آموزش اضافه کردن رول در فایروال ویندوز با دسترسی به کنسول فایروال!

در این مقاله، می‌خواهیم درباره‌ی اضافه کردن رول در فایروال ویندوز (یا همان قوانین) با استفاده از Windows Firewall with Advanced Security console صحبت کنیم.

همانطور که می‌دانید، فایروال‌ها یا دیواره‌های آتش،‌ بخش مهمی از سیستم امنیتی به‌شمار می‌روند و می‌توانند از بروز نفوذ و مشکلات ناخواسته جلوگیری کنند. با اضافه کردن قوانین به این ابزار امنیتی، می‌توانید مشخص کنید که چه کسی یا کسانی به یک پورت یا برنامه‌ی خاص دسترسی داشته باشند و یا سطح دسترسی این افراد چگونه باشد. در ادامه، به نحوه‌ی ایجاد دسترسی و اضافه کردن رول در فایروال ویندوز می‌پردازیم.

دسترسی به کنسول فایروال ویندوز با امنیت پیشرفته

در‌صورتی که می‌خواهید دستگاه‌هایی که به یک دامنه‌ی Active Directory متصل هستند را پیکربندی کنید، برای اضافه کردن رول در فایروال ویندوز باید عضو گروه Domain Administrators باشید و یا مجوز‌های لازم برای تغییر آبجکت خط مشی گروهی (GPO) را دریافت کرده باشید.

برای دسترسی به فایروال ویندوز با استفاده از کنسول امنیتی پیشرفته، باید یک GPO را بر روی یک سرور مانند سرور مجازی ویندوز ایجاد یا ویرایش کنید و در ادامه، گره‌ها را با دنبال کردن مسیر زیر گسترش دهید:

Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security

در‌صورتی که در حال پیکربندی یک دستگاه هستید، باید اختیارات ادمینی را بر روی آن دستگاه داشته باشید. اگر این اختیارات را دارید، برای دسترسی به فایروال ویندوز با کنسول امنیتی پیشرفته، گزینه‌ی START را انتخاب کرده و سپس عبارت «wf.msc» را تایپ کرده و کلید ENTER را فشار دهید.

اضافه کردن رول در فایروال ویندوز برای ورودی ICMP

این نوع rule به درخواست‌ها و پاسخ‌های ICMP اجازه می‌دهد تا توسط دستگاه‌های روی شبکه دریافت شوند. برای اضافه کردن رول در فایروال ویندوز برای ورودی ICMP:

• Windows Firewall with Advanced Security console را باز کنید.
• در ستون سمت چپ، بر روی گزینه‌ی «Inbound Rules» کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی «Next» کلیک کنید.
• در صفحه‌ی Program page بر روی گزینه‌ی «All programs» کلیک کرده و سپس «Next» را بزنید.
• در صفحه‌ی «Protocol and Ports»، یکی از گزینه‌های ICMPv4 یا ICMPv6 را از لیست Protocol type انتخاب کنید. اگر هم از IPv4 و هم از IPv6 در شبکه‌تان استفاده می‌کنید، باید برای هر کدام از آن‌ها یک رول ICMP جداگانه ایجاد کنید.
• در پایین همان پنجره بر روی دکمه‌ی Customize کلیک کنید.
• در پنجره‌ای که برایتان باز می‌شود، کارهای زیر را انجام دهید:

• • برای اینکه تمام ترافیک شبکه‌ی ICMP را مجاز کنید، گزینه‌ی All ICMP types را انتخاب کرده و سپس بر روی OK کلیک کنید.
  • اگر می‌خواهید یکی از انواع ICMP‌های از ‌پیش تعریف‌شده را انتخاب کنید، گزینه‌ی Specific ICMP types را انتخاب کرده و سپس هر نوعی که در لیست وجود دارد و می‌خواهید آن را مجاز کنید را انتخاب کرده و در پایان بر روی OK کلیک کنید.
  • اگر نوع ICMP مد‌نظر شما در لیست وجود ندارد، Specific ICMP types را انتخاب کرده و سپس نوع و کد آن را در کادر‌های پایین وارد کرده و گزینه‌ی Add را انتخاب کنید. سپس، ورودی جدید ایجاد‌شده را از لیست انتخاب کرده و بر روی دکمه‌ی OK کلیک کنید.

