 5190. Если вы запретите порт 5190, то ни одна программа, использующая этот порт, — будь то qip.exe, qip1.ехе или icq.exe — не сможет получить доступ к Интернету по этому порту. Как по мне, второй способ более надежный, но для этого вам нужно знать порты, которые использует программа. Номер порта можно уточнить в документации по программе или на сайте разработчика программы. Основные TCP-порты описаны в таблице.



Основные ТСР-порты

Порт Сервис Что будет, если запретить доступ к этому порту
21 FTP (File Transfer Protocol) Ни один FTP-клиент не сможет обратиться к FTP-серверу. Скачивать файлы с FTP будет невозможно. Полезно, если вы хотите сэкономить трафик — на FTP-серверах хранится много трафика и, если ноутбуком пользуется еще кто-то кроме вас, то можно запретить доступ к Frp, если не хочется переплачивать (при условии дорогого доступа к Интернету)
25 SMTP (Simple Mail Transfer Protocol) Запретив доступ к этому порту, вы запретите отправку почты все почтовым клиентам
53 DNS (Domain Name System) Этот порт запрещать нельзя, поскольку система не сможет преобразовать доменные имена в IP-адреса, и Интернету вас работать не будет (не будут открываться страницы, не будет отправляться и приниматься почта и т.д.)
80 HTTP(Hyper Text Transfer Protocol) Протокол передачи гипертекстовой информации. Это основной протокол WWW. Запретив доступ к этому порту, вы запретите всем браузерам обращаться ко всем сайтам. Остальные сервисы (почта, FTP) будут работать, если вы явно не запретили их
110 POP (Post Office Protocol) Протокол, по которому принимается почта. Если запретить этот порт, вы не сможете принимать почту по этому протоколу
443 SSL (Secure Socket Layer) После запрета этого порта можете забыть о безопасных соединениях (HTTPS), которые устанавливаются по порту 443
5190 ICQ Этот порт использует популярный клиент мгновенного обмена сообщениями ICQ. Запретив порт 5190, вы запретите доступ к Интернету всем ICQ-клиентам (ICQ, QIP, Miranda и др.)
44583 Skype Порт 44583 используется программой Skype для входящих соединений. Если запретить этот порт, Skype работать не будет
Перейдем к практике. Давайте разрешим или запретим какой-то программе доступ к Интернету. На панели действий выберите команду Разрешить запуск программы или компонента через брандмауэр Windows. Посмотрите на рисунок.



Программе Total Commander разрешено использовать ресурсы только домашней сети, но не публичной. Это означает, что, когда вы будете подключены к Интернету через публичную сеть (Wi-Fi), программа Total Commander не сможет обратиться к ресурсам Интернета (кроме функций файлового менеджера, Total Commander также является FTP-клиентом, поэтому доступ к Интернету этой программе нужен). Чтобы потом не удивляться, почему Total Commander не может достучаться к FTP-серверу, когда вы работаете в университете или в библиотеке по Wi-Fi, но прекрасно работает дома в вашей домашней сети, установите флажок Публичные напротив названия программы.

Теперь добавим программу в список разрешенных. Это можно сделать двумя способами. Первый способ заключается в щелчке на кнопке Разрешить другую программу. Откроется окно, в котором можно выбрать выполняемый (.ехе) файл программы. Но для этого вы должны знать, какой у программы выполняемый файл. Опытные пользователи справятся с этой задачей очень легко — они уже ориентируются в программах, и особых проблем не возникнет. По умолчанию брандмауэр добавляет программу в список разрешенных, но разрешает ей подключаться к Интернету через домашнюю или рабочую сеть, доступ через публичную сеть запрещен. Поэтому нужно вернуться в окно разрешенных программ и разрешить программе работу через публичные сети.

Второй способ понравится начинающим пользователям. При первом запуске программы, которая требует доступ к Интернету, вы увидите окно, подобное изображенному на рисунке.



Окно выводит имя выполняемого файла программы, путь к программе и позволяет разрешить доступ программы как к домашней, так и к публичной сети. Выберите Частные сети и Общественные сети и щелкните на кнопке Разрешить доступ. Если доступ программе разрешать не нужно, щелкните на кнопке Отмена.

После разрешения программе доступа к Интернету можете открыть окно разрешенных программ и компонентов и убедиться, что программа действительно добавлена в список разрешенных.

Итак, мы научились разрешать или блокировать доступ программы по ее имени. Теперь научимся создавать правила брандмауэра, чтобы можно было заблокировать доступ к TCP-сервису. Вернитесь в основное окно настройки брандмауэра Windows и выберите команду Дополнительные параметры. Вы увидите «страшное» окно, изображенное на рисунке.



