Брандмауер Windows: налаштування правил для програм і портів
Як налаштувати брандмауер Windows: дозволити або заблокувати програму, відкрити або закрити порт, створити правила через GUI і PowerShell.
Брандмауер Windows — вбудований фільтр мережевого трафіку. Правильно налаштований він блокує небажані підключення не ламаючи потрібні програми.
Відкрити налаштування брандмауера
Простий інтерфейс:
Пуск → Безпека Windows → Брандмауер і захист мережі
Розширений інтерфейс (для правил):
Win + R → wf.msc
Дозволити або заблокувати програму
Через простий інтерфейс
Безпека Windows → Брандмауер і захист мережі → Дозволити роботу програми через брандмауер → Змінити параметри → знайди програму або натисни Дозволити іншу програму
Через розширений інтерфейс (wf.msc)
- Відкрий
wf.msc - Правила для вхідних підключень → Нове правило
- Тип: Програма
- Вкажи шлях до .exe
- Дія: Дозволити підключення або Заблокувати
- Профілі: вибери Domain, Private, Public
- Назва і опис
Відкрити або закрити порт
Через wf.msc
- Правила для вхідних підключень → Нове правило
- Тип: Порт
- Протокол: TCP або UDP
- Конкретні порти: наприклад
3389(RDP) або80,443(HTTP/HTTPS) - Дія: Дозволити або Заблокувати
Через PowerShell
# Відкрити TCP порт 8080
New-NetFirewallRule `
-DisplayName "Allow TCP 8080" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-Action Allow
# Відкрити UDP порт для WireGuard
New-NetFirewallRule `
-DisplayName "WireGuard VPN" `
-Direction Inbound `
-Protocol UDP `
-LocalPort 51820 `
-Action Allow
# Заблокувати вихідне підключення до конкретного IP
New-NetFirewallRule `
-DisplayName "Block Outbound IP" `
-Direction Outbound `
-RemoteAddress "185.220.101.0/24" `
-Action Block
# Видалити правило
Remove-NetFirewallRule -DisplayName "Allow TCP 8080"
Заблокувати програму від доступу до мережі
# Заблокувати вихідний трафік для конкретної програми
New-NetFirewallRule `
-DisplayName "Block Chrome Outbound" `
-Direction Outbound `
-Program "C:\Program Files\Google\Chrome\Application\chrome.exe" `
-Action Block
# Заблокувати і вхідний і вихідний
foreach ($dir in @("Inbound", "Outbound")) {
New-NetFirewallRule `
-DisplayName "Block App $dir" `
-Direction $dir `
-Program "C:\path\to\app.exe" `
-Action Block
}
Корисні команди для діагностики
# Переглянути всі активні правила
Get-NetFirewallRule | Where-Object { $_.Enabled -eq "True" } |
Select-Object DisplayName, Direction, Action, Profile |
Format-Table -AutoSize
# Знайти правило за іменем
Get-NetFirewallRule -DisplayName "*RDP*"
# Переглянути правила для конкретного порту
Get-NetFirewallRule |
Get-NetFirewallPortFilter |
Where-Object { $_.LocalPort -eq "3389" }
# Вимкнути правило
Disable-NetFirewallRule -DisplayName "Allow TCP 8080"
# Увімкнути правило
Enable-NetFirewallRule -DisplayName "Allow TCP 8080"
# Перевірити чи порт слухає
Test-NetConnection -ComputerName localhost -Port 3389
Профілі брандмауера
Windows має три профілі — правила можна застосовувати до одного або всіх:
| Профіль | Коли активний |
|---|---|
| Domain | ПК підключений до домену Active Directory |
| Private | Домашня або офісна мережа (довірена) |
| Public | Публічна мережа (кафе, аеропорт) |
Для максимального захисту в публічних мережах — заблокуй вхідні підключення в профілі Public:
Set-NetFirewallProfile -Profile Public -DefaultInboundAction Block
Типові сценарії
Відкрити RDP (віддалений робочий стіл)
New-NetFirewallRule `
-DisplayName "Remote Desktop" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 3389 `
-Action Allow `
-Profile Domain,Private
Детальніше: Налаштування Remote Desktop
Дозволити ping (ICMP)
New-NetFirewallRule `
-DisplayName "Allow ICMPv4" `
-Direction Inbound `
-Protocol ICMPv4 `
-IcmpType 8 `
-Action Allow
Заблокувати весь вхідний трафік крім дозволених правил
Set-NetFirewallProfile -Profile Private -DefaultInboundAction Block
Скидання брандмауера до стандартних налаштувань
Якщо правила заплутались і щось перестало працювати:
netsh advfirewall reset
Або через GUI: wf.msc → клікни правою на Брандмауер Windows у режимі підвищеної безпеки → Відновити політику за замовчуванням
Підсумок
wf.msc — для одиничних правил через GUI. PowerShell New-NetFirewallRule — для скриптів і масового розгортання. Завжди вказуй профіль (Domain/Private/Public) щоб правило спрацьовувало тільки в потрібних мережах.
🛡️ Перевір безпеку свого ПК
Хочеш знати чи немає витоків даних, зайвих служб або підозрілих програм?
→ AuditShield — аудит Windows по 22 напрямках за 10 хвилин. HTML-звіт з оцінкою ризику. Є безкоштовне демо.