vnuk Asked: 2010-02-28 01:22:51 +0800 CST2010-02-28 01:22:51 +0800 CST 2010-02-28 01:22:51 +0800 CST Windows Server 2008 防火墙规则顺序问题 772 我有一条规则为所有连接打开 FTP 端口。 我有第二条规则阻止某些 IP 的所有协议上的所有连接。 但是,来自那些被阻止的 IP 的连接仍然可以连接到 FTP 端口,因为该规则显然具有优先权。 我怎样才能做到这一点,因为我看不到如何调整 Windows 防火墙上的规则顺序。 windows-server-2008 firewall ip-blocking 3 个回答 Voted Best Answer Steve Radich-BitShop.com 2010-04-09T18:26:41+08:002010-04-09T18:26:41+08:00 微软多年来一直拥有安全性(无论是文件 ACL 还是防火墙),其中更具体的规则会覆盖不太具体的规则 - 而不是优先级 - 所以期望防火墙是相同的方式是合理的 - 在文件 ACL 上没有优先级 - 逻辑在资源工具包中得到了很好的解释——我记得看到了排序和逻辑,为什么这比其中一个旧资源工具包中的规则优先级更好(不确定是什么 Windows 版本)。 具有优先级规则的防火墙的一个问题是,我可能会不小心将允许全部设置为更高的优先级并破坏我的整个规则链。这里也可能发生同样的情况,但恕我直言,可能性会小一些。 bart 2013-01-08T17:26:52+08:002013-01-08T17:26:52+08:00 Technet 上明确明确地规定了这些规则: 防火墙规则的应用优先级如下: 允许此防火墙规则覆盖阻止规则 块连接 允许连接 默认配置文件行为(允许连接或阻止连接,如 Windows 防火墙高级安全属性对话框的配置文件选项卡上指定的那样) Ben 2010-05-05T06:08:39+08:002010-05-05T06:08:39+08:00 在 Solaris 中,更具体的文件 ACL 会覆盖不太具体的文件 ACL,实际上这意味着用户允许 ACE 将覆盖组拒绝 ACE。 在 Windows 文件 ACL 中,拒绝 ACE 将始终获胜。 拒绝 ACE 非常不寻常 - 通常的做法是允许访问组,并使用户成为具有所需访问权限的组的成员。没有“不能时尚的用户”组,您只是不要让他们成为“可以时尚的用户”组的成员,然后将“80 年代歌曲”的权限授予该组。如果该组几乎包含所有人,那就这样吧。在 Windows 中,在很多组中不是问题,我认为这是一个经过特别优化的案例。(某些 Unix 将您限制为 32)。 实际上,DENY ACE 主要用于 Exchange,以阻止管理员读取其他人的邮箱。
微软多年来一直拥有安全性(无论是文件 ACL 还是防火墙),其中更具体的规则会覆盖不太具体的规则 - 而不是优先级 - 所以期望防火墙是相同的方式是合理的 - 在文件 ACL 上没有优先级 - 逻辑在资源工具包中得到了很好的解释——我记得看到了排序和逻辑,为什么这比其中一个旧资源工具包中的规则优先级更好(不确定是什么 Windows 版本)。
具有优先级规则的防火墙的一个问题是,我可能会不小心将允许全部设置为更高的优先级并破坏我的整个规则链。这里也可能发生同样的情况,但恕我直言,可能性会小一些。
Technet 上明确明确地规定了这些规则:
在 Solaris 中,更具体的文件 ACL 会覆盖不太具体的文件 ACL,实际上这意味着用户允许 ACE 将覆盖组拒绝 ACE。
在 Windows 文件 ACL 中,拒绝 ACE 将始终获胜。
拒绝 ACE 非常不寻常 - 通常的做法是允许访问组,并使用户成为具有所需访问权限的组的成员。没有“不能时尚的用户”组,您只是不要让他们成为“可以时尚的用户”组的成员,然后将“80 年代歌曲”的权限授予该组。如果该组几乎包含所有人,那就这样吧。在 Windows 中,在很多组中不是问题,我认为这是一个经过特别优化的案例。(某些 Unix 将您限制为 32)。
实际上,DENY ACE 主要用于 Exchange,以阻止管理员读取其他人的邮箱。