Ничего страшного, конечно же, в нем нет, нужно только разобраться со всем. Слева находится панель правил (пока ни на чем щелкать не нужно!), позволяющая изменить правила для входящих и исходящих соединений, и правила безопасности подключения. По умолчанию брандмауэр блокирует все входящие соединения к нашей машине — ведь у нас же не сервер, значит, другим пользователям нечего подключаться к нашей машине. Справа находится панель Действия. По центру находится основная рабочая область.

Щелкните на кнопке Свойства, которая находится на панели Действия.



    В окне свойств брандмауэра будет четыре вкладки, три из которых следующие:
  • Профиль домена — задает параметры брандмауэра, когда компьютер подключен к корпоративной сети;
  • Общий профиль — задает параметры брандмауэра, когда ноутбук подключен к публичной сети;
  • Частный профиль — задает параметры брандмауэра, когда ноутбук подключен к частной сети.
Все параметры на этих трех вкладках одинаковые. Вы можете включить или выключить брандмауэр для определенной сети. Например, если вы хотите выключить брандмауэр для частной сети, перейдите на вкладку Частный профиль и выберите Состояние брандмауэра Отключить. Также можно выбрать, что делать с входящими и исходящими подключениями. По умолчанию для всех профилей входящие соединения блокируются, а исходящие — разрешаются. Другие параметры нам особо не интересны. На вкладку Параметры IPSec можете вообще не заходить — очень редко требуется изменять присутствующие на ней параметры.



Щелкните по кнопке ОК, и вы вернетесь в окно дополнительных параметров. Сейчас мы попытаемся задать собственное правило брандмауэра. Пока выберите Правила для входящих соединений и посмотрите на правила для программ Skype и totalcmd: этим программам разрешен доступ через профили Частный и Общие. Если правило включено, то оно отмечается цветным значком, а если выключено — серым. Для выключенного правила параметр Включено имеет значение Нет, а для активного правила — Да. Если правило вам временно не нужно, его можно отключить, выбрав команду Отключить правило — совсем не обязательно удалять правило.



Дважды щелкните на правиле для программы Skype или для любой другой программы. Перейдите на вкладку Протоколы и порты, выберите протокол TCP.



Здесь вы можете задать порты для протокола TCP (основной протокол Интернета). Можно ничего не задавать, тогда программе можно будет обращаться к любым портам. А можно четко задать, к каким удаленным портам можно обращаться программе. В случае с Skype можно для параметра Удаленный порт выбрать значение Специальные порты и ввести порт 44583. Аналогично, для браузера можно указать порты 80, 443 или 80, 443, 21 (если хотите разрешить браузеру доступ к FTP).

Вот теперь можно создать собственное правило. Щелкните по кнопке Создать правило — она находится на панели Действия. Перед тем как щелкать по этой кнопке, выберите тип соединения — исходящее или входящее. Для этого перейдите в соответствующий раздел правил брандмауэра! Нам нужно создать правило для исходящего соединения.

Прежде чем приступить к созданию правила, нужно определиться, что должно делать это правило.



Давайте запретим работу всех ICQ-клиентов, запретив порт 5190.

    Первым делом при создании правила нужно выбрать его тип:
  • Для программы — создает правило для определенной программы (мы уже умеем создавать такие правила, хотя создавали их несколько иначе);
  • Для порта — задает правило, позволяющее запретить или разрешить обращение системы к определенным портам протоколов TCP (Transfer Control Protocol) или UDP (User Datagram Protocol);
  • Предопределенные — правило, управляющее подключениями для операций Windows;
  • Настраиваемое — эдакий конструктор правил, позволяет более гибко создать правило.
Выбираем тип правила Для порта. В поле Определенные удаленные порты введите порт 5190 и щелкните на кнопке Далее. ICQ еще может использовать порт 443, но запрещать его не стоит, поскольку этот же порт может использовать и браузер для SSL-соединения.



Далее выберите действие — что должен сделать брандмауэр при обнаружении подключения к порту 5190.



Следующий шаг — выбор профилей, для которых будет активно правило. Выберите все три профиля — Частный, Доменный и Публичный.



Правило почти создано — осталось ввести имя правила, его описание (необязательно) и щелкнуть на кнопке Готово.



Аналогично, с помощью команды Создать правило можно создать правила и для других программ, если это вам нужно. Но приведенный пример расширенного создания правила используется очень редко. Он был приведен только в образовательных целях. Обычно нужно или предоставить доступ программе, или заблокировать доступ.

Напоследок рассмотрим раздел Наблюдение. Выберите команду Наблюдение => Брандмауэр, и вы увидите список всех активных правил брандмауэра — очень удобно, когда выводится именно список активных правил, а не список всех правил.







Вы так же можете ознакомиться с другими статьями главы Брандмауэр Windows 7:
  • Брандмауэр, firewall
  • Настройка брандмауэра Windows 7. Включение и выключение брандмауэра
Удачи Вам! До скорых встреч на страницах сайта RusOpen.com

Опубликовано: 18.04.2015