Все команды необходимо выполнять из командной строки, запущенной с правами администратора
Импорт и экспорт настроек
- Сохранить текущую политику брандмауэра можно командой:
netsh advfirewall export C:\conf.wfw
- Импортируется политика аналогичной командой, только через import
netsh advfirewall import C:\conf.wfw
Управление брандмауэром и профилями
- Отключение брандмауэра
netsh advfirewall set allprofiles state off
- Включение брандмауэра
netsh advfirewall set allprofiles state on
- Также управление отдельными профилями, выключение:
netsh advfirewall set domainprofile state off
netsh advfirewall set privateprofile state off
netsh advfirewall set publicprofile state off
- Включение отдельных профилей
netsh advfirewall set domainprofile state on
netsh advfirewall set privateprofile state on
netsh advfirewall set publicprofile state on
- Изменение поведения брандмауэра для входящих и исходящих подключений
Доступные значения:
blockinbound (по умолчанию) — блокировать входящие подключения, не соотверствующие ни одному правилу
allowinbound — разрешить все входящие подключения
blockoutbound — блокировать исходящие подключения, не соответствующие ни одному правилу
allowoutbound (по умолчанию) — разрешить все исходящие подключения
Так мы, например, разрешим все входящие и исходящие подключения, независимо от настроенных правил
netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound
Так запретим входящие соединения, не соответствующие правилам, исходящие — все разрешены (такое поведение по умолчанию)
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
Работа с правилами
- Добавление правил для порта
Так мы добавим правило, разрешающее TCP и UDP подключения для порта 10050 (zabbix-агент)
netsh advfirewall firewall add rule name="MyRule" protocol=TCP localport=10050 action=allow dir=IN
netsh advfirewall firewall add rule name="MyRule" protocol=UDP localport=10050 action=allow dir=IN
- Добавление правил для приложения
netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes
- Удалить правила можно по имени
netsh advfirewall firewall delete rule name="MyRule"
- Включение / выключение правил
Так мы включим все правила из группы «Удаленное завершение работы»
netsh advfirewall firewall set rule group="Удаленное завершение работы" new enable=yes
Выключение группы правил
netsh advfirewall firewall set rule group="Удаленное завершение работы" new enable=no
Аналогичным образом можно включить конкретное правило
netsh advfirewall firewall set rule name="MyRule" new enable=no
Еще один пример — включение правила для ICMP запросов в разделе «Входящие»
netsh advfirewall firewall set rule name="Общий доступ к файлам и принтерам (эхо-запрос - входящий трафик ICMPv4)" new dir=in enable=yes
Сброс настроек
- сброс настроек к значениям по умолчанию
netsh advfirewall reset
Будьте осторожны, т.к. удалятся все настроенные ранее правила.