我有一条规则,为所有连接打开 FTP 端口。
我有第二条规则,即阻止某些 IP 的所有协议上的所有连接。
但是,来自那些被阻止的 IP 的连接仍然可以连接到 FTP 端口,因为该规则显然优先。
我该如何实现这个功能呢,因为我不知道如何调整 Windows 防火墙上规则的顺序。
答案1
多年来,微软一直致力于安全性(无论是文件 ACL 还是防火墙),其中更具体的规则会覆盖不太具体的规则 - 而不是优先级 - 因此可以合理地预期防火墙也是如此 - 在文件 ACL 上没有优先级 - 资源工具包中很好地解释了逻辑 - 我记得在其中一个旧的资源工具包(不确定是哪个 Windows 版本)中看到了排序和逻辑,说明了为什么这比规则优先级更好。
防火墙具有优先级规则,但存在一个问题,那就是我可能会意外地将“允许所有”设置为更高的优先级,从而破坏我的整个规则链。这里也可能发生同样的情况,但在我看来,这种可能性较小。
答案2
规则明确无误在 Technet 上:
防火墙规则按以下优先级应用:
- 允许此防火墙规则覆盖阻止规则
- 块连接
- 允许连接
- 默认配置文件行为(允许连接或阻止连接,如“具有高级安全属性的 Windows 防火墙”对话框中的“配置文件”选项卡上所指定)
答案3
在 Solaris 中,更具体的文件 ACL 将覆盖不太具体的文件 ACL,实际上这意味着用户允许 ACE 将覆盖组拒绝 ACE。
在 Windows 文件 ACL 中,拒绝 ACE 总是会获胜。
拒绝 ACE 非常不寻常 - 常见的做法是允许访问组,并让用户成为具有所需访问权限的组的成员。没有“不能时尚的用户”组,你只是不让他们成为“可以时尚的用户”组的成员,然后向该组授予“80 年代歌曲”的权限。如果该组几乎包含所有人,那就这样吧。在 Windows 中,加入很多组不是问题,我认为这是经过特别优化的情况。(有些 unix 将您限制为 32)。
实际上,DENY ACE 主要用于 Exchange,以阻止管理员读取其他人的邮箱。