防火墙规则的一个良好基础是零信任 - 只允许需要的内容。但在许多情况下,您不知道服务器连接所需的所有规则。因此,在许多环境中,Windows 防火墙要么被禁用,要么管理不善
我认为这也许是一个有用的方法:
安装带有所有所需应用程序的 Windows 服务器。这是一个测试设置,或者您有一个快照
允许一切
开始工作并追踪连接
从连接跟踪中创建防火墙规则 - 我更喜欢 powershell 命令/脚本
仔细检查剧本
也许可以应用一些常见的规则(例如 Ping / ICMP、AD 规则等),大多数应该通过 GPO / 模板进行管理
创建新服务器或恢复到快照
应用您之前跟踪的防火墙规则。这些将是唯一允许的规则
拒绝其他一切——>零信任
失败或请求时需要进一步的规则
这有意义吗?
如果是,我不知道如何最好地捕获流量并在其上创建规则/脚本
谁能帮我吗?
谢谢!