精华内容
下载资源
问答
  • windows防火墙规则Windows’ built-in firewall hides the ability to create powerful firewall rules. Block programs from accessing the Internet, use a whitelist to control network access, restrict ...
    windows防火墙规则

    windows防火墙规则

    image

    Windows’ built-in firewall hides the ability to create powerful firewall rules. Block programs from accessing the Internet, use a whitelist to control network access, restrict traffic to specific ports and IP addresses, and more – all without installing another firewall.

    Windows的内置防火墙隐藏了创建强大的防火墙规则的能力。 阻止程序访问Internet,使用白名单控制网络访问,将流量限制为特定的端口和IP地址等等,所有这些都无需安装其他防火墙。

    The firewall includes three different profiles, so you can apply different rules to private and public networks. These options are included in the Windows Firewall with Advanced Security snap-in, which first appeared in Windows Vista.

    防火墙包括三个不同的配置文件,因此您可以将不同的规则应用于私有和公共网络。 这些选项包含在“具有高级安全性的Windows防火墙”管理单元中,该管理单元首次出现在Windows Vista中。

    访问界面 (Accessing the Interface)

    There are a variety of ways to pull up the Windows Firewall with Advanced Security window. One of the most obvious is from the Windows Firewall control panel – click the Advanced settings link in the sidebar.

    有多种方法可以拉起“高级安全Windows防火墙”窗口。 最明显的例子之一是从Windows防火墙控制面板–单击侧栏中的“高级设置”链接。

    image

    You can also type “Windows Firewall” into the search box in the Start menu and select the Windows Firewall with Advanced Security application.

    您也可以在“开始”菜单的搜索框中键入“ Windows防火墙”,然后选择“具有高级安全性的Windows防火墙”应用程序。

    image

    配置网络配置文件 (Configuring Network Profiles)

    The Windows firewall uses three different profiles:

    Windows防火墙使用三种不同的配置文件:

    • Domain Profile: Used when your computer is connected to a domain.

      域配置文件:当您的计算机连接到域时使用。

    • Private: Used when connected to a private network, such as a work or home network.

      专用:连接到专用网络(例如工作或家庭网络)时使用。

    • Public: Used when connected to a public network, such as a public Wi-Fi access point or a direct connection to the Internet.

      公共:当连接到公共网络(例如公共Wi-Fi接入点或直接连接到Internet)时使用。

    Windows asks whether a network is public or private when you first connect to it.

    当您首次连接到网络时,Windows会询问该网络是公共网络还是私有网络。

    A computer may use multiple profiles, depending on the situation. For example, a business laptop may use the domain profile when connected to a domain at work, the private profile when connected to a home network, and the public profile when connected to a public Wi-Fi network – all in the same day.

    一台计算机可能会使用多个配置文件,具体取决于情况。 例如,一台商务笔记本电脑在连接到工作中的域时可以使用域配置文件,在连接到家庭网络时可以使用私有配置文件,而在连接到公共Wi-Fi网络时可以使用公共配置文件-都是在同一天。

    image

    Click the Windows Firewall Properties link to configure the firewall profiles.

    单击Windows防火墙属性链接以配置防火墙配置文件。

    The firewall properties window contains a separate tab for each profile. Windows blocks inbound connections and allows outbound connections for all profiles by default, but you can block all outbound connections and create rules that allow specific types of connections. This setting is profile-specific, so you can use a whitelist only on specific networks.

    防火墙属性窗口为每个配置文件包含一个单独的选项卡。 Windows默认会阻止入站连接并允许所有配置文件的出站连接,但是您可以阻止所有出站连接并创建允许特定连接类型的规则。 此设置是特定于配置文件的,因此您只能在特定网络上使用白名单。

    image

    If you block outbound connections, you won’t receive a notification when a program is blocked – the network connection will fail silently.

    如果您阻止出站连接,则当程序被阻止时,您将不会收到通知–网络连接将静默失败。

    建立规则 (Creating a Rule)

    To create a rule, select the Inbound Rules or Outbound Rules category at the left side of the window and click the Create Rule link at the right side.

    要创建规则,请选择窗口左侧的“入站规则”或“出站规则”类别,然后单击右侧的“创建规则”链接。

    image

    The Windows firewall offers four types of rules:

    Windows防火墙提供四种类型的规则:

    • Program – Block or allow a program.

      程序–阻止或允许程序。

    • Port – Block or a allow a port, port range, or protocol.

      端口–阻止或允许端口,端口范围或协议。

    • Predefined – Use a predefined firewall rule included with Windows.

      预定义–使用Windows随附的预定义防火墙规则。

    • Custom – Specify a combination of program, port, and IP address to block or allow.

      自定义–指定要阻止或允许的程序,端口和IP地址的组合。

    image

    规则示例:阻止程序 (Example Rule: Blocking a Program)

    Let’s say we want to block a specific program from communicating with the Internet — we don’t have to install a third-party firewall to do that.

    假设我们要阻止特定程序与Internet通信-我们不必安装第三方防火墙即可。

    First, select the Program rule type. On the next screen, use the Browse button and select the program’s .exe file.

    首先,选择“程序”规则类型。 在下一个屏幕上,使用“浏览”按钮并选择程序的.exe文件。

    image

    On the Action screen, select “Block the connection.” If you were setting up a whitelist after blocking all applications by default, you’d select “Allow the connection” to whitelist the application instead.

    在“操作”屏幕上,选择“阻止连接”。 如果默认情况下要在阻止所有应用程序后设置白名单,则可以选择“允许连接”将该应用程序列入白名单。

    image

    On the Profile screen, you can apply the rule to a specific profile – for example, if you only want a program blocked when you’re connected to public Wi-Fi and other insecure networks, leave the “Public” box checked. By default, Windows applies the rule to all profiles.

