Windows-Server-2008
僅允許美國流量(Server 2008 R2)
我正在嘗試設置 Windows Server 2008 R2 的防火牆,以便它阻止除源自美國 IP 的流量之外的所有流量。目前入站防火牆策略設置如下:
- 阻止幾個埠(來自任何地方)
- 允許一些埠/服務(來自任何地方)
- 應用預設操作(阻止)
所以我需要在允許邏輯之上添加一些邏輯。我在以下網址閱讀了 Microsoft 的文件:http ://technet.microsoft.com/en-us/library/ff602923並看到在允許規則之前應用了阻止規則——所以我看到它有幾個選擇:
- 創建一個阻止所有非美國 IP 的大規模阻止規則
- 為每個國家/大陸/…創建一個阻止規則,其中包含該區域的所有 IP(與選項 1 基本相同,只是為了更容易管理而製定更多規則。)
- 創建一個只允許美國 IP 的大規模接受規則
我更喜歡使用第三個選項,因為它應該會導致更小的規則集。但是,我擔心的是,如果我創建一個預設的“接受來自美國的所有內容”規則,它將覆蓋預設的阻止操作 - 並允許美國的使用者點擊之前被預設操作阻止的入站內容。
那麼 - 以前有沒有人設置過這樣的東西?如果是這樣,你選擇了什麼路線?
編輯:我知道我可以轉到每個允許規則並使用美國 IP 列表限制每個規則。讓我們假設我不想這樣做,因為它會造成更大的頭痛。
如果您擔心防火牆規則的順序,我認為您需要認真重新評估您正在嘗試做的事情。這將是一場徹頭徹尾的後勤噩夢。根據您的概述,選項 3 聽起來確實是最好的。