• گزینه‌ی Next را انتخاب کنید.
•  در ‌بخش Scope، می‌توانید مشخص کنید که این قوانین فقط برای ترافیک شبکه و یا بر روی آدرس‌های IP وارد‌شده در همین صفحه اعمال شوند. پیکربندی این قسمت را مطابق با صلاح‌دید خودتان انجام داده و سپس بر روی دکمه‌ی Next کلیک کنید.
• در‌ بخش Action، گزینه‌ی Allow the connection را انتخاب کرده و بر روی دکمه‌ی Next کلیک کنید.
• در ‌بخش Profile، انواع لوکیشین شبکه‌ای که قوانین برای آن‌ها اعمال می‌شوند را انتخاب کرده و بر روی دکمه‌ی Next کلیک کنید.
• در ‌بخش Name، باید نام و توضیح برای قانونی که می‌خواهید ایجاد کنید را تایپ کرده و سپس بر روی دکمه‌ی Finish کلیک کنید.

ایجاد رول برای پورت ورودی (inbound port)

با اضافه کردن رول در فایروال ویندوز برای پورت ورودی، تمام برنامه‌هایی که به یک پورت TCP یا UDP گوش می‌دهند، می‌توانند ترافیک شبکه‌ی ارسال‌شده به آن پورت را دریافت کنند. برای ایجاد رول پورت ورودی، دستور‌العمل زیر را دنبال کنید:

• Windows Firewall with Advanced Security console را باز کنید.
• از ستون سمت چپ، بر روی گزینه‌ی Inbound Rules کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی Next کلیک کنید.

توجه: با اینکه می‌توانید رول‌ها را با انتخاب Program or Port ایجاد کنید، اما این گزینه‌ها، تعداد ‌بخش‌هایی که wizard ارائه می‌دهد را محدود می‌کند. در‌صورتی که گزینه‌ی Custom را انتخاب کنید، می‌توانید همه‌ی ‌بخش‌ها را ببینید و انعطاف بیشتری در ایجاد قوانین مختلف داشته باشید.

• در‌ بخش Program، بر روی گزینه‌ی All programs کلیک کرده و سپس بر روی Next کلیک کنید.

توجه: با ایجاد این رول، یک قانون فایروال خواهید داشت که ترافیک را به یک پورت مشخص محدود کرده و فقط در‌صورتی که برنامه‌ی مشخص‌شده در حال اجرا باشد، اجازه‌ی ورود ترافیک را می‌دهد. توجه داشته باشید که برنامه‌ی مشخص‌شده نمی‌تواند ترافیک شبکه را از پورت‌های دیگر دریافت کند و سایر برنامه‌ها هم نمی‌توانند ترافیک شبکه را از پورت مشخص‌شده دریافت کنند.

• در ‌بخش «Protocol and Ports» باید نوع پروتکلی که می‌خواهید دسترسی به آن را مجاز کنید را مشخص کنید. برای اینکه قانون را به یک شماره پورت خاص محدود کنید، باید گزینه‌ی TCP یا UDP را انتخاب کنید. از آنجایی‌که این رول یک رول ورودی است، شما معمولا فقط پورت محلی را پیکربندی می‌کنید و اگر پروتکل دیگری را انتخاب کنید، فقط پکیج‌هایی که فیلد پروتکل‌شان در هدر IP با این رول مطابقت دارد، از طریق فایروال مجاز به دسترسی و اجرا هستند.
  برای اینکه یک پروتکل با شماره‌ی آن را انتخاب کنید، گزینه‌ی «Custom» را از لیست انتخاب کرده و سپس شماره‌ی آن را در کادر «Protocol number» وارد کنید.
  پس از پیکربندی پروتکل‌ها و پورت‌ها، بر روی «Next» کلیک کنید.
• در‌ بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این ‌بخش را انجام دادید، بر روی «Next» کلیک کنید.
• در بخش «Action» بر روی گزینه‌ی «Allow the connection» و سپس بر روی «Next» کلیک کنید.
• در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.