    在“配置文件”屏幕上,您可以将规则应用于特定的配置文件-例如,如果仅在连接到公共Wi-Fi和其他不安全网络时只希望阻止程序,则请选中“公共”框。 默认情况下,Windows将规则应用于所有配置文件。

    image

    On the Name screen, you can name the rule and enter an optional description. This will help you identify the rule later.

    在名称屏幕上,您可以命名规则并输入可选描述。 这将有助于您以后确定规则。

    image

    Firewall rules you create take effect immediately. Rules you create will appear in the list, so you can easily disable or delete them.

    您创建的防火墙规则将立即生效。 您创建的规则将出现在列表中,因此您可以轻松地禁用或删除它们。

    image

    规则示例:限制访问 (Example Rule: Restricting Access)

    If you really want to lock down a program, you can restrict the ports and IP addresses it connects to. For example, let’s say you have a server application that you only want accessed from a specific IP address.

    如果您确实要锁定程序,则可以限制程序连接到的端口和IP地址。 例如,假设您有一个服务器应用程序,只希望从特定的IP地址进行访问。

    From the Inbound Rule list, click New Rule and select the Custom rule type.

    从“入站规则”列表中,单击“新建规则”,然后选择“自定义”规则类型。

    image

    On the Program pane, select the program you want to restrict. If the program is running as a Windows service, use the Customize button to select the service from a list. To restrict all network traffic on the computer to communicating with a specific IP address or port range, select “All programs” instead of specifying a specific program.

    在“程序”窗格上,选择要限制的程序。 如果程序作为Windows服务运行,请使用“自定义”按钮从列表中选择服务。 若要限制计算机上的所有网络通信以与特定IP地址或端口范围进行通信,请选择“所有程序”而不是指定特定程序。

    image

    On the Protocol and Ports pane, select a protocol type and specify ports. For example, if you’re running a web server application, you can restrict the web server application to TCP connections on ports 80 and 443 by entering these ports in the Local port box.

    在“协议和端口”窗格上,选择协议类型并指定端口。 例如,如果您正在运行Web服务器应用程序,则可以通过在“本地端口”框中输入以下端口,将Web服务器应用程序限制为端口80和443上的TCP连接。

    image

    The Scope tab allows you to restrict IP addresses. For example, if you only want the server communicating with a specific IP address, enter that IP address in the remote IP addresses box.

    范围选项卡允许您限制IP地址。 例如,如果只希望服务器与特定IP地址通信,则在“远程IP地址”框中输入该IP地址。

    image

    Select the “Allow the connection” option to allow the connection from the IP address and ports you specified. Be sure to check that no other firewall rules apply to the program – for example, if you have a firewall rule that allows all inbound traffic to the server application, this rule won’t do anything.

    选择“允许连接”选项以允许从您指定的IP地址和端口进行连接。 确保检查是否没有其他防火墙规则适用于该程序–例如,如果您有一个防火墙规则允许所有到服务器应用程序的入站通信,则此规则将不执行任何操作。

    image

    The rule takes effect after you specify the profiles it will apply to and name it.

    该规则在您指定要应用的配置文件并命名后生效。



    The Windows firewall isn’t as easy-to-use as third-party firewalls, but it offers a surprising amount of power. If you want more control and ease of use, you may be better off with a third-party firewall.

    Windows防火墙不像第三方防火墙那样易于使用,但是它提供了惊人的功能。 如果您想要更多的控制和易用性,使用第三方防火墙可能会更好。

    翻译自: https://www.howtogeek.com/112564/how-to-create-advanced-firewall-rules-in-the-windows-firewall/

    windows防火墙规则

    展开全文
  • Windows10 Telnet服务端一键安装无时间限制,突破防火墙,同时开启Telnet客户端,简单快捷有效!测试完美支持Windows7/Windows2012支持中文,Windows10-Windows2019中文有瑕疵,目前正常解决中,但不影响Telnet调用...
  • windows防火墙 程序Most of the time wewantour applications online and connected to both our local network and the greater Internet. There are instances, however, when we want to prevent an application ...
    windows防火墙 程序

    windows防火墙 程序

    Most of the time we want our applications online and connected to both our local network and the greater Internet. There are instances, however, when we want to prevent an application from connecting to the Internet. Read on as we show you how to lock down an application via the Windows Firewall.

    大多数时候,我们希望我们的应用程序联机并连接到我们的本地网络和更大的Internet。 但是,在某些情况下,我们希望阻止应用程序连接到Internet。 继续阅读,我们将向您展示如何通过Windows防火墙锁定应用程序。

    我为什么要这样做? (Why Do I Want To Do This?)

    Some of you might have been sold immediately by the headline, as blocking an application is exactly what you’ve been wanting to do. Others may have opened this tutorial curious as to why one would block an application in the first place.

    标题中的某些内容可能会立即被出售,因为阻止应用程序正是您一直想要做的事情。 其他人可能已经打开了本教程,好奇为什么首先会阻止应用程序。

    Although you generally want your applications to have free access to the network (after all what good is a web browser that can’t reach the web) there are a variety of situations in which you may wish to prevent an application from accessing the network.

    尽管您通常希望您的应用程序可以自由访问网络(毕竟,不能访问网络的Web浏览器有什么用),但是在多种情况下,您可能希望阻止应用程序访问网络。

    Some simple and commonplace examples are as follows. You might have an application that insists on automatically updating itself, but find that those updates break some functionality and you want to stop them. You might have a video game that you’re comfortable with your child playing, but you’re not so comfortable with the online (and unsupervised) multiplayer elements. You might be using an application with really obnoxious ads that can be silenced by cutting off the application’s Internet access.

    一些简单而普通的示例如下。 您可能有一个坚持要自动更新的应用程序,但是发现这些更新破坏了某些功能,并且您想停止它们。 您可能有一个适合孩子玩的视频游戏,但是对在线(和无人看管)多人游戏元素却不太满意。 您可能正在使用带有令人讨厌的广告的应用程序,可以通过切断应用程序的Internet访问使其静音。

    Regardless of why you want to drop the cone of network connectivity silence over a given application, a trip into the guts of the Windows Firewall is an easy way to do so. Let’s take a look at how to block an application from accessing the local network and Internet now.

