在一个更大的组织中,主要的防火墙将被精心调整,只允许出站连接到互联网的控制之下。
但是,我的一个客户是在一个相对简单的BT Home Hub之后,它在出站防火墙连接方面并没有提供太多的function,而且他们的局域网上有一个非常不受pipe理的Windows 2012服务器。 我很惊讶(并没有感到惊讶),了解到Windows 2012防火墙出站的默认设置是允许所有出站stream量。 我总是认为,因为有一整套启用出站规则,只有在这些规则中configuration的端口/程序才能访问。 我很困惑,我怎么能够telnet到他们的ISP的SMTP服务器没有一个明显的规则,允许它。 更改默认行为以暂时阻止,是的,丢失telnet到端口25。
我的问题是安全的更改默认为阻止,并将Windows和其他程序已经添加了所需的出站规则,或者我面对花费相当一段时间添加自定义规则?
我试图build议我们find一个很好的防火墙,它允许出站规则被控制。
是的,这是安全的。 是的,你将花费相当多的时间为有效的stream量添加自定义规则…也就是说,阻止所有未知出站stream量是一个非常好的安全状态。
仅供参考,下面的命令运行在pipe理员命令提示符将阻止所有出站,所有协议。
netsh advfirewall firewall add rule name="BlockOutbound" dir=out action=block
您可以快速删除该规则:
netsh advfirewall firewall del rule name="BlockOutbound"
而且,下面会给你使用/例子…非常方便,以防万一你去堵塞一切。 您可以使用这些命令来构build自己的一些脚本,以便轻松地为有效的出站stream量添加一些漏洞
netsh advfirewall firewall add rule