是否可以自动阻止所有应用程序的传入/传出互联网连接,除了使用默认 Windows 防火墙的 Firefox 之外?
我想阻止所有内容,甚至包括 Windows 更新和其他软件更新。
我想只允许一种 Web 浏览器,如 Firefox、Chrome 或 Opera。
如何在 Windows 防火墙中设置这样的配置?我看到了阻止应用程序的方法,但似乎需要逐个添加,这是一项繁琐的任务。
我希望实现的是“白名单“ - 意思是我在防火墙上设置了一条规则,说“阻止一切”(deny all any/any
,其中
“否定“=不让任何东西通过,
”全部“ = 所有类型的流量,
”任何/任何“= 任何来源,任何目的地)。
然后,我设置了“白名单“- 意思是好目的地我想要允许的应用程序。
我想要授予其网络访问权限的应用程序列表。只有此列表中的应用程序才能够进行通信。
注意白名单与黑名单不同,白名单会阻止所有内容,然后允许一些内容。根据这一定义,所有内容都会自动被阻止,无法使用。
我希望有一个选项或按钮可以让我手动编辑、添加或删除此列表中的应用程序。
我不是专家,所以请尽量给出详细的答案,因为我对端口和我在谷歌搜索时遇到的一些其他表达方式一无所知。
谢谢,
答案1
您不需要任何第三方防火墙软件。
默认情况下Windows防火墙的功能如下:
- 入站 - 阻止所有,除非在列表中(白名单)
- 出站 - 允许所有,除非在列表中(黑名单)
您想阻止所有入站和默认所有出站连接。
您可以使用 Windows 内置防火墙执行此操作。执行此操作的方法(虽然有点隐蔽)是按照以下 3 个简单步骤更改设置:您可以通过右键单击如上图所示的规则并选择“导出策略”来导入/导出规则。它会导入/导出整个规则。因此,您可以进行实验,禁用规则并使您的机器更安全。例如,我的设置如下(不包括我的程序):
入站 - 这里没有任何规则!
出站 - 仅启用“核心网络 - DNS (UDP-Out)”
如果您使用 OpenVPN,您还需要添加另外两个出站规则:
核心网络 - 动态主机配置协议 (DHCP-Out)
和允许 openvpn.exe 的规则
答案2
在提升的 shell 窗口中,执行
设置所有配置文件以阻止入站/出站流量:
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
删除所有规则:
netsh advfirewall firewall delete rule all
允许端口 80、443、53、67、68 的基本出站规则
netsh advfirewall firewall add rule name="Core Networking (HTTP-Out)" dir=out action=allow protocol=TCP remoteport=80
netsh advfirewall firewall add rule name="Core Networking (HTTPS-Out)" dir=out action=allow protocol=TCP remoteport=443
netsh advfirewall firewall add rule name="Core Networking (DNS-Out)" dir=out action=allow protocol=UDP remoteport=53 program="%%systemroot%%\system32\svchost.exe" service="dnscache"
netsh advfirewall firewall add rule name="Core Networking (DHCP-Out)" dir=out action=allow protocol=UDP localport=68 remoteport=67 program="%%systemroot%%\system32\svchost.exe" service="dhcp"
并将防火墙重置为默认值
NETSH advfirewall reset
** 所有更改立即生效
答案3
另一个非常有用,功能强大,当然免费的是:
小墙
TinyWall 采用了与传统防火墙不同的方法。它不会显示“敦促用户允许”的弹出窗口。事实上,它根本不会通知您任何被阻止的操作。TinyWall 不会
显示弹出窗口,而是通过不同的方式轻松将应用程序列入白名单或解除阻止。
例如,您只需通过热键启动白名单,然后单击要允许的窗口即可。或者,您可以从正在运行的进程列表中选择一个应用程序。
当然,选择可执行文件的传统方法也是可行的。这种方法避免了弹出窗口,但仍使防火墙非常易于使用。
最重要的是,采用无弹出窗口方法,用户只有在无法再使用某个程序时才会注意到该程序已被拒绝访问互联网。
因此,用户只会解锁他们真正需要的应用程序,而不会解锁其他应用程序,这从安全角度来看是最佳的。
功能概述
- 将程序列入白名单的多种简便方法
- 自动学习模式
- 防火墙篡改保护
- 密码锁定设置
- 快速模式,如正常保护、允许传出、阻止全部、允许全部和学习模式
- 支持临时/定时防火墙规则
- 端口和域阻止列表
- Hosts 文件保护
- 始终允许 LAN 内通信的选项
- 将应用程序限制在 LAN 上的选项
- 识别安全软件和冒名顶替软件
- 全面支持 IPv6
- 列出已建立和阻止的连接
- 查看计算机上的开放端口
- 100% 免费且干净的软件。无费用、无广告、无付费升级。
答案4
如果你想使用科莫多互联网安全(KIS)或者Comodo 免费防火墙 (CFF):
Comodo 防火墙白名单可帮助您包含以下所有项目,并且任何其他内容都不允许进入系统:
- 网站
- 网络
- 人员/设备
- 软件应用程序
白名单创建说明:
您应该阻止除DNS
Web 浏览器之外的所有内容,为此,请转到Advanced settings -> firewall settings
并启用“不显示弹出警报”,然后将下拉菜单更改为Block Requests
。这将阻止任何未为其创建规则的内容。
现在为您的应用程序创建规则。1-
转到add > browse > file groups > all applicatoins > use ruleset blocked application
。
2-接下来添加另一条规则,然后Browse > Running Processes > select svchost.exe
单击Use a custom ruleset > add block IP In or out then add another rule to allow UDP out destination port 53
。
3-要允许您的浏览器访问,Advanced settings -> firewall settings -> applications rules
然后添加您想要允许访问的任何浏览器,
添加新规则并赋予它允许Web Browser
或Allowed Application
规则集。
4- 对于 Windows 更新,我不确定哪些进程需要访问互联网,所以也许其他人可以给我们一些见解。
我认为主 exe 在下面,C:\Windows\System32\wuauclt.exe
但它也使用svchost.exe
。
添加您想要允许访问的任何其他应用程序的过程都相同。
重要的:防火墙采用分层结构工作,因此从TOP
某种BOTTOM
方式来看,允许的规则必须始终添加在“阻止所有”规则之前(高于“阻止所有”规则)!
您最终可以在下面看到 Comodo 防火墙配置: