我正在尝试弄清楚如何创建一个规则,当条件满足现有规则时该规则将会被覆盖。
IE:
我创建了一条阻止端口的规则80&443
然后我想创建一个规则,仅为特定的 IP 或 IP 范围打开端口80,443并通过其他规则阻止其他任何人。
使用 Windows 防火墙可以实现这个功能吗?
答案1
最好的选择是执行以下操作:
配置默认入站(我假设)策略以阻止所有传入连接
1a. 在启用此选项之前,请确保您的其他服务已根据需要列入白名单(例如 RDP)为端口 80 和 443 的特定 IP/范围创建允许规则
Windows 防火墙的运行方式与传统防火墙不同。规则的顺序无关紧要。无论阻止规则显示在列表中的什么位置,阻止规则始终优先于允许规则。
链接
- 配置默认策略:https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/best-practices-configuring
- 创建允许端口规则:https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/create-an-inbound-port-rule
- 防火墙规则评估的顺序:https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191(v=ws.10)
答案2
我不确定 Windows 防火墙的具体情况,但大多数防火墙都基于第一个找到的规则。第一个找到的与端口操作相匹配的规则将被使用,规则读取将停止。在本例中,首先读取 80 和 443 的完整块,因此规则将在此处停止。
因此,也许您可以就规则交换位置。允许 IP 随后完全丢弃。