    无论您为什么要放弃给定应用程序的网络连接静默状态,进入Windows防火墙的胆量都是一种简便的方法。 让我们看一下如何阻止应用程序立即访问本地网络和Internet。

    创建Windows防火墙规则 (Creating a Windows Firewall Rule)

    Although we’ll be demonstrating this trick on Windows 10, the basic layout and premise has remained largely unchanged over the years and you can easily adapt this tutorial to earlier versions of Windows.

    尽管我们将在Windows 10上演示此技巧,但多年来的基本布局和前提一直保持不变,您可以轻松地将本教程适应Windows的早期版本。

    To create a Window Firewall rule, you first need to open up the advanced Firewall interface, which is named, appropriately enough, Windows Firewall with Advanced Security. To do so navigate to the Control Panel and select “Windows Firewall.” In the “Windows Firewall” window, click the “Advanced Settings” link on the left.

    要创建窗口防火墙规则,首先需要打开高级防火墙界面,该界面被适当地命名为具有高级安全性的Windows防火墙。 为此,请导航至“控制面板”,然后选择“ Windows防火墙”。 在“ Windows防火墙”窗口中,单击左侧的“高级设置”链接。

    Note: There is a lot going on in the advanced interface and we encourage you follow along closely, leaving anything outside the scope of the tutorial and your experience level alone. Mucking up your firewall rules is a surefire way to a big headache.

    注意:高级界面中发生了很多事情,我们鼓励您密切注意,不要将任何内容超出本教程和您的经验水平。 修改防火墙规则是避免麻烦的必经之路。

    In the far left navigation pane, click the “Outbound Rules” link This displays all the existing outbound firewall rules in the middle pane. Don’t be surprised that it is already populated with dozens and dozens of Windows-generated entries.

    在最左侧的导航窗格中,单击“出站规则”链接。这将在中间窗格中显示所有现有的出站防火墙规则。 不要奇怪,它已经填充了数十个Windows生成的条目。

    In the far right pane, click  “New Rule” to create a new rule for outbound traffic.

    在最右边的窗格中,单击“新建规则”为出站流量创建新规则。

    In the “New Outbound Rule Wizard,” confirm that the “Program” option is selected, and then click the “Next” button.

    在“新出站规则向导”中,确认已选择“程序”选项,然后单击“下一步”按钮。

    On the “Program” screen, select the “This program path” option, and then type (or browse for) the path to the program you want to block. For the purposes of this tutorial, we’re going to block a portable copy of the Maxthon web browser—mostly because it will be easy to demonstrate to you that the browser is blocked. But, don’t click “Next” just yet.

    在“程序”屏幕上,选择“此程序路径”选项,然后键入(或浏览)要阻止的程序的路径。 就本教程而言,我们将阻止Maxthon Web浏览器的可移植副本-主要是因为可以很容易地向您展示该浏览器已被阻止。 但是,暂时不要单击“下一步”。

    There’s an important change you need to make before you continue. Trust us on this. If you skip this step you’ll end up frustrated.

    在继续之前,您需要进行重要的更改。 相信我们。 如果跳过此步骤,您将最终感到沮丧。

    When you use the “Browse” command to select an EXE file, Windows defaults to using what are known as environmental variables if the particular path includes a given path portion represented by one of those variables. For example, instead of inserting C:\Users\Steve\, it will swap that portion for the environmental variable %USERPROFILE% .

    当您使用“浏览”命令选择EXE文件时,如果特定路径包括由这些变量之一表示的给定路径部分,则Windows默认使用所谓的环境变量。 例如,不是插入C:\Users\Steve\,而是将那部分替换为环境变量%USERPROFILE%

    For some reason, despite the fact that this is the default way it populated the program path field, it will break the firewall rule. If the file you have browsed to is anywhere that uses an environmental variable (like the /User/ path or the /Program Files/ path), you have to manually edit the program path entry to remove the variable and replace it with the correct and full file path. In case that’s a tad confusing let us illustrate with our example program from above.

    出于某种原因,尽管事实上这是它填充程序路径字段的默认方式, 但它会违反防火墙规则 。 如果浏览到的文件位于使用环境变量的任何位置(例如/User/路径或/Program Files/路径),则必须手动编辑程序路径条目以删除该变量,并用正确的完整的文件路径。 万一这有点令人困惑,让我们从上面的示例程序中进行说明。

    When we browsed to the EXE file for our Maxthon web browser, Windows plugged in the following program path information for the file, which was located in our Documents folder:

    当我们为Maxthon Web浏览器浏览到EXE文件时,Windows插入了该文件的以下程序路径信息,该信息位于我们的Documents文件夹中:

    %USERPROFILE%\Documents\MaxthonPortable\App\Maxthon\Bin\Maxthon.exe
    

    That file path is understood by Windows, but for some reason is no longer recognized when inserted into a firewall rule. Instead, we need to replace the file path that includes the environmental variable with the full file path. In our case it looks like this:

    Windows可以理解该文件路径,但是由于某种原因,在将其插入防火墙规则后将无法识别该文件路径。 相反,我们需要用完整的文件路径替换包含环境变量的文件路径。 在我们的情况下,它看起来像这样:

    C:\Users\Jason\Documents\MaxthonPortable\App\Maxthon\Bin\Maxthon.exe
    

    It’s possible this is some quirk isolated to the current version of the Windows 10 firewall, and that you can use environmental variables in other versions, but we’d encourage you to just remove the variable and use the full and absolute file path to save yourself a headache today and down the road.

