标签: windows-firewall

有没有办法禁用通知区域中显示的警告，告诉您 Windows 防火墙已禁用？

编辑：我们特别希望通过组策略来实现这一点，而不是手动过程。

我们通过 GPO 禁用域防火墙配置文件，这意味着 Windows 10 计算机不断在通知区域中放置有关此的警告通知。这会生成用户调用，询问警告是关于什么的。我们知道它被禁用了，所以想取消警告。

在防火墙高级安全管理器/入站规则/规则属性/范围选项卡中，您有两个部分来指定本地 IP 地址和远程 IP 地址。

是什么使地址有资格作为本地或远程地址，它有什么区别？

这个问题在正常设置中很明显，但现在我正在设置远程虚拟化服务器，我不太确定。

我得到的是一个有两个接口的物理主机。物理主机使用带有公共 IP 的接口 1。虚拟机通过公共 ip 连接到接口 2。我在两者之间有一个虚拟子网 - 192.168.123.0

编辑防火墙规则时，如果我把192.168.123.0/24放在本地ip地址区或远程ip地址区，windows有什么不同？它有什么不同吗？

我问这个问题的原因是我在使防火墙处于活动状态时在两者之间进行域通信时遇到问题。我在防火墙方面有丰富的经验，所以我知道我想做什么，但是这里发生的事情的逻辑让我无法理解，而且这些规则必须一一编辑很乏味。

编辑：这两个规则有什么区别：

• 让来自本地子网 192.168.1.0/24 的流量访问 SMB 端口
• 让来自远程子网 192.168.1.0/24 的流量访问 SMB 端口

我有一个 ip 为 192.168.1.1 的局域网端口，我认为没有区别

伊恩

我想知道 Microsoft 中是否有人遇到过无法记住规则名称的情况！
该netsh advfirewall firewall show rule只接受1名，没有模式匹配设施，可在netsh的，以帮助使用图案像发现一个规律"SQL*"或^SQL.+$
使用节目，name=all就可以列出所有的规则，但我无法找到一个Windows的实命令行grep的工具。

我希望能够运行这样的命令：

netsh advfirewall firewall show rule name=sql*

这可能吗？

背景调查

我真的相信这样的问题：在 Active Directory 域中使用 GPO 强制禁用工作站 Windows 防火墙 - 如何？之所以存在，是因为 Windows 管理员通常在很久以前就被教导：

“在处理域计算机时，最简单的做法就是在域上设置一个 GPO 来禁用 Windows 防火墙……最终会让你少很多心痛。” - 过去几年的随机 IT 讲师/导师

我还可以说，在大多数公司，我已经为此做了一些辅助工作，其中 GPO 至少禁用了域配置文件的 Windows 防火墙，最糟糕的是也禁用了公共配置文件。

更进一步，有些人会为服务器本身禁用它：通过 GPO 为 Windows Server 2008 R2 上的所有网络配置文件禁用防火墙

WINDOWS防火墙上的 Microsoft Technet 文章建议您不要禁用 Windows 防火墙：

由于具有高级安全性的 Windows 防火墙在帮助保护您的计算机免受安全威胁方面发挥着重要作用，因此我们建议您不要禁用它，除非您安装另一个来自信誉良好的供应商提供的同等保护级别的防火墙。

这个 ServerFault 问题提出了一个真正的问题：使用组策略关闭 LAN 中的防火墙是否可以？——而这里的专家们的看法更是喜忧参半。

并理解我不是指禁用/启用服务：如何支持我不禁用 Windows 防火墙服务的建议？-- 以便清楚这是关于防火墙服务是否启用或禁用防火墙。

手头的问题

所以我回到这个问题的标题......可以做些什么来正确地重新启用域上的 Windows 防火墙？ 专门用于客户端工作站及其域配置文件。

在简单地将 GPO 从禁用切换到启用之前，应该采取哪些计划步骤来确保翻转开关不会导致关键的客户端/服务器应用程序、允许的流量等突然失败？ 大多数地方都不会容忍这里的“改变它，看看谁打电话给帮助台”的心态。 …

我从直接的个人经验中知道，在 post-XP 系统上禁用 Windows 防火墙服务会导致各种网络问题，禁用它的正确方法是将其配置为不阻止任何流量，但让实际服务继续运行. 这是因为从 Vista 开始，Windows 防火墙服务是 Windows 网络堆栈的关键组件，停止它会以完全随机的方式造成严重破坏。

