Инженерное программное обеспечение, такое как SolidWorks, часто требует постоянного соединения с удаленными узлами для проверки лицензий, обновления справочников или синхронизации данных. В корпоративных сетях или при работе с изолированными контурами безопасности наличие активных внешних соединений может стать критической уязвимостью. Administrators frequently face the challenge of restricting these connections without breaking the core functionality of the CAD system.
Блокировка доступа к серверам позволяет не только повысить уровень информационной безопасности, но и ускорить запуск приложения, исключив таймауты при попытках соединения с недоступными ресурсами. SWConnected и другие фоновые процессы могут инициировать трафик даже в моменты простоя пользователя. Правильная настройка сетевых экранов и системных файловhosts становится ключевым этапом в оптимизации работы CAD-комплекса.
В этой статье мы детально разберем методы ограничения сетевого взаимодействия, уделив особое внимание настройке брандмауэра Windows и редактированию системных таблиц маршрутизации. Вы узнаете, какие именно порты и домены необходимо изолировать, чтобы обеспечить стабильную работу локальной лицензии или полностью автономного режима. Грамотное применение этих методов предотвратит нежелательные обращения к внешним IP-адресам.
Анализ сетевой активности SolidWorks
Прежде чем внедрять жесткие ограничения, необходимо понимать, какие именно компоненты системы стремятся выйти в сеть. SolidWorks не является монолитным приложением; это экосистема, включающая множество служб, таких как SolidNetWork License Manager, Customer Portal и различные службы телеметрии. Каждая из них использует свои протоколы и порты для обмена данными.
Основной объем трафика генерируется службой лицензирования, которая в сетевых конфигурациях обращается к серверу-менеджеру, а в однопользовательских версиях может пытаться проверить статус подписки через интернет. Также фоновые процессы, такие как SolidWorks Explorer или модуль Task Scheduler, могут инициировать соединения для поиска обновлений или проверки наличия новых стандартов. Игнорирование этих процессов может привести к частичной блокировке функционала.
⚠️ Внимание: Перед началом блокировки убедитесь, что у вас есть действующая локальная лицензия или доступ к внутреннему серверу лицензий, иначе программное обеспечение может перейти в демонстрационный режим или полностью перестать запускаться.
Для точного определения адресатов трафика рекомендуется использовать утилиты мониторинга сетевых соединений, такие как Resource Monitor или netstat -an. Это позволит выявить конкретные IP-адреса и доменные имена, к которым обращается CAD-система в фоновом режиме. Полученные данные станут основой для создания точных правил фильтрации.
- Локальная (Node-Locked)
- Сетевая (Floating)
- Учебная версия
- Не знаю/Другое
Настройка Брандмауэра Windows для блокировки
Наиболее эффективным и управляемым способом ограничения доступа является использование встроенного средства защиты Windows — Брандмауэра. Этот инструмент позволяет создавать детальные правила исходящего трафика, блокируя соединения для конкретных исполняемых файлов. Создание правил требует внимательности, так как SolidWorks состоит из десятков компонентов.
Для начала необходимо открыть консоль управления брандмауэром через команду wf.msc. В разделе "Правила для исходящего подключения" создается новая запись, где в качестве программы указывается путь к главному исполняемому файлу, обычно находящемуся по пути C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS\SLDWORKS.exe. Однако этого недостаточно для полной изоляции.
Важно также заблокировать доступ для вспомогательных процессов, которые могут обходить ограничения основного приложения. К ним относятся службы обновлений и компоненты связи. Ниже приведен список ключевых процессов, которые рекомендуется добавить в правила блокировки:
- 🔴 SW_Downloader.exe — основной агент загрузки обновлений и патчей.
- 🔴 SolidWorksTaskScheduler.exe — планировщик задач, часто инициирующий фоновые проверки.
- 🔴 SolidWorksCommunication.exe — модуль, отвечающий за отправку отчетов об ошибках и телеметрии.