    这可能是与Windows 10防火墙的当前版本隔离的怪癖,您可以在其他版本中使用环境变量,但是我们建议您删除该变量,并使用完整和绝对的文件路径来保存自己今天和以后都很头疼。

    Finally, there’s one small but important thing to keep in mind here. For most applications, the main EXE file is the one you want to block, but there are examples of applications where things are a bit counter-intuitive. Take Minecraft, for example. At first glance it seems like you should block Minecraft.exe , but Minecraft.exe is actually  just the launcher file and the actual network connectivity happens through Java. So, if you want to restrict your child from connecting to online Minecraft servers you need to block Javaw.exe and not Minecraft.exe . That’s atypical, though, as most applications can be blocked through the main executable.

    最后,这里有一件小事但重要的事情要牢记。 对于大多数应用程序,主EXE文件是您要阻止的文件,但是有些应用程序的示例有些违反直觉。 以Minecraft为例。 乍一看,您似乎应该阻止Minecraft.exe ,但Minecraft.exe实际上只是启动程序文件,并且实际的网络连接是通过Java进行的。 因此,如果要限制孩子连接到在线Minecraft服务器,则需要阻止Javaw.exe而不是Minecraft.exe 。 但是,这是非典型的,因为大多数应用程序都可以通过主可执行文件阻止。

    At any rate, once you’ve selected your application and confirmed the path, you can finally click that “Next” button. On the “Action” screen of the wizard, select the “Block the connection” option, and then click “Next.”

    无论如何,一旦您选择了应用程序并确认了路径,便可以最终单击该“下一步”按钮。 在向导的“操作”屏幕上,选择“阻止连接”选项,然后单击“下一步”。

    On the “Profile” screen, you’re asked to select when the rule applies. Here, you have three options:

    在“配置文件”屏幕上,要求您选择规则的适用时间。 在这里,您有三个选择:

    • Domain: The rule applies when a computer is connected to a domain.

      域:当计算机连接到域时,该规则适用。

    • Private: The rule applies when a computer is connected to a private network, such as your home or small business network.

      专用:此规则适用于计算机连接到专用网络(例如家庭或小型企业网络)的情况。

    • Public: The rule applies when a computer is connected to a public network, such as at a coffee shop or hotel.

      公用:当计算机连接到公用网络(例如在咖啡店或旅馆中)时,该规则适用。

    So, for example, if you have a laptop that you use at home (a network you’ve defined as private) and at a coffee shop (a network you’ve defined as public) and you want the rule to apply to both places, you need to check both options. If you want the rule only to apply when you’re at the public Wi-Fi spot at the coffee shop, then just check Public. When in doubt, just check them all to block the application across all networks. When you’ve made your selection click “Next”.

    因此,例如,如果您有一台手提电脑在家中(定义为私人的网络)和咖啡店(定义为公共的网络)使用,并且希望该规则适用于两个地方,您需要选中两个选项。 如果您只想在咖啡店的公共Wi-Fi站点上应用此规则,则只需选中“公共”即可。 如有疑问,只需全部检查即可阻止所有网络中的应用程序。 选择完毕后,单击“下一步”。

    The final step is to name your rule. Give it a clear name you’ll recognize later on. We named ours, simply, “Maxathon Block” to indicate which application we’re blocking. If you want, you can add a fuller description. When you’ve filled the appropriate information in, click the “Finish” button.

    最后一步是命名您的规则。 给它起一个清晰的名字,以后您会认出来。 我们将我们的名字简称为“ Maxathon Block”,以表明我们正在阻止哪个应用程序。 如果需要,可以添加更完整的描述。 填写适当的信息后,单击“完成”按钮。

    You’ll now have an entry at the top of the “Outbound Rules” list for your new rule. If your goal was blanket blocking you’re all done. If you want to tweak and refine the rule you can double click on the entry and make adjustments—like adding local exceptions (e.g. the application can’t access the Internet but it can connect so another PC on your network so you can use a network resource or the like).

    现在,在新规则的“出站规则”列表的顶部将有一个条目。 如果您的目标是一揽子封锁,那么您就完成了。 如果要调整和完善规则,则可以双击条目并进行调整,例如添加本地异常(例如,应用程序无法访问Internet,但可以连接,因此网络上的另一台PC可以使用网络资源等)。

    At this point we’ve achieved the goal outlined in the title of this article: all outbound communication from the application in question is now cut off. If you want to further tighten the grip you have on the application you can select the “Inbound Rules” option in right hand navigation panel of the “Windows Firewall with Advanced Security” and repeat the process, step for step, recreating an identical firewall rule that governs inbound traffic for that application too.

    至此,我们已经达到了本文标题中概述的目标:现在已切断了来自该应用程序的所有出站通信。 如果要进一步加强应用程序的控制力,可以在“具有高级安全性的Windows防火墙”的右侧导航面板中选择“入站规则”选项,然后重复该步骤,重新创建相同的防火墙规则也可以控制该应用程序的入站流量。

    测试规则 (Testing the Rule)

    Now that the rule is active it’s time to fire up the application in question and test it. Our test application was the Maxthon web browser. Practically speaking, and for obvious reasons, it’s not super useful to block your web browser from accessing the Internet. But, it does serve as a useful example, because we can immediately and clearly demonstrate that the firewall rule is in effect.

    现在该规则已激活,是时候启动有问题的应用程序并对其进行测试了。 我们的测试应用程序是Maxthon Web浏览器。 实际上,出于明显的原因,阻止您的Web浏览器访问Internet并没有什么用。 但是,它确实是一个有用的示例,因为我们可以立即清楚地证明防火墙规则已生效。

    翻译自: https://www.howtogeek.com/227093/how-to-block-an-application-from-accessing-the-internet-with-windows-firewall/

    windows防火墙 程序

    展开全文
  • Windows防火墙的应用

    千次阅读 2018-05-28 16:44:30
    Windows防火墙的打开与关闭 1、在Windows10中打开 和关闭防火墙 我们点击Windows10系统下的cortana,并输入防火墙即可找到Windows防火墙。 在下图所示的界面中我们可以对防火墙进行打开或者关闭的操作 2...

