Если дома есть NAS, умные камеры, RDP, Home Assistant, Plex или вы просто не хотите, чтобы «все устройства в Wi‑Fi» могли стучаться к вашему ноутбуку, встроенный Windows Defender Firewall вполне можно использовать как нормальный домашний firewall. Не как замену роутеру, а как второй уровень защиты прямо на компьютере.
Суть подхода простая: разделить сеть на зоны доверия и разрешать доступ не всем подряд, а только тем, кому он действительно нужен. В Windows это делается через сетевые профили, IP-адреса, порты и направления трафика.
Что считать зонами в домашней сети
В Windows нет таких «зон», как в некоторых Linux-брандмауэрах, но для дома удобно мыслить именно зонами. На практике зона — это уровень доверия к устройству или сети.
- Интернет — всё, что не находится в вашей домашней сети. Самая недоверенная зона.
- Домашняя LAN — ваши основные компьютеры, ноутбуки, NAS, принтеры. Обычно это доверенная зона.
- Админские устройства — компьютер или ноутбук, с которого вы управляете NAS, Home Assistant, сервером или другим ПК.
- IoT и гостевая сеть — камеры, телевизоры, розетки, телефоны гостей. К ним лучше относиться как к полу-доверенной или недоверенной зоне.
- VPN — если вы подключаетесь извне, это отдельная зона. Доверять ей можно только если VPN настроен нормально.
Windows Defender Firewall помогает строить такие зоны двумя способами:
- через сетевые профили: Domain, Private, Public;
- через IP-области в правилах: Remote IP addresses и Local IP addresses.
Профиль отвечает на вопрос: «Где находится этот сетевой адаптер?» А IP-область уточняет: «Какие именно устройства могут обращаться к этому компьютеру?»
| Элемент | Что означает | Как использовать дома |
|---|---|---|
| Public | Недоверенная сеть: кафе, отель, гостевой Wi‑Fi, чужая сеть. | Входящие подключения блокировать, сетевое обнаружение не включать. |
| Private | Домашняя или рабочая доверенная сеть. | Разрешать только нужные службы: SMB, RDP, Home Assistant, Plex и т.д. |
| Domain | Сеть домена Active Directory. | В обычном доме почти не используется, если ПК не в домене. |
| Remote IP addresses | Адреса устройств, которым разрешено или запрещено обращаться к вашему ПК. | Например, RDP разрешить только с 192.168.1.10, а не со всей сети. |
| Local IP addresses | Локальные адреса или адаптеры, к которым применяется правило. | Полезно, если на ПК несколько сетевых карт, VPN или несколько IP. |
Сначала составьте карту того, что реально нужно открыть
Главная ошибка — начать создавать правила «на всякий случай». В итоге получается firewall, который либо ничего не защищает, либо ломает половину домашней сети. Начните с инвентаризации.
- Запишите IP-адреса основных устройств: роутер, ваш ПК, NAS, принтер, камеры, Home Assistant, сервер.
- Решите, какие службы должны быть доступны из сети.
- Для каждой службы определите, кому она нужна.
- Назначьте зонам уровень доверия.
- Создайте правила под эти задачи и проверьте их.
Примерная таблица для домашней сети может выглядеть так:
| Служба | Порт | Кому разрешать | Кому лучше не разрешать |
|---|---|---|---|
| RDP | TCP 3389 | Только админский ПК или VPN | Гостевая сеть, IoT, интернет напрямую |
| SMB / общий доступ к файлам | TCP 445 | NAS и доверенные ПК | Камеры, телевизоры, гости |
| Принтер | TCP 9100, 515, 631 | Обычно компьютеры обращаются к принтеру | Гостевая сеть, если печать гостям не нужна |
| Home Assistant | TCP 8123 | Админские устройства | Все устройства LAN без разбора |
| Plex | TCP 32400 | Домашние клиенты | Интернет, если удалённый доступ не нужен |
| SSH | TCP 22 | Админский ПК или VPN | Любые устройства из LAN и тем более интернет |
| Ping / ICMP | ICMP | По желанию, только LAN | Интернет и гостевая сеть |
Настройте сетевой профиль Windows
Профиль сети — базовая настройка. Если домашний Wi‑Fi или Ethernet ошибочно помечен как Public, правила для Private не сработают. Если ноутбук в кафе работает как Private, Windows будет вести себя так, будто сеть доверенная.
Проверить профиль можно через PowerShell:
Get-NetConnectionProfileЕсли домашний адаптер называется, например, Wi‑Fi, его можно перевести в Private:
Set-NetConnectionProfile -InterfaceAlias "Wi-Fi" -NetworkCategory PrivateДля гостевой сети, отеля или кафе лучше ставить Public:
Set-NetConnectionProfile -InterfaceAlias "Wi-Fi" -NetworkCategory PublicГрафически это делается через «Параметры» → «Сеть и Интернет» → нужный адаптер → тип сетевого профиля. Для дома выбирайте Private, для чужих сетей — Public.
Базовая политика: что блокировать по умолчанию
Для большинства домашних сценариев я бы начинал так:
- входящие подключения блокировать по умолчанию;
- исходящие подключения оставить разрешёнными;
- разрешать только конкретные входящие службы;
- для Public-профиля держать всё максимально закрытым;
- включить логирование заблокированных подключений на время настройки.
Почему не стоит сразу блокировать весь исходящий трафик? Потому что домашний firewall быстро превращается в источник проблем: перестают работать браузеры, игры, обновления, Microsoft Store, VPN, облачные клиенты и часть системных служб. Для дома чаще полезнее держать исходящий доступ открытым, но не открывать лишнего входящего.
Открыть расширенные настройки можно командой:
wf.mscВ окне «Windows Defender Firewall with Advanced Security» зайдите в свойства брандмауэра и проверьте профили Private и Public. Для Private и Public входящие подключения обычно должны быть заблокированы по умолчанию, а исходящие — разрешены.
Для отладки включите логирование заблокированных пакетов. Файл журнала обычно находится здесь:
%SystemRoot%\System32\LogFiles\Firewall\pfirewall.logПосле настройки логирование можно оставить, но если оно пишет слишком много, лучше отключить или включать только на время проверки.
Как создавать правила по зонам
Каждое правило должно отвечать на пять вопросов:
- входящий это трафик или исходящий;
- для какого профиля оно действует: Private, Public или Any;
- какой протокол и порт;
- какие Remote IP addresses разрешены или запрещены;
- какая программа или служба стоит за правилом.
Для входящего правила Remote IP addresses — это адрес устройства, которое обращается к вашему компьютеру. Например, если вы разрешаете RDP только с админского ноутбука 192.168.1.10, именно его нужно указать в Remote IP addresses.
Пример правила для RDP только с одного админского ПК:
netsh advfirewall firewall add rule name="RDP from admin PC" dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.1.10 profile=privateПример правила для SMB только с NAS:
net