توجه: اگر قصد دارید این GPO را بر روی رایانه‌های سروری که از Windows Server 2008 استفاده می‌کنند یا سرور مجازی اعمال کنید، رول‌ها را طوری تغییر دهید که برای همه‌ی پروفایل‌های نوع location شبکه اعمال شود. با انجام این کار، زمانی که می‌خواهید نوع location شبکه را برای نصب کارت شبکه‌ی جدید یا قطعی کابل کارت شبکه تغییر دهید، تغییری در قوانین اعمال‌شده ایجاد نمی‌شود.

• در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت قانون تمام شود.

ایجاد یک رول پورت خارجی (Outbound Port)

فایروال ویندوز به‌صورت پیش‌فرض تمام ترافیک خروجی شبکه را مجاز می‌کند؛ مگر در‌صورتی که با رول منع ترافیک مطابقت داشته باشد. با‌توجه به این رول، هر ترافیک شبکه‌ی خروجی‌ای که با شماره‌ی پورت TCP یا UDP مطابقت دارد، به‌صورت خودکار مسدود می‌شود.

در‌صورتی که قصد اضافه کردن رول در فایروال ویندوز برای پورت خروجی را دارید، مراحل زیر را دنبال کنید:

• Windows Firewall with Advanced Security console را باز کنید.
• از ستون سمت چپ، بر روی گزینه‌ی Inbound Rules کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی Next کلیک کنید.

توجه: با اینکه می‌توانید رول‌ها را با انتخاب «Program or Port» ایجاد کنید، اما تعداد ‌بخش‌های ارائه‌شده در آن کمتر است. زمانی که «Custom» را انتخاب می‌کنید، انعطاف‌پذیری بیشتری در تنظیمات خواهید داشت.

• • • در بخش «Program» بر روی گزینه‌ی «All programs» و سپس «Next» کلیک کنید.
    • در بخش «Protocol and Ports» باید نوع پروتکلی که می‌خواهید دسترسی به آن را مجاز کنید را انتخاب کنید. برای اینکه قانون را به یک شماره پورت خاص محدود کنید، باید گزینه‌ی TCP یا UDP را انتخاب کنید. از آنجایی‌که این رول یک رول خروجی است، باید فقط شماره‌ی پورت‌های ریموت را پیکربندی کنید و در‌صورتی که پروتکل دیگری را انتخاب کنید، فقط پکیج‌هایی که فیلد پروتکل‌شان در هدر IP با این قانون مطابقت دارند، توسط Windows Defender Firewall مسدود می‌شوند. برای چنین پروتکل‌هایی، ترافیک شبکه تا زمانی مجاز است که قوانین دیگر این ترافیک را مسدود نکنند. برای اینکه یک پروتکل یا شماره‌اش را انتخاب کنید، از لیست موجود گزینه‌ی «Custom» را انتخاب کرده و شماره‌ی آن را در کادر «Protocol number» وارد کنید. پس از پیکربندی پروتکل‌ها و پورت‌ها، بر روی «Next» کلیک کنید.

•  در بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این‌ بخش را انجام دادید، بر روی «Next» کلیک کنید.
• در بخش «Action» گزینه‌ی «Block the connection» را انتخاب کرده و سپس بر روی «Next» کلیک کنید.
• در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.
• در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت قانون تمام شود.