    Windows防火墙的打开与关闭

    1、在Windows10中打开 和关闭防火墙

    我们点击Windows10系统下的cortana,并输入防火墙即可找到Windows防火墙。

    在下图所示的界面中我们可以对防火墙进行打开或者关闭的操作
    这里写图片描述

    2、在虚拟机的windows7系统中打开和关闭防火墙

    我们点击坐下角的开始,点开控制面板
    这里写图片描述
    之后在控制面板的页面中选择系统和安全
    这里写图片描述
    可以发现Windows防火墙的选项
    这里写图片描述
    点击打开或者关闭防火墙选项可以完成对防火墙状态的修改工作
    这里写图片描述

    windows防火墙对FTP服务器的影响

    FTP是常见的基于TCP的网络服务,它使用了两个TCP连接来建立逻辑通信信道,即控制连接数据连接。当客户端与服务器建立一个FTP会话时,使用TCP创建一个持久的控制连接以传递命令和应答。当发送文件和其它数据传输时,它们在独立的TCP数据连接上进行传递,这个连接根据需要创建和拆除。

    更为复杂的是,FTP标准指定了创建数据连接的两种不同方法,即正常(主动)数据连接被动数据连接。FTP的控制连接总是由客户端首先发起的,主动数据连接是由客户端发起的,被动数据连接是由服务器端发起的。

    成功建立控制连接后,在进行主动连接时,客户端发送PORT命令,其中内嵌了地址和端口信息,以告知服务器进行连接,然后服务器打开默认端口20建立到客户端已告知地址和端口的数据连接。在进行被动连接时,客户机使用PASV命令告诉服务器等待客户机建立数据连接,服务器响应,告诉客户机为了数据传输它应该使用服务器上的什么端口(随机打开)。这种工作机制带来了一个严重的问题:在FTP的命令(PORT或PASV)或对它们的回答中传递IP地址及端口号与网络分层机制严重冲突在FTP客户端与服务器的通信信道之间的网关设备(防火墙或路由器)上启用了NAT功能的情况下将出现连接性问题

    防火墙对于像FTP这样的多端口连接的TCP应用,其影响是深远的,在复杂的网络环境中,更是由于设备、软件的多样性可能导致不可预知的问题。作为一名网络管理员,深入了解防火墙和FTP的工作原理及其在NAT环境下防火墙对FTP的影响,对于选择FTP服务软件及安装、部署、管理及维护FTP服务和实际工作中排除FTP应用故障是大有裨益的。本文就以一个在实际环境中比较常见的FTP部署和应用拓扑为例,来详细解读防火墙(启用了NAT功能)对FTP的影响。如有不当之处,敬请指正。

    一、网络拓扑图

    这里写图片描述

    二、主动模式的连接分析

    如本例中网络拓扑所示,IP为192.168.1.1客户端计算机打开一个可用的TCP端口1025,经过其前端的防火墙进行NAT转换成地址1.1.1.1和端口1025后建立到目标地址为2.2.2.2的21端口的连接,然后服务器前端的防火墙将此连接信息传递到服务器172.16.6.1的21端口,成功建立FTP控制连接。

    服务器则经由这个已经建立的逻辑连接通道返回数据包,与客户端进行交互。接着,客户端发出PORT指令,在指令中嵌入了地址信息(IP:192.168.1.1,Port:1026),告知服务器用于数据连接,并打开端口1026,等待服务器连接。当承载PORT指令的数据包到达客户机前端的防火墙时,由于NAT的缘故,在成功创建NAT表项,改写数据包的IP和TCP端口信息后:

    如果此时防火墙不能识别并检查此连接是FTP应用,便不能对PORT指令中嵌入的地址和端口信息进行改写,则将此数据包通过先前已建立的控制连接通道传递到服务器后,服务器则打开20端口将建立到192.168.1.1的1026端口的数据连接

    显然,此连接数据包要么被其前端的防火墙丢弃,要么在流入因特网后立刻被丢弃,永远无法到达客户端。在这种情况下,客户端一直处在控制连接阶段发送含有PORT指令的数据包,以便建立数据连接;而服务器则在打开了20端口后,一直尝试建立到客户端的数据连接,但始终收不到应答。

    直接的结果就是:客户端成功连接了FTP服务器,却无法进行数据传输。这里可能还包含一个隐藏的安全威胁:如果恰巧192.168.1.1对于服务器主机来说是直接可达的,则此时服务器便将数据包发送到这台计算机,在这两台主机之间产生莫名的数据流。其他可能更隐蔽、更不好的情况,笔者不再做假设论述了。

    如果此时防火墙能支持对FTP应用进行审查和跟踪,即能识别PORT指令中的内容,就将其中嵌入的地址信息改写成(IP:1.1.1.1,PORT:1026)并动态打开1026端口,并建立新的NAT转换表项,等待连接,则当服务器收到PORT指令后,打开20端口,建立到1.1.1.1上1026端口的连接,成功交互后,便能进行数据传输了。

    三、被动模式的连接分析

    控制连接建立后,客户端发出的PASV指令到达服务器,服务器则随机打开一个可用的TCP端口,并将地址和端口信息(IP:172.16.6.1,Port:50000)返回给客户端,告知客户端利用这些信息进行数据连接。当包含服务器地址信息的这个数据包到达其前端的防火墙时:

    如果防火墙不能识别并检查此数据包的应用层数据,无法判定它是FTP的PASV指令的返回包,并对其中嵌入的地址信息进行重写则当此数据包返回到客户端时,客户端将随机打开端口3000,以目的地址172.16.6.1、端口50000来进行数据连接,同理,此连接数据包永远不能到达服务器端

