防火牆規則的良好基礎是零信任 - 只允許需要的內容。但在許多情況下,您並不知道伺服器連線所需的所有規則。因此,在許多環境中,Windows 防火牆要么被停用,要么管理不善
我想這也許是個有用的方法:
安裝包含所有所需應用程式的 Windows 伺服器。這是測試設定或您有快照
允許一切
開始工作並追蹤連接
從連線追蹤中,建立防火牆規則 - 我更喜歡 powershell 命令/腳本
仔細檢查腳本
可能會應用一些眾所周知的規則(例如 Ping / ICMP、AD 規則...)大多數應該透過 GPO / 從範本進行管理
建立新伺服器或還原到快照
應用您先前追蹤的防火牆規則。這些將是唯一允許的規則
否認其他一切 --> 零信任
進一步需要的規則是在失敗或請求時
這樣有道理嗎?
如果是,我不知道如何最好地捕獲流量並在其上建立規則/腳本
誰能幫我嗎?
謝謝!