اضافه کردن رول در فایروال ویندوز برای برنامه یا سرویس ورودی

با افزودن rules در فایروال ویندوز برای یک برنامه یا سرویس، به برنامه/سرویس مورد‌نظرتان اجازه می‌دهید که ترافیک شبکه‌ی ورودی را در هر پورتی گوش داده و دریافت کند.

توجه: با انجام مراحل زیر، یک رول فایروال خواهید داشت که ترافیک را به یک پورت مشخص محدود می‌کند و فقط در زمانی که برنامه‌ی مورد‌نظرتان در حال اجراست، اجازه‌ی ورود ترافیک را می‌دهد. توجه داشته باشید که برنامه‌ی مورد‌نظر شما نمی‌تواند ترافیک شبکه را در پورت‌های دیگر دریافت کند و سایر برنامه‌ها هم نمی‌توانند ترافیک شبکه را در پورت مشخص‌شده دریافت کنند.

برای ایجاد یک رول فایروال ورودی برای یک سرویس یا برنامه، مراحل زیر را دنبال کنید:

• Windows Firewall with Advanced Security console را باز کنید.
• از ستون سمت چپ، بر روی گزینه‌ی Inbound Rules کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی Next کلیک کنید.

توجه: با اینکه می‌توانید رول‌ها را با انتخاب «Program or Port» ایجاد کنید، اما تعداد ‌بخش‌های ارائه‌شده در آن کمتر است. زمانی که «Custom» را انتخاب می‌کنید، انعطاف‌پذیری بیشتری در تنظیمات خواهید داشت.

５. در بخش «Program» گزینه‌ی «This program path» را انتخاب کنید.

６. مسیری که برنامه در آنجا قرار دارد را در کادر متنی وارد کنید. برای اینکه مطمئن شوید که برنامه‌ی مورد‌نظر شما به‌درستی کار می‌کند، می‌توانید از متغیر‌های محیطی استفاده کنید.

７. در این قسمت، باید یکی از کار‌های زیر را انجام دهید:

• در‌صورتی که فایل اجرایی حاوی یک برنامه‌ی واحد است، بر روی گزینه‌ی «Next» کلیک کنید.
• در‌صورتی که فایل اجرایی، یک کانتینر برای چندین سرویس است که همه‌ی این سرویس‌ها باید اجازه‌ی دریافت ترافیک شبکه‌ی ورودی را داشته باشند، گزینه‌ی «Customize» را انتخاب کرده و سپس «Apply to services only» را انتخاب کنید. در ادامه، پس از کلیک بر روی «OK»، بر روی دکمه‌ی «Next» کلیک کنید.
• در‌صورتی که فایل اجرایی، کانتینری است که فقط شامل یک سرویس واحد است و یا شامل چندین سرویس است اما این رول فقط برای یکی از این سرویس‌ها اعمال می‌شود، گزینه‌ی «Customize» و سپس «Apply to services only» را انتخاب کنید و در ادامه، سرویس مورد‌نظرتان را از لیست انتخاب کنید. اگر سرویس مورد‌نظرتان را در لیست نمی‌بینید، گزینه‌ی «Apply to service with this service short name» را انتخاب کرده و نام کوتاه سرویس را در کادر متنی بنویسید. گزینه‌ی «OK» را انتخاب کرده و بر روی «Next» کلیک کنید.

توجه: برای استفاده از گزینه‌های «Apply to this service» یا «Apply to service with this service short name»، سرویس مورد‌نظر شما باید با یک شناسه‌ی امنیتی (SID) با یک نوع RESTRICTED یا UNRESTRICTED پیکربندی شود. اگر می‌خواهید نوع SID یک سرویس را متوجه شوید، دستور زیر را اجرا کنید:

sc qsidtype

در‌صورتی که با اجرای دستور بالا، عبارت NONE برایتان ظاهر شد، به این معنی است که نمی‌توانید رول فایروال را برای آن سرویس اعمال کنید.

