Фильтр пакетов

Фильтрация на уровне пакетов позволяет контролировать доступ к сети вне зависимости от программ, инициирующих подключение. Правила применяются ко всем сетевым пакетам определенного типа, которые передаются через один из сетевых интерфейсов вашего компьютера.

Данный вид фильтрации предоставляет вам общие механизмы контроля, в отличие от фильтра приложений.

Брандмауэр поставляется со следующими предустановленными наборами правил:

Default Rule – правила, описывающие наиболее часто встречающиеся конфигурации сети и распространенные атаки (используется по умолчанию для всех новых интерфейсов);

Allow All – все пакеты пропускаются;

Block All – все пакеты блокируются.

Для удобства использования и быстрого переключения между режимами фильтрации вы можете задать дополнительные наборы правил.

 

Набор правил для интерфейса

Чтобы задать параметры работы пакетного фильтра, в окне настроек Брандмауэра выберите раздел Интерфейсы и нажмите кнопку Настроить. На этой странице вы можете:

формировать наборы правил фильтрации, создавая новые, редактируя существующие или удаляя ненужные правила;

задать дополнительные параметры фильтрации.

 

Формирование набора правил

Для формирования набора правил выполните одно из следующий действий:

чтобы создать набор правил для новой программы, нажмите кнопку Создать;

чтобы отредактировать существующий набор правил, выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набора правил, нажмите кнопку Копировать. Копия добавляется под выбранным набором;

чтобы удалить выбранный набор правил, нажмите кнопку Удалить.

 

Дополнительные настройки

Чтобы задать дополнительные настройки фильтрации пакетов, в окне Настройки пакетного фильтра установите следующие флажки:

Флажок

Описание

Включить динамическую фильтрацию пакетов

Установите этот флажок, чтобы учитывать при фильтрации состояние TCP-соединения и пропускать только те пакеты, содержимое которых соответствует текущему состоянию. В таком случае все пакеты, передаваемые в рамках соединения, но не соответствующие спецификации протокола, блокируются. Этот механизм позволяет лучше защитить ваш компьютер от DoS-атак (отказ в обслуживании), сканирования ресурсов, внедрения данных и других злонамеренных операций.

Также рекомендуется устанавливать этот флажок при использовании протоколов со сложными алгоритмами передачи данных (FTP, SIP и т. п.).

Снимите этот флажок, чтобы фильтровать пакеты без учета TCP-соединений.

Обрабатывать фрагментированные IP пакеты

Установите этот флажок, чтобы корректно обрабатывать передачу больших объемов данных. Размер максимального пакета (MTU – Maximum Transmission Unit) для разных сетей может варьироваться, поэтому часть IP-пакетов при передаче может быть разбита на несколько фрагментов. При использовании данной опции ко всем фрагментарным пакетам применяется одно и то же действие, предусмотренное правилами фильтрации для головного (первого) пакета.

Снимите этот флажок, чтобы обрабатывать все пакеты по отдельности.