    这种情况下,客户端将一直尝试建立数据连接,却总是不能收到应答。这里可能包含的隐藏安全威胁,如前所述。

    如果防火墙能对FTP应用进行审查和跟踪,并将返回包中嵌入的服务器地址信息进行重写,即转换成(IP:2.2.2.2,Port:50000),然后建立新的NAT表项,动态打开50000端口,等待连接。则此返回包到达客户端时,客户端将随机打开端口3000,以目的地址2.2.2.2、端口50000来新建连接,便能成功建立数据连接

    根据以上分析,为成功进行FTP数据传输,主动模式下要求客户机前端的防火墙在启用NAT后能对FTP应用进行审查和跟踪,识别并改写PORT指令中的客户端地址信息被动模式下则要求服务器前端的防火墙能改写服务器响应PASV指令后返回数据包中的服务器地址信息

    当然,为保险起见,为保证FTP应用的正常使用,建议两端的防火墙都需要支持对FTP进行识别和内容审查

    四、网络防火墙与FTP

    大多数网管设置防火墙的默认访问控制策略是:允许从内部到外部的一切流量,禁止从外部到内部的一切流量。

    就FTP应用来说,为了简化防火墙策略的配置又兼顾安全策略要求,客户机选择被动模式进行数据连接较好,不需要对其前端的防火墙设置特别的访问控制策略,但要求服务器前端的防火墙能动态打开数据连接所需的随机端口;服务器端则选择主动连接较好,为允许客户端的访问,其前端防火墙的访问控制策略仅需要显式对外开放21端口即可,但需要客户机前端的防火墙能动态打开数据连接所需的端口。

    从方便使用的角度考虑,既然提供FTP服务,就要配置好服务器前端的防火墙,使其访问控制策略能支持两种模式下的FTP服务正常工作。

    如果客户机前端的NAT设备为路由器,不是防火墙,并不能审查和跟踪FTP应用,从前面的分析可以推断出,主动模式下肯定存在连接性问题,需要以被动方式建立数据连接才能成功使用FTP服务。

    如果FTP控制端口非默认,而是定制的TCP端口(比如2121),在这种情况下,服务器前端的防火墙通过配置命令显式指示FTP的控制端口,便能进行审查和跟踪但客户机前端的防火墙即使其能识别默认端口下的FTP应用,此时也会把控制端口非21的FTP服务当作一般的TCP应用对待,这种情形下,便不能改写主动模式下的客户端地址端口信息,导致服务器在建立数据连接时失败,但客户端使用被动连接模式能正常工作

    综上所述,客户端使用被动方式连接FTP服务器是最恰当的,能最大限度地降低连接性问题。同时降低了对客户机前端防火墙备的要求,不需要像主动方式那样动态开放允许输入的随机端口,把可能的安全威胁推给了服务器端。这或许是微软的IE浏览器(资源管理器)默认设置使用被动方式的原因。如图表2所示。另外需要注意的,在Windows命令行下,FTP默认是使用主动方式进行数据连接的

    这里写图片描述

    五、主机防火墙与FTP

    如果将FTP服务器架设在Windows Server 2008上,由于它内置Windows防火墙,而且默认已经启用,所以客户端建立到这台FTP服务器的控制连接便会被封锁,此时需要在防火墙上开放对TCP 21端口的传入连接。

    被动模式下,由于服务器通过控制信道将用来监听客户端请求的端口号是随机产生的,此时需要在防火墙上开放的传入连接的端口也是随机的。由于Windows防火墙不能像网络防火墙那样根据需要动态打开和关闭FTP服务要求的随机端口,所以需要静态开放全部可能的随机端口。

    Windows Server 2008默认的动态端口范围是49152-65535,而Windows防火墙的例外开放规则只能针对单一端口来开放,要开放49152-65535这个范围内的一万多个端口,非常不切实际,更是会给运行FTP服务器的主机带来严重的安全威胁。

    所幸的是,基于IIS7.0建立的FTP服务器允许将端口号固定在自行指定的一个范围中,如50000-50005,此时便只需要开放这一小段范围的端口即可,大大提升了安全性和配置Windows防火墙的效率。如果服务器上部署的是第三方防火墙,则需要慎重考虑如何设置使之能安全保障FTP服务的正常运行。

    展开全文
  • windows防火墙 程序The Windows Firewall acts like a fence between your computer and the rest of the Internet world, keeping unwanted network traffic from coming in,and keeping apps on your computer ...
    windows防火墙 程序

    windows防火墙 程序

    lead

    The Windows Firewall acts like a fence between your computer and the rest of the Internet world, keeping unwanted network traffic from coming in, and keeping apps on your computer from communicating with the outside world. But every fence needs a gate, and that’s where exceptions come in.

    Windows防火墙的作用就像您的计算机与Internet世界其他部分之间的篱笆一样,可防止不必要的网络流量进入,并防止计算机上的应用程序与外界通信。 但是每个栅栏都需要一扇门,这就是例外的地方。

    When you allow an app to communicate through the firewall, it’s called adding an “exception”. For the most part, this all happens automatically. Windows creates exceptions for its own system services and apps, and when you install a new app that wants to communicate with the outside world, Windows will ask you if it’s allowed to do so.

    当您允许某个应用通过防火墙进行通信时,这称为添加“例外”。 在大多数情况下,这一切都是自动发生的。 Windows为自己的系统服务和应用程序创建例外,并且当您安装要与外界通信的新应用程序时,Windows会询问您是否允许这样做。

    Sometimes, though, you might want to create an exception manually to allow an app to communicate with the Internet. Perhaps it’s a app you originally said no to when Windows asked, but now you’ve changed your mind. Or maybe it’s an app that just didn’t get configured automatically for some reason. In those cases, you’ll need to head into Windows’ firewall settings.