然而，我不断发现那些认为停止和禁用服务是一个很好的解决方案的人，而花时间正确禁用它只是太多不必要的工作。然后，当各种网络问题接踵而至时，他们只是不会承认真正的原因，而是会尝试其他任何事情，然后才勉强接受，是的，也许该服务应该真正保持运行。

除了用重（和/或尖锐）物体击打那些人之外，这里真正的解决方案是官方文件，说明“不要禁用此服务，否则您只是在自找麻烦”。然而，我能找到的关于此主题的唯一帖子只是说“Microsoft 不支持停止与具有高级安全性的 Windows 防火墙相关的服务”，这看起来并不足以阻止他们做愚蠢的事情.

有什么更好的我可以参考以支持我的说法，即确实不应停止 Windows 防火墙服务？

稍微澄清一下：我其实不是指用户，而是指态度太强，知识太少的管理员，他们认为上述配置恰到好处，在他们的整个网络上通过 GPO 实施，根本不是当我告诉他们他们遇到的那些随机网络问题很可能是由它引起时，我会倾听。

我目前的任务是解决这些问题（并实施一些由于这个问题而无法按预期工作的新服务），我需要一种方法来说服他们不要管那个该死的服务；遗憾的是，个人经验似乎不够正式。

我正在尝试通过 Windows 防火墙为一组机器提供服务。我想将我的家用机器添加到防火墙，但我的家用机器有一个动态 IP 地址。我使用 dyndns 以便我有一个可以随时连接的主机名。所以我想看看是否有一种方法可以使用我的主机名而不是 IP。

谢谢

更新

让我补充一点信息，也许还有其他方法可以解决我的问题。服务器是由 RackSpace 托管的 Web 服务器。我只想允许从我的工作（静态 IP，所以没问题）和家庭（动态）访问 RDP。我的家庭 IP 不会经常更改，只是经常让我烦恼。所以也许有更好的方法来做到这一点......也许是VPN？

在单个规则下的 Windows 防火墙上，范围选项卡允许您定义哪些 ip 受规则约束。内置选项之一是“本地子网”。

您如何为此添加一个额外的子网，以便 Windows 了解它是一个受信任的网段？

我的问题直接涉及可以应用哪些窗口（或域）设置将子网直接添加到该预定义组“本地子网”

在 windows 8/10/Server 2012/Server 2016“具有高级安全性的 Windows 防火墙”中，定义允许的地址时，我可以选择地址/子网、地址范围或带有“预定义计算机集”的下拉菜单

我想将我们所有的外部站点捆绑在“远程公司网络”中，但我在哪里定义地址？

我的谷歌搜索只会导致这样的线程；没有答案 https://social.technet.microsoft.com/Forums/office/en-US/8c4c6b4a-dc24-4a66-920f-4df0f4e283ed/windows-firewall-with-advanced-security-scope-of-rules-remote- address-predefined-set-of-computers?forum=winserverPN

我的机器运行的是 Windows 7 Ultimate。到目前为止，这是我所做的（成功）：

1. 通过 FastCGI 安装带有 PHP 的 IIS 7.5
2. 搞定了！当我访问http://localhost/index.php 时，我的 PHP 脚本运行良好。
3. 跑 ipconfig 发现我的本地 IP 地址是 192.168.1.102。我确认http://192.168.1.102/index.php 的功能与上面的 localhost 地址完全一样。
4. 进入我的路由器管理（我有一个 Linksys WRT54G2）并在端口 80 上设置端口转发到 192.168.1.102。现在端口 80 正在转发到我的机器。
5. 在 Windows 防火墙中设置入站规则以允许端口 80 上的所有活动。
6. 从 Google 找出我的外部 IP 地址。我们称之为 XXX.XX.XX.XX。

但是，当我尝试从我自己的机器上访问http://XXX.XX.XX.XX/index.php 时，或者从远离我的网络的计算机上访问http://XXX.XX.XX.XX/index.php 时，无论哪种方式......我都一无所获。它尝试连接一段时间（不成功）但最终放弃了。

这是我想知道的：

1. 我错过了什么？我忘记/忽略了什么？如何在我自己的本地网络之外运行和访问它？
2. 假设我确实得到了这个工作，那么我如何使用端口 80 以外的端口？为了使这成为可能，我需要进行哪些更改（例如 IIS、Windows 防火墙、路由器管理等）？

首先十分感谢！