我试图定义每个接口规则,就像在Server 2003中一样。
我们将用新的2008 R2服务器replace旧的2003服务器。 服务器运行IIS和SQL Server。 这是托pipe公司的专用服务器。 我们使用办公室的OpenVPN连接访问SQL服务器,RDesktop,FTP和其他pipe理服务。 只有http和ssh正在监听公共接口。
在运行2003的旧服务器上,我能够为http和ssh定义全局规则,并且只允许在vpn接口上使用其他服务。 我无法在2008 R2上find同样的方法。
我知道有networking位置感知服务,根据当前networking位置应用防火墙规则。 但我不明白这个在服务器上的目的。
我发现唯一的解决scheme是将范围设置为防火墙规则,并将远程IP地址限制在办公室的私有子网中。 但港口仍将在公共界面上收听。
那么我怎么能限制一个防火墙规则的连接来自vpn接口?
在这个页面上的一个说明指出,规则作用于一个接口不再存在:
在Windows的早期版本中,这些命令中的很多都接受了一个名为interface的参数。 在Windows Vista或更高版本的Windows的防火墙上下文中不支持此参数。
我不能相信他们只是决定删除每个防火墙的核心防火墙function。 必须有一种方法来限制规则到接口。
有任何想法吗 ?
我仍然无法find解决我的问题的适当方法。 所以现在,我的解决方法是这样的:
这不是最佳的,如果我改变VPN的IP地址,我也需要编辑防火墙规则。 如果规则被绑定到接口上,情况就不会如此。
我知道这是一个老的/死的线程,但是当我在Google上search这个问题时,它首先出现在search结果列表中,所以我为未来的访问者发布这个答案:
请参阅此主题以了解如何基于每个接口禁用/启用Windows 7和Windows Server 2008防火墙:
如何在Windows 7的单个界面上禁用防火墙?
花了我几个小时,但我发现了一个方法来做到这一点在Windows 2008 R2(有点复杂,但可以自动化):
隧道适配器isatap。 {46BE0BE9-4808-4CF4-8C3B-DC543261F096}
您可以将“DomainProfile”与想要编辑的configuration文件交换。
在这个值中,你应该设置你要禁用的逗号分隔的接口ID:
{46BE0BE9-4808-4CF4-8C3B-DC543261F096},{91} …