ความแตกต่างระหว่างที่อยู่ในพื้นที่และที่อยู่ระยะไกลในที่อยู่ไฟร์วอลล์ปี 2008 คืออะไร

15

ในแท็บคุณสมบัติความปลอดภัยขั้นสูงของไฟร์วอลล์ผู้จัดการ / กฎขาเข้า / กฎ / ขอบเขตคุณมีสองส่วนเพื่อระบุที่อยู่ IP ในเครื่องและที่อยู่ IP ระยะไกล

อะไรทำให้ที่อยู่มีคุณสมบัติเป็นที่อยู่ในท้องถิ่นหรือที่อยู่ระยะไกลและมันแตกต่างกันอย่างไร

คำถามนี้ค่อนข้างชัดเจนด้วยการตั้งค่าปกติ แต่ตอนนี้ฉันตั้งค่าเซิร์ฟเวอร์เสมือนระยะไกลฉันไม่แน่ใจ

สิ่งที่ฉันมีก็คือฟิสิคัลโฮสต์พร้อมสองอินเตอร์เฟส ฟิสิคัลโฮสต์ใช้อินเตอร์เฟส 1 กับ IP สาธารณะ เครื่องเสมือนจริงเชื่อมต่ออินเตอร์เฟส 2 กับไอพีสาธารณะ ฉันมีเครือข่ายย่อยเสมือนระหว่างสอง - 192.168.123.0

เมื่อแก้ไขกฎไฟร์วอลล์ถ้าฉันวาง 192.168.123.0/24 ในพื้นที่ที่อยู่ IP ท้องถิ่นหรือพื้นที่ที่อยู่ IP ระยะไกลสิ่งที่ windows ทำแตกต่างกันอย่างไร มันทำอะไรที่แตกต่างกันรึเปล่า?

เหตุผลที่ฉันถามนี่คือฉันมีปัญหาในการทำให้การสื่อสารโดเมนทำงานระหว่างสองกับไฟร์วอลล์ที่ใช้งานอยู่ ฉันมีประสบการณ์มากมายเกี่ยวกับไฟร์วอลล์ดังนั้นฉันรู้ว่าสิ่งที่ฉันต้องการจะทำ แต่ตรรกะของสิ่งที่เกิดขึ้นที่นี่หนีฉันและกฎเหล่านี้น่าเบื่อที่จะต้องแก้ไขทีละคน

แก้ไข: อะไรคือความแตกต่างระหว่างสองกฎนี้:

  • ให้ทราฟฟิกจาก local subnet 192.168.1.0/24 เข้าถึงพอร์ต SMB
  • ให้ทราฟฟิกจากเครือข่ายย่อยระยะไกล 192.168.1.0/24 เข้าถึงพอร์ต SMB

ที่ฉันมีพอร์ต LAN ที่มีไอพี 192.168.1.1 ฉันคิดว่าไม่มีความแตกต่าง

เอียน

windows-server-2008  security  windows-firewall 
เอียนเมอร์ฟี
แหล่งที่มา

คำตอบ:

7

ที่อยู่ IP ในเครื่องหมายถึงที่อยู่ IP ของอะแดปเตอร์บนเซิร์ฟเวอร์เอง สมมติว่าคุณมีเซิร์ฟเวอร์แบบ multihomed ที่มี 192.168.0.2 และ 10.10.10.10 หากคุณระบุเพียง 10.10.10.10 ไฟร์วอลล์จะไม่พิจารณากฎเป็นการจับคู่กับทราฟฟิกถ้ามันเข้าชม 192.168.0.2 แทน

ที่อยู่ IP ระยะไกลเป็นที่อยู่ IP ต้นทางที่การรับส่งข้อมูลมา หากคุณใส่ใน 20.20.20.20 กฎจะมีผลเฉพาะเมื่อการรับส่งข้อมูลมาจากที่อยู่ IP นั้น

ในตัวอย่างนี้หากคุณต้องการปิดกั้นทราฟฟิกการพิสูจน์ตัวตนโดเมนจากอะแด็ปเตอร์ด้วยที่อยู่ IP สาธารณะคุณจะต้องระบุที่อยู่ IP สาธารณะสำหรับ IP ท้องถิ่นและ IP ระยะไกลทั้งหมดสำหรับกฎที่ตั้งไว้เพื่อปฏิเสธการรับส่งข้อมูลนี้

ในการอนุญาตสำหรับอะแดปเตอร์ IP'ed ท้องถิ่นคุณจะต้องสร้างกฎที่ระบุที่อยู่ IP ภายในสำหรับภายในเครื่องและจากนั้นช่วงของที่อยู่ IP ที่จะรวมตัวควบคุมโดเมนของคุณเป็นระยะไกลด้วยกฎการอนุญาต

amargeson
แหล่งที่มา
1
ความแตกต่างระหว่างกฎทั้งสองนี้คืออะไร: - อนุญาตให้ทราฟฟิกจากเครือข่ายย่อยท้องถิ่น 192.168.1.0/24 เข้าถึงพอร์ต SMB - อนุญาตการรับส่งข้อมูลจากเครือข่ายย่อยระยะไกล 192.168.1.0/24 เข้าถึงพอร์ต SMB ที่ฉันมีพอร์ต LAN ที่มี ip 192.168 1.1 ฉันคิดว่าไม่มีความแตกต่าง แต่คนที่พัฒนาสิ่งนี้รู้ว่าพวกเขากำลังทำอะไรและจะไม่เพิ่มความไร้สาระให้กับแท็บขอบเขต ¿ทำไมถึงอยู่ที่นั่น?
Ian Murphy
-2

ฉันอาจจะผิด แต่ฉันคิดว่ามันอาจจะเกี่ยวข้องกับความปลอดภัยของโซนที่คุณได้รับจากการไปที่ Internet Options / Security หากคุณใส่ที่อยู่ IP ในพื้นที่ที่อยู่ในท้องถิ่นที่อยู่นั้นจะถือว่าอยู่ในโซนไซต์ที่เชื่อถือได้มิฉะนั้นจะถือว่าอยู่ในโซนอินเทอร์เน็ต

heartlandcoder
แหล่งที่มา
ฉันไม่คิดว่ามันมีลิงก์ไปยังโซนอินเทอร์เน็ตเนื่องจาก 1) เป็นแนวคิดของ IE และคุณไม่จำเป็นต้องติดตั้ง IE 2) คุณสามารถตั้งค่าที่แตกต่างกันสำหรับผู้ใช้แต่ละคน มีกฎไฟร์วอลล์เพียงฐานเดียวดังนั้นจึงเป็นไปไม่ได้ที่จะใช้กฎตามการตั้งค่าโซนสำหรับผู้ใช้หลายคนที่ขัดแย้งกัน มีบางอย่างที่คล้ายกันเกิดขึ้นกับฉัน แต่ฉันไม่สามารถคิดอะไรที่เหมาะสมได้ เอียน
เอียนเมอร์ฟีย์
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.