标签: windows-firewall

我们正在使用 openvpn 来提供从 XP 返回工作的访问权限。我们使用 AD 策略来确保 XP 防火墙在域外时启动，在域内时关闭。使用 openvpn，你最终会得到一个新的网络接口，当你离开域并且 vpn 恢复工作时，XP 会“找到域，但我也在非域网络上，所以防火墙打开”。

但是，我发现我们可以使用 netsh 在 openvpn 接口上完全禁用防火墙：

echo firewall set opmode mode = DISABLE interface = "name of openvpn interface" | netsh

这很棒：这意味着当我们的用户在家/酒店时，他们的防火墙已启动 - 但通过 vpn 进行的远程访问是双向的。

然后出现了 Win7（让我们假装 Vista 不存在——不太难！）。“域”和“其他”的概念已经一去不复返了，现在是“域”、“家庭/工作”和“公共”——而且你不能禁用每个接口的防火墙。它比 XP 复杂得多，顺便说一句，我看到很多家庭用户因此完全禁用了 Win7 防火墙 - 哎呀！

无论如何，我的问题是，如何复制 XP 下的功能？如何编写 Win7 脚本以在 openvpn 接口上完全禁用防火墙，但在其他接口上照常进行？我所追求的最终结果是我们（IS 组、AV 服务器、漏洞扫描仪）可以在他们在酒店/家里/等时远程访问该盒子 - 就像他们在公司 LAN 上一样。我需要一个脚本，因为我使用 GUI 的经验表明，否则我们将需要一个 10 页的屏幕快照文档供我们的帮助台人员使用！

我正在尝试使用客户端到网关 IPSEC VPN 将 win server 2008 R2 框连接到瞻博网络 ssg 防火墙。

我尝试在具有高级安全性的 Windows 防火墙中设置它，但连接似乎不起作用。很想听听做过这项工作的人的意见。

谢谢！

我正在使用的设置是：

Endpoint 1: [ip address of this machine]  
Endpoint 2: [ip range of the machines behind the firewall at the other end]  
Auth mode: require inbound and outbound 
Method: PSK Key: [###] 
Profile: Domain, Private, Public 

使用 IPsec 隧道，应用授权。

Local tunnel endpoint: [ip address of this machine]
Remote tunnel endpoint: [ip address of remote firewall]

我的 ISP 给了我详细的设置——AES128、SHA1——但我看不到任何地方可以输入它们。此外，他们给了我第 2 阶段设置，但连接设置向导不允许将第 2 阶段配置与 PSK 结合使用。

我在这里缺少什么？

我们想随我们的产品一起分发防火墙程序。

我可以配置 Windows 防火墙来阻止传出连接（默认情况下不会）

netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

但随后我需要知道何时被阻止，以便它可以询问是否应该解除阻止。

我尝试打开日志记录，但它没有记录 exe 的路径。有没有办法记录下来？

我在 StackOverflow 上发布了一个问题来尝试事件检测方法，但如果有一种方法可以打开 exe 路径的日志记录，我想了解一下。我希望继续使用 Java，它在事件检测方面受到限制。

我不介意调用任何命令行程序，也不介意使用 vbscripts。但我需要的是知道来自 exe 的传出连接被阻止以及哪个 exe。

我已经阅读了许多关于如何启用 Windows 防火墙日志记录的类似文章和帖子。我有 Win2k8r2 服务器，没有任何 Active Directory、DC、域和其他复杂的东西。本文几乎所有内容都提到 GPO 并启用它。这个问题我什至在我的系统中都没有。我试图从我的控制台调用“gpmc.msc”，但似乎我应该在使用前安装它。

然后我将 Windows 防火墙日志文件位置设置为 D:\pfirewalll.log。它创建两个文件：prifrewall.log 和 pfirewall.log.old。这些具有任何必要的文件系统权限。他们总是空白的！

我不知道有没有其他机制可以打开它。我应该利用 Windows 注册表中的某些东西来让它活跃起来吗？

提前致谢，伙计们！

我计划在 Rackspace 云上运行一些服务器。除了使用负载平衡器来控制网络流量之外，Windows 防火墙有多好？我在考虑吞吐量和安全性。

尽管我的 XP 工作站已连接到域，但在启动后firewall.cpl报告它们“使用非域设置”。

官方文献告诉我这是一个问题，其连接的 DNS 后缀与上次组策略更新中的 DNS 名称不匹配，但这似乎不正确，因为将其gpupdate /force正确修复为“使用域设置”。