- 🔴 SLDWORKS.exe — главный исполняемый файл, блокировка которого запретит любые сетевые запросы от интерфейса.
При создании правила выбирается действие "Блокировать подключение" и применяются профили "Доменный", "Частный" и "Публичный". Это гарантирует, что сетевой доступ будет закрыт независимо от типа сети, к которой подключен компьютер. После применения правил изменения вступают в силу немедленно, без необходимости перезагрузки системы.
☑️ Чек-лист настройки брандмауэра
Блокировка через файл hosts и DNS
Альтернативным или дополнительным методом является модификация системного файла hosts, который имеет приоритет над DNS-запросами. Перенаправляя доменные имена серверов SolidWorks на локальный адрес или несуществующий IP, мы предотвращаем установление соединения на уровне разрешения имен. Этот метод особенно эффективен для блокировки конкретных доменов обновлений.
Файл расположен по адресу C:\Windows\System32\drivers\etc\hosts. Для его редактирования требуются права администратора. В конец файла добавляются строки, перенаправляющие запросы к серверам обновлений и телеметрии на адрес 127.0.0.1 или 0.0.0.0. Это заставляет систему считать, что серверы находятся на локальном компьютере, где они, естественно, не запущены.
Пример записей, которые необходимо добавить для блокировки популярных доменов SolidWorks:
127.0.0.1 swupdate.solidworks.com
127.0.0.1 www.solidworks.com
127.0.0.1 customerportal.solidworks.com
127.0.0.1 activation.solidworks.com
После сохранения файла рекомендуется очистить DNS-кэш командой ipconfig /flushdns в командной строке, запущенной от имени администратора. Это действие гарантирует, что система не будет использовать закэшированные IP-адреса для заблокированных доменов. Метод прост, но эффективен для предотвращения автоматических обновлений и проверок.
Что делать, если файл hosts не сохраняется?
Убедитесь, что вы запустили текстовый редактор (Блокнот) от имени администратора. Также проверьте, не блокирует ли антивирус изменение системных файлов. В редких случаях требуется временно снять атрибут "Только для чтения" с файла hosts.
Управление службами лицензирования SolidNetWork
В корпоративной среде, где используется плавающая лицензия, критически важным является правильный настрой службы SolidNetWork License Manager. Если клиентский компьютер не может найти сервер лицензий из-за сетевых блокировок, работа в САПР станет невозможной. Поэтому блокировка внешнего трафика не должна затрагивать локальный обмен данными с лицензионным сервером.
На клиентских машинах необходимо настроить переменную окружения SOLIDWORKS_LICENSE_FILE, указав в ней статический IP-адрес или имя хоста внутреннего сервера лицензий. Это исключит попытки программы сканировать сеть или обращаться к внешним ресурсам для поиска лицензии. Конфигурационный файл sw_d.lic также должен содержать корректный порт (обычно 25734) и адрес сервера.
| Параметр | Значение по умолчанию | Рекомендуемое значение (локально) | Описание |
|---|---|---|---|
| Порт сервера | 25734 | 25734 (без изменений) | Стандартный порт для SolidNetWork |
| Адрес сервера | Динамический/DHCP | Статический IP | Фиксированный адрес сервера лицензий |
| Таймаут поиска | 30 сек | 5-10 сек | Время ожидания ответа от сервера |
| Протокол | TCP/IP | TCP/IP | Протокол передачи данных |
Если сервер лицензий находится в той же подсети, убедитесь, что правила брандмауэра разрешают входящие и исходящие соединения на порт 25734 именно для внутреннего интерфейса. Блокировка всех исходящих соединений без исключений для этого порта приведет к массовому простою инженеров. Тестирование подключения можно выполнить через утилиту swlicadmin.exe.
⚠️ Внимание: Изменение настроек лицензирования на сервере требует перезапуска службы SolidNetWork License Manager. Выполняйте эти действия в период наименьшей активности пользователей, чтобы избежать потери несохраненных данных.
