我正在尝试设置 Windows Server 2008 R2 的防火墙,以便它阻止除来自美国 IP 的流量之外的所有流量。当前入站防火墙策略设置如下:
- 封锁一些端口(来自所有地方)
- 允许一些端口/服务(来自任何地方)
- 应用默认操作(阻止)
所以我需要在允许逻辑之上添加一些逻辑。我阅读了微软的文档:http://technet.microsoft.com/en-us/library/ff602923并且看到阻止规则在允许规则之前应用——因此,在我看来,我有几个选择:
- 创建一条大规模阻止规则,阻止所有非美国 IP
- 为每个国家/大陆/...创建一个阻止规则,其中包含该地区的所有 IP(基本上与选项 1 相同,只是制定更多规则以便于管理。)
- 创建一个仅允许美国 IP 的大规模接受规则
我更愿意选择第三个选项,因为它应该会减少规则集。但是,我担心的是,如果我创建默认的“接受来自美国的所有内容”规则,它将覆盖默认的阻止操作 - 并允许美国用户访问之前被默认操作阻止的入站内容。
那么——之前有人设置过类似的东西吗?如果有,你选择了什么路线?
编辑:我知道我可以转到每个允许规则,并使用美国 IP 列表限制每个规则。假设我不想这样做,因为这会带来更大的麻烦。
答案1
我认为,如果您担心防火墙规则的顺序,您需要认真重新评估您要做的事情。这将是一场彻底的后勤噩梦。根据您概述的内容,选项 3 听起来确实是最好的。