    但是,有时您可能希望手动创建一个例外,以允许应用程序与Internet通信。 也许这是您最初在Windows询问时拒绝的应用程序,但现在您改变了主意。 也许这是一个由于某种原因未自动配置的应用程序。 在这种情况下,您需要进入Windows的防火墙设置。

    如何手动添加异常 (How to Add an Exception Manually)

    Start the Windows Firewall settings by clicking Start and searching for Firewall. Click the Windows Firewall app and not Windows Firewall with Advanced Security. We’ll talk about that one a bit later.

    通过单击开始并搜索防火墙来启动Windows防火墙设置。 单击Windows防火墙应用程序,而不单击具有高级安全性的Windows防火墙。 我们稍后再讨论。

    Firewall Start

    The Windows Firewall screen shows you how the firewall is configured for both private networks (such as your home or work) and public networks (the ones you connect to on your laptop out in the world). On the list of settings to the left, click “Allow an app or feature through Windows Firewall”.

    Windows防火墙屏幕向您显示如何为专用网络(例如您的家庭或办公室)和公用网络(您在笔记本电脑上连接的防火墙)配置防火墙。 在左侧的设置列表中,单击“允许应用程序或功能通过Windows防火墙”。

    Firewall main

    The next view shows you a list of all the apps that are already allowed to communicate, and over what kinds of networks (private or public). If it’s the first time you’ve opened Windows Firewall, click the Change Settings button to give yourself permissions to make changes or add new apps. You’ll only need to do this once. To add a new app to the list, click “Allow another app”.

    下一个视图显示了已允许通过哪种类型的网络(专用或公用)进行通信的所有应用程序的列表。 如果这是您第一次打开Windows防火墙,请单击“更改设置”按钮,以授予自己进行更改或添加新应用的权限。 您只需要这样做一次。 要将新应用添加到列表中,请单击“允许另一个应用”。

    view apps

    In the Add an app window, browse for the app you want to allow network access to. Click the Network types button to specify whether you want to allow the app access on public or private networks (or both). Click Add when you’re done and that’s it. You’ve allowed the app through your firewall–you’ll see it show up on the list of allowed apps, and it should be allowed to use internet or network-related features.

    在“添加应用程序”窗口中,浏览要允许网络访问的应用程序。 单击网络类型按钮以指定是否要允许应用程序访问公用或专用网络(或两者)。 完成后,单击“添加”即可。 您已通过防火墙允许该应用程序-您将看到它显示在允许的应用程序列表中,并且应该允许它使用与Internet或网络相关的功能。

    pick app

    如何配置高级防火墙规则 (How to Configure Advanced Firewall Rules)

    Windows actually provides you with two different interfaces for working with the firewall. The basic Settings interface we just looked at is by far the simplest way just to allow an app to communicate. Another tool, Windows Firewall with Advanced Security, has a lot more options. You can use it do things like:

    Windows实际上为您提供了两个不同的界面来使用防火墙。 到目前为止,我们刚刚看到的基本“设置”界面是允许应用进行通信的最简单方法。 另一个工具,具有高级安全性的Windows防火墙,具有更多选择。 您可以使用它执行以下操作:

    • Create rules governing inbound and outbound traffic for not just apps, but also network traffic coming in over a specific port. A good use of this might be directing incoming traffic that uses a particular port number to a selected app.

      创建规则,不仅管理应用程序的入站和出站流量,还管理通过特定端口传入的网络流量。 最好的用法是将使用特定端口号的传入流量定向到选定的应用程序。
    • Direct network traffic to particular computers on your local network based on the app or port numbers.

      根据应用程序或端口号将网络流量定向到本地网络上的特定计算机。
    • Create connection security rules that force other computers attempting to communicate with yours to use different types of authentication protocols to establish their identity.

      创建连接安全规则,以强制尝试与您的计算机进行通信的其他计算机使用不同类型的身份验证协议来建立其身份。
    • Monitor the use of rules and other security associations.

      监视规则和其他安全关联的使用。

    It’s unlikely that you’ll ever need any of the features offered by Windows Firewall with Advanced Security except in special circumstances. Perhaps you use one of your computers to share your Internet connection and serve as the main firewall for your network. Still, it’s helpful to know the options are there if you need them, even it’s only for knowing why two different Windows Firewall apps appear when you search for them.

    除特殊情况外,您不太可能需要具有高级安全性的Windows防火墙提供的任何功能。 也许您使用一台计算机共享Internet连接,并充当网络的主要防火墙。 尽管如此,了解您是否需要这些选项还是有帮助的,即使只是知道为什么在搜索时会出现两个不同的Windows防火墙应用程序也很有帮助。

    Also keep in mind that most homes and businesses have a dedicated hardware firewall built into their router, making it even less likely you’ll need these types of features on your Windows computer. If you do need to set up rules for directing traffic, you’ll probably do it on the router itself.

    还要记住,大多数家庭和企业在路由器中都内置了专用的硬件防火墙,这使您在Windows计算机上使用这些功能的可能性降低了。 如果确实需要设置引导流量的规则,则可能会在路由器本身上进行。

    翻译自: https://www.howtogeek.com/howto/uncategorized/how-to-create-exceptions-in-windows-vista-firewall/

    windows防火墙 程序

    展开全文
  • windows 防火墙日志In the process of filtering Internet traffic, all firewalls have some type of logging feature that documents how the firewall handled various types of traffic. These logs can provide...
  • 拥有火绒后关闭Windows防火墙

    千次阅读 多人点赞 2020-11-07 19:41:53
    没关防火墙时always连不上。 I dont want to use English, but ‘z’ and ‘x’ does not work. Don’t Baidu, Google it. 百度的就一样方法,还是没用的。 百度的结果: 谷歌的结果: 进入Controller Pad。 ....
  • 1.关闭Windows主机的防火墙 WIN+R打开运行 --> control 查看方式-小图标 选择Windows Defender 防火墙 3.启用或关闭Windows Defender 防火墙 4.选择关闭防火墙 2.关闭Linux虚拟机防火墙 1.安装iptable服务...
  • Windows防火墙的使用

