我的一位客户提出在其所有服务器上实施出站防火墙规则的要求。
当前环境 该环境建立在 AWS 云上。所有服务器都运行 Windows Server 2008 Base 和 Windows Server 2008 R2 操作系统。所有服务器都具有互联网访问权限和公共 IP 地址。使用 Amazon 防火墙控制入站流量。
要求 我的客户要求阻止所有服务器的所有传出流量,但应用程序通过代理服务器访问 Facebook 应用程序除外。更准确地说,通过指定端口的应用程序流量应该只到达代理服务器。
我做了什么 我在 Windows 防火墙中创建了以下规则。规则 1--> 应用程序访问 --> 通过端口 XXXX --> 仅允许代理服务器 IP XXX.XXX.XXX.XXX/32 规则 2 --> 所有其他访问 --> 通过相同端口 XXXX ---> 阻止所有 IP 地址 XXX.XXX.XXX.XXX/0
结果是什么?当我应用此规则时,“拒绝规则”优先并阻止所有访问,从而也阻止代理服务器。当我删除拒绝规则时,出站流量流向所有 IP 地址
解决方案我需要阻止指定端口上到所有 IP 地址(代理服务器 IP 除外)的出站流量。我该如何实现
请让我知道您的建议。
答案1
转到您的允许规则并单击“属性”。转到“范围”选项卡并选择“这些 IP 地址”,然后在其中输入您的远程 IP。这应该允许该规则仅适用于您指定的 IP 地址。
然后,您需要更改默认规则“与规则不匹配的出站规则”,以拒绝与相应区域(我假设在本例中为公共区域)的规则不匹配的出站连接。这将拒绝除您在“允许”规则中指定的连接之外的所有出站连接。