برای اینکه یک نوع SID را در یک سرویس تنظیم کنید، باید دستور زیر را اجرا کنید:

sc sidtype

در دستور بالا، می‌توانید مقدار تایپ را UNRESTRICTED یا RESTRICTED بنویسید. اگر چه با این دستور می‌توانید نوع را به‌صورت NONE نیز تعیین کنید، اما زمانی که نوع را به‌صورت NONE تعریف می‌کنید، دیگر نمی‌توانید سرویس را در رول فایروال استفاده کنید. به‌صورت پیش‌فرض، اکثر سرویس‌ها در ویندوز به‌صورت UNRESTRICTED پیکربندی می‌شوند و در‌صورتی که نوع SID را به RESTRICTED تغییر دهید، ممکن است سرویس مورد‌نظرتان دیگر کار نکند. توصیه‌ی ما این است که نوع SID را فقط در سرویس‌هایی که می‌خواهید در رول فایروال وارد کنید، تغییر داده و مابقی را به‌صورت UNRESTRICTED تعریف کنید.

8. در اینجا، می‌خواهیم رول فایروال برنامه را فقط به پورت‌هایی که برای کار کردن نیاز دارد، محدود کنیم. در بخش «Protocols and Ports» می‌توانید شماره‌ی پورت‌ها را برای ترافیک مجاز، مشخص کنید. در‌صورتی که برنامه‌ی مورد‌نظر شما سعی کند به پورت متفاوتی گوش دهد، مسدود می‌شود. پس از پیکربندی گزینه‌های Protocols and Ports، بر روی گزینه‌ی «Next» کلیک کنید.
9. در بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این ‌بخش را انجام دادید، بر روی «Next» کلیک کنید.
10. در بخش «Action» گزینه‌ی «Allow the connection» را انتخاب کرده و سپس بر روی «Next» کلیک کنید.
11. در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.
12. در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت این قانون تمام شود.

اضافه کردن رول در فایروال ویندوز برای برنامه یا سرویس خروجی

به‌صورت پیش‌فرض، Windows Defender Firewall تمام ترافیک شبکه‌ی خروجی را مجاز کرده و فقط ترافیکی که با قانون منع ترافیک مطابقت داشته باشد را مسدود می‌کند. این رول باعث می‌شود که برنامه نتواند ترافیک شبکه‌ی خروجی در هر پورت بفرستد.

برای افزودن rules در فایروال ویندوز خروجی برای یک سرویس یا برنامه، مراحل زیر را دنبال کنید:

•  Windows Firewall with Advanced Security console را باز کنید.
• از ستون سمت چپ، بر روی گزینه‌ی Inbound Rules کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی Next کلیک کنید.

توجه: با اینکه می‌توانید رول‌ها را با انتخاب «Program or Port» ایجاد کنید، اما تعداد ‌بخش‌های ارائه‌شده در آن کمتر است. زمانی که «Custom» را انتخاب می‌کنید، انعطاف‌پذیری بیشتری در تنظیمات خواهید داشت.