Отключение фоновых процессов и телеметрии
Даже после блокировки основных портов, некоторые компоненты SolidWorks могут оставаться активными через системные службы Windows. Для полного закрытия доступа необходимо отключить автозапуск ненужных служб, таких как "SolidWorks Download Manager" или "SolidWorks Update Service". Это снижает нагрузку на систему и исключает фоновый трафик.
Откройте диспетчер задач (Ctrl+Shift+Esc) и перейдите на вкладку "Автозагрузка". Найдите все элементы, связанные с SolidWorks, и отключите их. Дополнительно проверьте службы Windows через команду services.msc. Службы с названиями, содержащими "Update", "Download" или "Communication", можно перевести в режим запуска "Вручную" или "Отключено", если они не требуются для базовой функциональности.
Также стоит рассмотреть возможность отключения интеграции с SolidWorks Connected, если ваша организация не использует облачные функции PDM/PLM. В настройках самого приложения, в разделе "Системные параметры" → "Общие", часто присутствуют галочки, отвечающие за отправку данных об использовании и проверку обновлений при старте. Отключение опции "Автоматически проверять наличие обновлений при запуске" является обязательным шагом для полностью изолированных систем.
Используйте групповые политики (GPO) в домене Active Directory для массового отключения служб и применения настроек реестра на всех компьютерах инженеров одновременно. Это сэкономит время и исключит человеческий фактор.
Проверка эффективности и диагностика
После выполнения всех настроек необходимо убедиться, что блокировки работают корректно и не нарушают функциональность САПР. Запустите SolidWorks и попробуйте выполнить действия, которые ранее могли требовать сети, например, открытие справки или проверка обновлений. Ожидается, что система выдаст сообщение об ошибке соединения или таймаут, что подтвердит успешность блокировки.
Для глубокой диагностики можно использовать утилиту Resource Monitor (вкладка "Сеть") или сторонние снифферы трафика, такие как Wireshark. Запустите захват трафика и отфильтруйте его по процессу SLDWORKS.exe. Если блокировка выполнена правильно, вы не должны видеть успешных TCP-соединений (флаг SYN-ACK) с внешними IP-адресами, кроме тех, что относятся к локальному серверу лицензий.
В случае возникновения проблем с запуском или работой функций, временно включите правила брандмауэра и проверьте логи событий Windows (eventvwr.msc). Журналы брандмауэра могут содержать информацию о заблокированных соединениях, что поможет понять, какой именно процесс пытается выйти в сеть. Анализ логов — ключевой этап отладки сложных сетевых конфигураций.
Эффективная блокировка достигается только комплексным подходом: сочетание правил брандмауэра, правок hosts и отключения служб дает 100% гарантию изоляции.
Часто задаваемые вопросы (FAQ)
Может ли блокировка серверов повлиять на работу PDM (Product Data Management)?
Да, если ваш PDM-сервер находится в облаке или доступ к нему осуществляется через внешние шлюзы, блокировка всех исходящих соединений нарушит работу системы управления данными. Необходимо создавать исключения в брандмауэре для IP-адресов или доменов вашего PDM-сервера и портов SQL Server.
Как вернуть все настройки обратно, если SolidWorks перестал работать?
Для отката изменений удалите созданные правила в брандмауэре, восстановите оригинальный файл hosts (убрав добавленные строки) и верните тип запуска отключенным службам в значение "Автоматически". Также может потребоваться сброс настроек лицензии через утилиту активации.
Безопасно ли блокировать домены solidworks.com полностью?
Блокировка домена безопасна для стабильности работы самой программы, если вам не нужны обновления и облачные функции. Однако это лишит вас доступа к онлайн-справке и возможности проверки подлинности лицензии через интернет, если не настроен локальный сервер.
Нужно ли перезагружать компьютер после внесения всех изменений?
Перезагрузка не всегда обязательна, но крайне желательна. Она гарантирует, что все службы перезапустятся с новыми параметрами, кэш DNS очистится, а групповые политики и правила брандмауэра применятся ко всем системным процессам корректно.