And*_*ndi 5 networking security windows-firewall
我正在尝试在 Server 2008 R2 上配置 Windows 防火墙以阻止除我添加到规则列表的流量之外的所有内容。
我看到有三个政策 - 公共/私人/域。我一直在对每个设置进行相同的更改,尽管我只有一个 NIC 并为其分配了域策略。
在域策略属性中,我将入站连接设置为“阻止(默认)”,但这仍然让 ICMP 通过。我将其更改为“阻止所有连接”并创建了一个入站规则,允许来自所有三个配置文件的 ICMP,适用于所有接口上的所有程序,但这使得防火墙丢弃 ICMP 流量,即使我为它创建了一个允许规则。
根据此文档,允许规则应该优先于默认规则。我想设置我的默认规则来阻止所有流量,并且只允许某些具有允许规则的流量。
我创建了两个自定义允许规则:
将入站连接策略设置为阻止所有连接并启用上述允许规则后,它仍会阻止我的远程 ping。
如何配置 Windows 防火墙来执行此操作?
更新 - 事实证明我使用了错误的 GUI(令人尴尬)。我没有使用管理工具中的 GUI,而是使用组策略编辑器中的 GUI(碰巧看起来相同)。防火墙上已经设置了我在组策略编辑器中看不到的规则。这些规则在我没有意识到的情况下生效,这引起了我的困惑。为了做我想做的事,我只需要将策略设置为“阻止(默认)”(当然是使用正确的工具)。删除所有预先存在的规则(我在组策略编辑器中没有看到)后,我只能通过创建特定的允许规则来允许我想要的流量。
当您有多个规则与您的流量匹配时,阻止的规则将优先。
除非您在允许规则中选择覆盖阻止规则选项。
此外,当使用“阻止所有连接”规则时,“覆盖”选项将不起作用。
抱歉,我刚刚重新阅读了文档。
简而言之,我相信 Windows 防火墙不太可能实现您希望实现的目标。
不幸的是,它不像网络防火墙那样工作。即从上到下阅读规则并使用第一个匹配的规则。
如果您有允许和阻止的规则将匹配流量,那么它将阻止。
在哪里可以找到覆盖阻止规则
小智 3
我看到有三种政策 - 公共/私人/域。尽管我只有一个网卡并为其分配了域策略,但我一直对每个网卡进行相同的设置更改。
顺便说一句,只要您的 NIC 仍在使用域网络配置文件,对公共和专用防火墙策略进行更改就不会产生任何影响。
根据本文档,允许规则应该优先于默认规则。我想将默认规则设置为阻止所有流量,并仅允许具有允许规则的某些流量。
你正在以艰难的方式做到这一点。域配置文件的默认策略实施默认拒绝入口策略和默认允许出口策略(即阻止入站连接并允许出站连接。)如果您更改了这些默认值,则可以在 Windows防火墙属性对话框中将它们重新设置。
然后要启用 ICMP 流量,请启用以下两个允许规则:
File and Printer Sharing (Echo Request - ICMPv4-In)
File and Printer Sharing (Echo Request - ICMPv6-In)
| 归档时间: |
|
| 查看次数: |
50862 次 |
| 最近记录: |