我有一个规则,打开所有连接的FTP端口。
我有第二个规则,阻止所有的IP上的所有协议的所有连接。
但是,来自阻塞的IP的连接仍然可以连接到FTP端口,因为该规则显然是优先的。
我怎样才能做这个工作,因为我看不到如何调整Windows防火墙的规则顺序。
微软多年来一直有安全性(无论是文件ACL还是防火墙),更具体的规则覆盖不那么具体的规则 – 而不是优先级 – 所以期望防火墙是相同的方式是合理的 – 在文件ACL上没有优先级 – 逻辑在资源工具包中有很好的解释 – 我记得看到为什么这个工作比旧的资源工具包中的规则的优先级更好(不知道Windows版本)的顺序和逻辑。
带有优先级规则的防火墙的一个问题是我可能会意外地把所有优先级放在一边,并打破我的整个规则链。 在这里也可能发生同样的情况,但是恕我直言,这个可能性会小一些。
在Solaris中,更具体的文件ACL会覆盖不太具体的文件ACL,实际上这意味着用户允许ACE将覆盖组拒绝ACE。
在Windows文件ACL中,Deny ACE总是会赢。
拒绝ACE是非常不寻常的 – 通常的做法是允许访问组,并使用户成为有访问权限的组。 没有“用户谁不能成为Vogue”组,你只是不让他们成为“Vogue时尚用户”组的成员,然后授予该组“80年代歌曲”的许可。 如果这个团体几乎包含了所有人,那就这样吧。 在Windows中不是一个问题,我认为这是一个特别优化的情况。 (一些unixes限制你32)。
在实践中,DENY ACE主要用于Exchange,阻止pipe理员阅读其他人的邮箱。
Technet上明确规定了这些规则:
防火墙规则应用于以下优先级:
- 允许此防火墙规则覆盖阻止规则
- 块连接
- 允许连接
- 默认configuration文件行为(允许连接或阻止连接,如“具有高级安全属性的Windows防火墙”对话框的“configuration文件”