    2018-06-12 23:21:57
    Windows防火墙的使用   防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。Windows防火墙就是在Windows操作系统中系统自带的软件防火墙。 一、打开关闭...
  • Windows进程防火墙是一款最小巧实用的HIPS,最简单易用的主动防御。
  • windows10,安装播放器,提示无法安装该程序包,因为Windows防火墙服务未运行。请启用Windows防火墙服务并重 解决方法 1. win+R运行输入services.msc打开系统服务找到Windows Defender Firewall服务,右键属性,...
  • 解决开启Windows防火墙后,其他电脑ping不通问题 点击左下角 开始 然后点击 设置 在弹出的搜索框里输入 防火墙 并打点击 Windows Defender 防火墙 点击防火墙左侧的 高级 在弹出的窗口中点击 入站规则 ...
  • windows 防火墙解除或禁止ping方法

    千次阅读 2021-03-08 11:03:01
    一台安装了win7操作系统的电脑,网络连接正常,本地Ping网关能通,但在其他电脑ping这台电脑时不通无响应。方法一:关闭防火墙;方法二:开启防火墙,进入如下设置: 点击“入站规则”,找到“文件和打印机共享...
  • 如何在Windows防火墙上打开端口?

    千次阅读 2020-09-22 13:59:04
    Once Windows Firewall opens, click on “Advanced Settings.” Windows防火墙打开后,单击“高级设置”。 This launches Windows Defender Firewall with Advanced Security. Click the “Inbound Rules” ...
  • windows系统在防火墙开启的情况下,打开zabbix端口(10050与10051) 可以手动添加规则,也可以使用批处理生成。 一、下面先介绍批处理 netsh advfirewall firewall add rule name="zabbix" dir=in action=allow...
  • 命令行配置Windows高级防火墙

    千次阅读 2019-07-02 15:56:19
    今天正好看到个帖子,询问如何通过命令行配置防火墙策略中远程IP的地址,特别是添加新的地址。 就是图中Scope里Remote IP address的地址。 第一反应就是用netsh firewall来配置试试。输入命令后,发现Windows提示...
  • 以win10为例,直接在控制面版-系统和安全-windows defender防火墙中开启即可。这里注意有一个阻止所有传入链接,当我们连上公共网络,例如火车站、咖啡馆等热点时,可以开启,即阻止所有网络连接自己。 当然,...
  • 关闭防火墙ping请求超时When Windows Firewall is enabled with default settings, you can’t use the ping command from another device to see if your PC is ... 当使用默认设置启用Windows防火墙后,您将无...
  • 第一步参考下载安装 https://wwa.lanzous.com/iald9cf 务必自己亲自下载最新版本安装 https://www.sourceinsight.com/trial/
  • Windows防火墙开启PING

    千次阅读 2017-08-27 22:03:28
    在做hadoop虚拟机安装的时候出现了windows主机可以ping通虚拟机,但是centos无法ping通window主机1。查看centos的ip 2.通过window主机ping centos虚拟机 以上是windows主机可以ping通虚拟机,下面出现虚拟机无法...
  • windows-运维-12 Windows 防火墙

    千次阅读 2019-03-26 20:48:03
    windows-运维-12 Windows 防火墙 概念解析 ​ 防火墙(英文:firewall)是一项协助确保信息安全的设备或者软件,会依照特定的规则,允许或是限制传...​ Windows防火墙是一个基于主机的准状态防火墙,防火墙安装在被...
  • window服务器外网要能访问到tomat,数据库必须对应的端口号对外开放; 比如:tomcat的80或者8080或者8888; mysql:3306; oracle:1521; sersql server : 1433 都要运行外网可以访问; 设置:...入站规则;
  • Windows系统防火墙的配置及应用 打开和关闭防火墙 windows系统防火墙MMC管理控制台的使用 ... (2).windows防火墙属性设置 域配置文件: 专用配置文件: 公用配置文件: IPSec设置: ...
  • 现在很多人都养成了这样的习惯,进入系统后,将防火墙关闭然后再进行操作。...在windows server 2008中已经没有了我们传统的防火墙,进而改版为高级安全windwos 防火墙。 在windows server 2008...
  • windows 防火墙拦截nginx的问题

    千次阅读 2017-04-25 17:32:52
    今天在azure vm上安装了nginx并配置了代理设置,但域名访问始终无法中转,一开始怀疑是nginx的服务没起来,但在本地访问localhost看下如下界面,证明服务是没问题的。 本地访问没问题,而外网访问有问题,这就想到...
  • Windows Server 2008配置防火墙策略

    千次阅读 2019-09-07 09:55:38
    什么是防火墙 防火墙一般都是指网络防火墙,是一个位于计算机和它所连接的网络之间的软件。计算机流入流出的所有网络通信均要经过网络防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在...
  • sql server 2008Windows防火墙

    千次阅读 2015-09-04 22:46:28
    安装sql sever 2008时,那个Windows防火墙不能忽略,可以将防火墙关了,,
  • windows防火墙启动不了,错误代码13

    千次阅读 2020-03-31 16:51:16
    或者 尝试联系WindowsDefender防火墙服务时发生错误。请确保该服务正在运行,然后重试你的请求。 解决://www.digisaster.com/?p=268 开始运行 regedit 计算机 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\...
  • Windows XP在安装SP2后会自动打开Windows防火墙,这个功能对于个人用户来说,可能是一个很实用的功能,因为它可以在一定程度上保护我们的系统。但是在企业环境中,它却是一块鸡肋,因为我们在企业中有自己的对外...
  • 一、通过控制面板重置 Windows 防火墙 如果您是 Windows 平台的常规用户,则可能会意识到微软有一天会终止“控制面板”的可能性,因为它会将其可配置设置转移到 Windows 10 中的新“设置”应用程序中。不过,您仍然...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 120,348
精华内容 48,139
关键字:

windows防火墙怎么安装