過去幾個小時我一直在努力讓這項工作成功,但還沒有取得太多進展。
我有一個 Windows Server 2008 和一個設定的本機安全性原則防火牆,但「沒有」入站規則(還)。我的網域如下圖所示:
Domain Profile: Inbound = block(default), Outbound = Allow(Default)
Private Profile: Inbound = block(default), Outbound = Allow(Default)
Private Profile: Inbound = block(default), Outbound = Allow(Default)
幾乎是預設。現在我想要完成的是阻止除 80、443、53 和其他幾個連接埠之外的所有連接埠。在 iptables(在 Linux 上)中,只需為連接埠設定 ALLOW 輸入規則,最後設定 DROP 規則來阻止所有內容即可完成。現在,linux 所做的是更喜歡 ALLOW 規則而不是 DROP,據我所知,windows 沒有此設定。那麼有沒有辦法模仿這個功能呢?
答案1
您想要做的是修改您的防火牆策略,以便在不受信任(公共)網路上,唯一允許進入的連接埠是您指定的連接埠。停用所有其他入站規則。
想必你的公共介面是這樣標記的,是嗎?
另一方面,如果它位於受信任的內部網路上,您希望在網路邊緣進行過濾。不過,停用不使用的入站連接埠仍然是一個好主意。