我正尝试在Server 2008 R2上configurationWindows防火墙,以阻止除了添加到规则列表的stream量之外的所有内容。
我看到有三个政策 – 公共/私人/域名。 我已经做了相同的设置更改,但我只有一个NIC,并为其分配了域策略。
在域策略属性中,我将入站连接设置为“阻止(默认)”,但是这仍然让我们通过ICMP。 我将其更改为“阻止所有连接”,并创build了允许来自所有三个configuration文件的ICMP的入站规则,用于所有接口上的所有程序,但是这使得防火墙会丢弃ICMPstream量,即使我已为其创build了允许规则。
根据这份文件 ,允许规则应该根据默认规则进行确定。 我想设置我的默认规则来阻止所有stream量,只允许某些stream量与允许规则。
我创build了两个自定义允许规则:
通过将入站连接策略设置为阻止所有连接并启用上述允许规则,它仍会阻止我的远程ping。
我如何configurationWindows防火墙来做到这一点?
更新 – 事实certificate我使用了错误的GUI(令人尴尬)。 我没有在pipe理工具中使用GUI,而是使用组策略编辑器中的一个(看上去完全相同)。 在防火墙上已经有了规则,我在组策略编辑器中看不到。 这些规则正在生效,我没有意识到这引起了我的困惑。 为了做我想做的事情,我只需将策略设置为“阻止(默认)”(当然有正确的工具)。 删除所有先前存在的规则(我没有看到使用组策略编辑器)后,我只能通过创build特定的允许规则来允许我想要的stream量。
我看到有三个政策 – 公共/私人/域名。 我已经做了相同的设置更改,但我只有一个NIC,并为其分配了域策略。
另外,只要您的NIC仍在使用域networkingconfiguration文件,对公共和私有防火墙策略进行的更改就不会产生任何影响。
根据这个文档,允许规则应该优先于默认规则。 我想设置我的默认规则来阻止所有stream量,只允许某些stream量与允许规则。
你这样做是很难的。 域configuration文件的默认策略实现默认的拒绝入口策略和默认允许出口(即,入站连接被阻止,允许出站连接)。如果您更改了这些默认值,则可以将其设置回“ Windows防火墙属性”对话框。
然后启用ICMPstream量启用以下两个允许规则:
File and Printer Sharing (Echo Request - ICMPv4-In) File and Printer Sharing (Echo Request - ICMPv6-In) 当你有多个匹配你的stream量的规则时,Block 1将优先。
除非您在“允许”规则中select“ 替代阻止规则”选项。
此外,使用阻止所有连接规则时,覆盖选项将不起作用。
对不起,我只是重新阅读文档。
简而言之,我相信Windows防火墙并不是完全可以实现的。
不幸的是,它不像networking防火墙。 即从上到下阅读规则,并使用匹配的第一条规则。
我有规则与允许和阻塞,将匹配stream量,然后它会阻止。
规则行动解释
在这里find覆盖区块规则