如何让防火墙在启动时正确检测到它在域上？

首先解释一下我的网络拓扑。

我有一个内部域和边缘网络域。两个域之间不存在信任（并且 IT 不允许在内部和边缘网络域之间建立单向信任）

当通过路由器时，它会将流量 NAT 传输到边缘网络。因此，所有流量dmzHost.edgeNetwork.local看到的不是源自其自己的子网的流量看起来都将具有192.168.10.10. 有趣的是，当连接到 10.0.0.0/8 子网中的计算机时，来自 192.168.10.0/24 子网的任何流量都不会被 NAT（我向 IT 发送了一封电子邮件，询问为什么会这样，因为我不明白NAT到边缘网络，而是从边缘网络的开放接入。我可以看到背后的原因10.x -> 192.x = NAT和192.x -> 10.x = Dropped connection，但事实上，他们允许通过混淆了连接我）

我想要做的是禁用任何授权计算机的防火墙，以便它可以进行远程管理。我尝试做的方法是

1. 在 dmzHost 上，使用以下设置创建连接安全规则条目：
   1. Endpoint 1设置为192.168.10.40通过192.168.10.49（这将是一个 GPO 推送到多台计算机）
   2. Endpoint 2 被设定为 Any IP address
   3. 协议和端口设置为 Any
   4. 身份验证要求设置为 Request inbound and outbound
   5. 身份验证方法设置为Advanced第一个身份验证方法设置为Preshared Key
2. 在 lanPC 上，按照相同的设置执行：
   1. 设置Endpoint 1为Any IP address
   2. 设置Endpoint 2为192.168.10.40通过192.168.10.49 …

有时，当系统启动时，它们根本不接受任何入站流量，并且我的 IPSec 规则无法出站 - 看起来服务器陷入了某种初始启动后配置。这主要适用于 2008 r2 和 Windows 7。

我前一段时间读到，Windows 高级防火墙中有某种默认配置，它会阻止所有入站流量，只允许特定的出站流量 - 到域控制器、DNS、DHCP（如果我没记错的话） - 但会阻止所有其他访问，直到加载并应用“真实”规则。听起来这就是我的系统在重新启动后陷入困境的状态。

这个状态的名称是什么？我该如何诊断我的问题？我很久以前就忘记了这些细节，现在要再次找到它们却很费劲。

编辑：

我终于找到了这种行为的正确名称，Windows防火墙启动时间过滤器

编辑：

这变得陌生了。看起来我现在可以从未启用 IPSEC 的系统建立入站连接，但任何 IPSEC 请求都会失败。我启用了一些auditpol日志记录，并且得到以下信息。

Additional Information:
Keying Module Name: IKEv1
Authentication Method:  Unknown authentication
Role:           Responder
Impersonation State:    Not enabled
Main Mode Filter ID:    0

Failure Information:
Failure Point:      Local computer
Failure Reason:     No policy configured <<< Looks wrong. 

State:          No state
Initiator Cookie:   cec5de8d625d2196
Responder Cookie:   0d40a3b58c477709

我能够通过定义本地 IPSEC 策略暂时解决这个问题 - 甚至防火墙规则也有效 - 但我不确定为什么会出现这种情况，也不知道我可以采取什么措施来长期解决它。

Wireshark 显示在 PC 上收到 RTP 包。

尽管 Wireshark 检测到，是否有可能（防火墙？）仍然阻止应用程序侦听该 PC 上所需的端口以接收包？

例子。Wireshark 跟踪显示收到的 RTP(h264) 数据包，但由于防火墙阻止了端口，因此软电话上没有视频。

我正在尝试在我们的服务器上实施 Windows 防火墙，但我遇到了一个奇怪的情况，我可以通过一些建议来解决：

所以我有一个服务侦听端口 8099-8102TCP，以及匹配的防火墙规则：

New-NetFirewallRule -Enabled true -Direction Inbound -Action Allow -Profile Domain -LocalPort 8099-8102 -Protocol TCP -DisplayName "(Local) Salto mgmt TCP in"

（默认操作是阻止所有流量）

但是，我仍然无法远程访问 8100TCP。所以我检查了拒绝规则（这将优先），我没有看到。接下来，我按照https://superuser.com/questions/1130078/how-to-tell-which-windows-firewall-rule-is-blocking-traffic进行 WTF 审核- 这给了我一个事件：

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
  <EventID>5152</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12809</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8010000000000000</Keywords> 
  <TimeCreated SystemTime="2020-06-09T07:29:54.946996300Z" /> 
  <EventRecordID>900009</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="32" /> 
  <Channel>Security</Channel> 
  <Computer>ATWIN-SaltoT2.bathspa.ac.uk</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="ProcessId">4</Data> 
  <Data Name="Application">System</Data> 
  <Data Name="Direction">%%14592</Data> 
  <Data Name="SourceAddress">172.23.25.136</Data> 
  <Data Name="SourcePort">58740</Data> 
  <Data Name="DestAddress">172.23.28.3</Data> 
  <Data Name="DestPort">8100</Data> 
  <Data Name="Protocol">6</Data> 
  <Data …