Acceso al Firewall de Windows con la consola de Advanced Security

Si va a configurar dispositivos unidos a un dominio de Active Directory, para completar estos procedimientos debe ser miembro del grupo Administradores de dominio o tener permisos delegados para modificar los GPO en el dominio. Para acceder al Firewall de Windows con la consola de Seguridad avanzadacree o edite un objeto de directiva de grupo (GPO) y expanda los nodosDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de> seguridadFirewall de Windows con seguridad avanzada.

Si va a configurar un único dispositivo, debe tener derechos administrativos en el dispositivo. En cuyo caso, para acceder al Firewall de Windows con la consola de Seguridad avanzada , seleccione START, escriba wf.mscy presione ENTRAR.

Crear una regla ICMP entrante

Este tipo de regla permite que los dispositivos de la red reciban solicitudes y respuestas ICMP. Para crear una regla ICMP de entrada:

  1. Abrir firewall de Windows con la consola de advanced security
  2. En el panel de navegación, seleccione Reglas de entrada.
  3. Seleccione Acción y, a continuación, seleccione Nueva regla.
  4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.
  5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente.
  6. En la página Protocolo y puertos , seleccione ICMPv4 o ICMPv6 en la lista Tipo de protocolo . Si usa IPv4 e IPv6 en la red, debe crear una regla ICMP independiente para cada una.
  7. Seleccione Personalizar.
  8. En el cuadro de diálogo Personalizar configuración icmp , realice una de las siguientes acciones:
    • Para permitir todo el tráfico de red ICMP, seleccione Todos los tipos ICMP y, a continuación, seleccione Aceptar.
    • Para seleccionar uno de los tipos ICMP predefinidos, seleccione Tipos ICMP específicos y, a continuación, seleccione cada tipo de la lista que desea permitir. Seleccione Aceptar.
    • Para seleccionar un tipo ICMP que no aparece en la lista, seleccione Tipos ICMP específicos, seleccione el número de tipo de la lista, seleccione el número de código de la lista, seleccione Agregar y, a continuación, seleccione la entrada recién creada de la lista. Seleccione Aceptar.
  9. Seleccione Siguiente.
  10. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
  11. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
  12. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
  13. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de puerto de entrada

Este tipo de regla permite que cualquier programa que escuche en un puerto TCP o UDP especificado reciba el tráfico de red enviado a ese puerto. Para crear una regla de puerto de entrada:

  1. Abrir firewall de Windows con la consola de advanced security
  2. En el panel de navegación, seleccione Reglas de entrada.
  3. Seleccione Acción y, a continuación, seleccione Nueva regla.
  4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente. NotaAunque puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.
  5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente. NotaEste tipo de regla suele combinarse con una regla de programa o servicio. Si combina los tipos de regla, obtiene una regla de firewall que limita el tráfico a un puerto especificado y permite el tráfico solo cuando se ejecuta el programa especificado. El programa especificado no puede recibir tráfico de red en otros puertos y otros programas no pueden recibir tráfico de red en el puerto especificado. Si decide hacerlo, siga los pasos descritos en el procedimiento Crear un programa de entrada o una regla de servicio , además de los pasos de este procedimiento para crear una sola regla que filtre el tráfico de red mediante criterios de programa y puerto.
  6. En la página Protocolo y puertos , seleccione el tipo de protocolo que desea permitir. Para restringir la regla a un número de puerto especificado, debe seleccionar TCP o UDP. Dado que se trata de una regla entrante, normalmente solo se configura el número de puerto local Si selecciona otro protocolo, solo se permiten a través del firewall los paquetes cuyo campo de protocolo en el encabezado IP coincida con esta regla.
    Para seleccionar un protocolo por su número, seleccione Personalizado en la lista y escriba el número en el cuadro Número de protocolo .
    Cuando haya configurado los protocolos y puertos, seleccione Siguiente.
  7. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
  8. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
  9. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente. NotaSi este GPO está destinado a equipos de servidor que ejecutan Windows Server 2008 que nunca se mueven, considere la posibilidad de modificar las reglas para aplicarlas a todos los perfiles de tipo de ubicación de red. Esto evita un cambio inesperado en las reglas aplicadas si el tipo de ubicación de red cambia debido a la instalación de una nueva tarjeta de red o a la desconexión del cable de una tarjeta de red existente. Una tarjeta de red desconectada se asigna automáticamente al tipo de ubicación de red pública.
  10. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de puerto saliente

De forma predeterminada, Firewall de Windows permite todo el tráfico de red saliente, a menos que coincida con una regla que prohíba el tráfico. Este tipo de regla bloquea cualquier tráfico de red saliente que coincida con los números de puerto TCP o UDP especificados. Para crear una regla de puerto de salida:

  1. Abrir firewall de Windows con la consola de advanced security
  2. En el panel de navegación, seleccione Reglas de salida.
  3. Seleccione Acción y, a continuación, seleccione Nueva regla.
  4. En la página Tipo de regla del Asistente para nueva regla de salida, seleccione Personalizado y, a continuación, seleccione Siguiente. NotaAunque puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.
  5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente.
  6. En la página Protocolo y puertos , seleccione el tipo de protocolo que desea bloquear. Para restringir la regla a un número de puerto especificado, debe seleccionar TCP o UDP. Dado que esta regla es una regla de salida, normalmente solo se configura el número de puerto remoto Si selecciona otro protocolo, Windows Defender Firewall bloquea solo los paquetes cuyo campo de protocolo en el encabezado IP coincide con esta regla. El tráfico de red de los protocolos se permite siempre que otras reglas que coincidan no lo bloqueen. Para seleccionar un protocolo por su número, seleccione Personalizado en la lista y escriba el número en el cuadro Número de protocolo . Cuando haya configurado los protocolos y puertos, seleccione Siguiente.
  7. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
  8. En la página Acción , seleccione Bloquear la conexión y, a continuación, seleccione Siguiente.
  9. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
  10. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de servicio o programa entrante

Este tipo de regla permite al programa escuchar y recibir tráfico de red entrante en cualquier puerto.

 Nota

Este tipo de regla suele combinarse con una regla de programa o servicio. Si combina los tipos de regla, obtiene una regla de firewall que limita el tráfico a un puerto especificado y permite el tráfico solo cuando se ejecuta el programa especificado. El programa no puede recibir tráfico de red en otros puertos y otros programas no pueden recibir tráfico de red en el puerto especificado. Para combinar los tipos de regla de puerto y programa en una sola regla, siga los pasos del procedimiento Crear una regla de puerto de entrada , además de los pasos de este procedimiento.

Para crear una regla de firewall de entrada para un programa o servicio:

  1. Abrir firewall de Windows con la consola de advanced security
  2. En el panel de navegación, seleccione Reglas de entrada.
  3. Seleccione Acción y, a continuación, seleccione Nueva regla.
  4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente. NotaInformación que el usuario debe observar incluso si se puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.
  5. En la página Programa, seleccione Esta ruta de acceso del programa.
  6. Escriba la ruta de acceso al programa en el cuadro de texto. Use variables de entorno, cuando corresponda, para asegurarse de que los programas instalados en diferentes ubicaciones en distintos equipos funcionan correctamente.
  7. Realiza una de las siguientes acciones:
    • Si el archivo ejecutable contiene un solo programa, seleccione Siguiente.
    • Si el archivo ejecutable es un contenedor para varios servicios que deben tener permiso para recibir tráfico de red entrante, seleccione Personalizar, seleccione Aplicar solo a serviciosAceptar y, a continuación, seleccione Siguiente.
    • Si el archivo ejecutable es un contenedor para un único servicio o contiene varios servicios, pero la regla solo se aplica a uno de ellos, seleccione Personalizar, aplicar a este servicio y, a continuación, seleccione el servicio en la lista. Si el servicio no aparece en la lista, seleccione Aplicar al servicio con este nombre corto de servicio y, a continuación, escriba el nombre corto del servicio en el cuadro de texto. Seleccione Aceptar y, a continuación, seleccione Siguiente.
     ImportantePara usar las opciones Aplicar a este servicio o Aplicar al servicio con este nombre corto de servicio , el servicio debe configurarse con un identificador de seguridad (SID) con un tipo de RESTRICTED o UNRESTRICTED. Para comprobar el tipo de SID de un servicio, ejecute el siguiente comando: sc qsidtype <ServiceName>Si el resultado es NONE, no se puede aplicar una regla de firewall a ese servicio.Para establecer un tipo de SID en un servicio, ejecute el siguiente comando: sc sidtype <ServiceName> <Type>En el comando anterior, el valor de <Type> puede ser UNRESTRICTED o RESTRICTED. Aunque el comando también permite el valor de NONE, esa configuración significa que el servicio no se puede usar en una regla de firewall como se describe aquí. De forma predeterminada, la mayoría de los servicios de Windows están configurados como UNRESTRICTED. Si cambia el tipo de SID a RESTRICTED, es posible que el servicio no se inicie. Se recomienda cambiar el tipo de SID solo en los servicios que desea usar en las reglas de firewall y que cambie el tipo de SID a UNRESTRICTED.
  8. Se recomienda restringir la regla de firewall del programa solo a los puertos que necesita para funcionar. En la página Protocolos y puertos , puede especificar los números de puerto para el tráfico permitido. Si el programa intenta escuchar en un puerto distinto del especificado aquí, se bloquea. Para obtener más información sobre las opciones de protocolo y puerto, vea Crear una regla de puerto de entrada. Después de configurar las opciones de protocolo y puerto, seleccione Siguiente.
  9. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
  10. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
  11. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
  12. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de servicio o programa saliente

De forma predeterminada, Windows Defender Firewall permite todo el tráfico de red saliente a menos que coincida con una regla que prohíba el tráfico. Este tipo de regla impide que el programa envíe tráfico de red saliente en cualquier puerto. Para crear una regla de firewall de salida para un programa o servicio:

  1. Abrir firewall de Windows con la consola de advanced security
  2. En el panel de navegación, seleccione Reglas de salida.
  3. Seleccione Acción y, a continuación, seleccione Nueva regla.
  4. En la página Tipo de regla del Asistente para nueva regla de salida, seleccione Personalizado y, a continuación, seleccione Siguiente.