Problema com o pedido de regras de firewall do Windows Server 2008

Navegue suas respostas
3

Eu tenho uma regra que abre a porta FTP para todas as conexões.

Eu tenho uma segunda regra que bloqueia TODAS as conexões em TODOS os protocolos para alguns IPs.

No entanto, as conexões desses IPs que estão bloqueados ainda podem se conectar à porta FTP porque essa regra obviamente tem precedência.

Como posso fazer isso funcionar, porque não vejo como posso ajustar a ordem das regras no Firewall do Windows.

    
por vnuk 27.02.2010 / 10:22

3 respostas

1

A Microsoft ao longo dos anos teve segurança (seja arquivo ACLs ou firewall) onde regras mais específicas substituem regras menos específicas - Em vez de priorização - Por isso seria razoável esperar que o firewall seja da mesma maneira - Em arquivos ACLs não há priorização - A lógica é bem explicada no Resource Kit - Lembro-me de ver tanto a lógica de ordenação como a lógica de porque isso funciona melhor do que a priorização de regras em um dos antigos kits de recursos (não sei qual versão do windows).

Um problema com firewalls com regras de priorização é que eu poderia acidentalmente colocar tudo na prioridade mais alta e quebrar toda a minha cadeia de regras. O mesmo poderia acontecer aqui, mas seria um pouco menos provável IMHO.

    
por 09.04.2010 / 04:26
0

No Solaris, ACLs de arquivos mais específicos substituem as menos específicas, na prática, isso significa que um usuário permite que a ACE substitua um grupo negue a ACE.

Nas ACLs do arquivo do Windows, um Deny ACE SEMPRE GANHARÁ.

Negar ACEs são bastante incomuns - a prática comum é permitir o acesso a grupos e tornar os usuários membros de grupos que possuem o acesso necessário. Não existe um grupo "Usuários que não gostem de moda", você apenas não os torna um membro do grupo "Usuários que podem Voga", e concede permissão para "Músicas dos anos 80" para esse grupo. Se esse grupo contiver quase todo mundo, que assim seja. Estar em muitos grupos não é um problema no Windows, acho que é um caso que é especialmente otimizado. (Alguns unixes limitam você a 32).

Na prática, as ACEs DENY são usadas principalmente no Exchange para impedir que os administradores leiam as caixas de correio de outras pessoas.

    
por 04.05.2010 / 16:08
0

As regras são clara e inequivocamente especificadas na Technet :

Firewall rules are applied with the following precedence:

  • Allow this firewall rule to override block rules
  • Block connection
  • Allow connection
  • Default profile behavior (allow connection or block connection, as specified on the Profile tab of the Windows Firewall with Advanced Security Properties dialog)
    
por 08.01.2013 / 02:26

Tags

Os hosts ESX perdem a conectividade com os SAN LUNs iSCSI O que é uma maneira rápida de relatar tempos de login / logout no Windows 2003?