• در بخش «Program» گزینه‌ی «This program path» را انتخاب کنید.
• مسیری که برنامه در آنجا قرار دارد را در کادر متنی وارد کنید. برای اینکه مطمئن شوید که برنامه‌ی مورد‌نظر شما به درستی کار می‌کند، می‌توانید از متغیر‌های محیطی استفاده کنید.
• در این قسمت، باید یکی از کار‌های زیر را انجام دهید:
• در‌صورتی که فایل اجرایی حاوی یک برنامه‌ی واحد است، بر روی گزینه‌ی «Next» کلیک کنید.
• در‌صورتی که فایل اجرایی، یک کانتینر برای چندین سرویس است که همه‌ی این سرویس‌ها باید اجازه‌ی دریافت ترافیک شبکه‌ی ورودی را داشته باشند، گزینه‌ی «Customize» را انتخاب کرده و سپس «Apply to services only» را انتخاب کنید. در ادامه، پس از کلیک بر روی «OK»، بر روی دکمه‌ی «Next» کلیک کنید.
• در‌صورتی که فایل اجرایی، کانتینری است که فقط شامل یک سرویس واحد است و یا شامل چندین سرویس است اما این رول فقط برای یکی از این سرویس‌ها اعمال می‌شود، گزینه‌ی «Customize» و سپس «Apply to services only» را انتخاب کنید و در ادامه، سرویس مورد‌نظرتان را از لیست انتخاب کنید. اگر سرویس مورد‌نظرتان را در لیست نمی‌بینید، گزینه‌ی «Apply to service with this service short name» را انتخاب کرده و نام کوتاه سرویس را در کادر متنی بنویسید. سپس، گزینه‌ی «OK» را انتخاب کرده و بر روی «Next» کلیک کنید.
• در‌صورتی که می‌خواهید برنامه‌ی مورد‌نظر شما اجازه‌ی ارسال برخی از پورت‌ها را داشته باشد اما ارسال این پورت‌ها بر روی برخی از برنامه‌ها مسدود شود، باید فایروال را محدود کنید تا فقط پورت‌ها یا پروتکل‌هایی که مشخص می‌کنید را مسدود کند. برای انجام این کار، در بخش «Protocols and Ports» شماره‌ی پورت یا پروتکل ترافیکی که قصد مسدود کردنش را دارید را انتخاب کنید. پس از این کار، اگر برنامه سعی کند به ‌شماره‌ی پورتی که مشخص نکرده‌اید چیزی ارسال کند، و یا با استفاده از یک شماره‌ی پروتکل مشخص‌نشده چیزی ارسال کند، فایروالی که به‌صورت پیش‌فرض تنظیم شده‌است اجازه‌ی ترافیک را نمی‌دهد. پس از اینکه پورت و پروتکل را پیکربندی کرده‌اید، گزینه‌ی «Next» را انتخاب کنید.
• در بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این‌ بخش را انجام دادید، بر روی «Next» کلیک کنید.
• در بخش «Action» گزینه‌ی «Block the connection» را انتخاب کرده و سپس بر روی «Next» کلیک کنید.
• در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.
• در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت این قانون تمام شود.

ایجاد رول ورودی برای پشتیبانی RPC

برای اینکه به ترافیک شبکه اجازه دهید تا فراخوانی ریموت ورودی را انجام دهد، باید طبق مراحل زیر، ۲ رول فایروال را ایجاد کنید:

• قانون اول، اجازه‌ی ترافیک ورودی پکیج‌های شبکه‌ی در پورت TCP 135 بر‌روی سرویس RPC Endpoint Mapper service را می‌دهد. ترافیک ورودی در اینجا شامل درخواست‌هایی است که ارتباط با یک سرویس شبکه‌ی مشخص‌شده را برقرار می‌کنند. RPC Endpoint Mapper با یک شماره‌ی پورت اختصاص ‌داده‌شده به درخواست برقراری ارتباط با سرویس پاسخ می‌دهد.
• قانون دوم به ترافیک شبکه اجازه می‌دهد که به‌صورت پویا به ‌شماره‌ی پورت اختصاص داده‌شده ارسال شود.

دو قانون بالا، اجازه‌ی ارسال ترافیک شبکه از دستگاه‌هایی که هدایت پورت پویای RPC را دریافت کرده‌اند، و همچنین اجازه‌ی ارسال به‌شماره‌های پورت TCP اختصاص داده‌شده توسط RPC Endpoint Mapper را می‌دهند و با انجام این کار، به دستگاه شما کمک می‌کنند.

سرویس RPC Endpoint Mapper

• Windows Firewall with Advanced Security console را باز کنید.
• از ستون سمت چپ، بر روی گزینه‌ی Inbound Rules کلیک کنید.
• یک ستون به نام «Action» در سمت راست باز می‌شود. در این ستون بر روی گزینه‌ی «New rule» کلیک کنید تا یک پنجره باز شود.
• در این پنجره، بر روی «Rule Type» کلیک کرده و در قسمت «Custom» گزینه‌ی «New Inbound Rule Wizard» را انتخاب کرده و بر روی Next کلیک کنید.
• در بخش «Program» گزینه‌ی «This Program Path» را انتخاب کرده و سپس عبارت «%systemroot%\system32\svchost.exe» را تایپ کنید.
• گزینه‌ی «Customize» را انتخاب کنید.
• در کادر متنی «Customize Service Settings» عبارت «Apply to this service» را انتخاب کرده و سپس گزینه‌ی «Remote Procedure Call (RPC)» را با نام اختصاری «RpcSs» انتخاب کرده و به‌ترتیب بر روی «OK» و «Next» کلیک کنید.
• در اخطاری که مربوط به رول سخت‌سازی سرویس ویندوز است، گزینه‌ی «Yes» را انتخاب کنید.
• در کادر محاوره‌ای «Protocol and Ports» برای انتخاب «Protocol type» گزینه‌ی «TCP» را انتخاب کنید.
• برای «Local port» گزینه‌ی «RPC Endpoint Mapper» را انتخاب کرده و سپس «Next» را انتخاب کنید.
• در بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و یا برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این‌ بخش را انجام دادید، بر روی «Next» کلیک کنید.
• در بخش «Action» گزینه‌ی «Allow the connection» را انتخاب کرده و سپس بر روی «Next» کلیک کنید.
• در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.
• در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت این قانون تمام شود.

سرویس‌های شبکه با RPC فعال

• در همان GPO که در روش قبلی ویرایش کردید، وارد‌ بخش «Action» شوید و سپس گزینه‌ی «New rule» را انتخاب کنید.
• در بخش «Rule Type» بر روی «Custom» و سپس «Next» کلیک کنید.
• در بخش «Program» گزینه‌ی «This Program Path» را انتخاب کرده و سپس مسیر فایل اجرایی‌ای که میزبان سرویس شبکه‌ی شماست را تایپ کنید. سپس، «Customize» را انتخاب کنید.
• در کادر محاوه‌ای «Customize Service Settings» گزینه‌ی «Apply to this service» را انتخاب کرده و سپس، سرویسی که می‌خواهید به آن اجازه‌ی ترافیک شبکه را بدهید را انتخاب کنید. در‌صورتی که سرویس مورد‌نظر شما در لیست ظاهر نشد، گزینه‌ی «Apply to service with this service short name» را انتخاب کرده و نام کوتاه سرویس را در کادر متنی آن تایپ کنید.
•  بر روی «OK» و سپس «Next» کلیک کنید.
• در کادر محاوره‌ای «Protocol and Ports»، برای انتخاب نوع پروتکل، گزینه‌ی «TCP» را انتخاب کنید.
• برای قسمت «Local port» گزینه‌ی «RPC Dynamic Ports» و سپس «Next» را انتخاب کنید.
• در بخش «Scope» می‌توانید مشخص کنید که این رول فقط برای ترافیک شبکه و یا برای آدرس‌های IP وارد‌شده در این صفحه اعمال شود. پس از اینکه پیکربندی این ‌بخش را انجام دادید، بر روی «Next» کلیک کنید.
• در بخش «Action» گزینه‌ی «Allow the connection» را انتخاب کرده و سپس بر روی «Next» کلیک کنید.
• در بخش «Profile» نوع location‌ای را انتخاب کنید که می‌خواهید رول برای آن اعمال شود و سپس بر روی «Next» کلیک کنید.
•  در بخش «Name» باید یک نام و توضیح را برای قانون جدید خود تعیین کنید. سپس بر روی «Finish» کلیک کنید تا ساخت این قانون تمام شود.