วิธีบอกกฎไฟร์วอลล์ windows ที่บล็อกปริมาณการใช้งาน

16

ฉันกำลังพยายามตั้งค่าคอมพิวเตอร์ให้ยอมรับปริมาณข้อมูลเข้าทั้งหมด แต่อนุญาตเฉพาะปริมาณข้อมูลขาออกไปยัง IP เฉพาะ ฉันได้ตั้งค่าอนุญาตให้กฎทั้งหมดสำหรับขาเข้าและกฎอนุญาตที่ระบุที่อยู่ IP เป็นที่อยู่ขาออกที่ยอมรับเท่านั้น ฉันยังได้ตั้งค่ากฎปฏิเสธขาออกทั้งหมดโดยสมมติว่ากฎอื่นจะมีความสำคัญกว่า

ปัญหาที่ฉันมีคือการรับส่งข้อมูลทั้งหมดจะถูกปิดกั้นแม้แต่การรับส่งข้อมูลไปยัง IP ที่ฉันระบุว่าได้รับอนุญาต

ฉันกำลังมองหาวิธีในการติดตามทราฟฟิกผ่านไฟร์วอลล์และดูว่ากฎใดที่บล็อกการรับส่งข้อมูล บันทึกที่สร้างขึ้นโดยการตรวจสอบไฟร์วอลล์บอกฉันว่าปริมาณการใช้ข้อมูลลดลง แต่ไม่มีกฎใดที่บล็อกไว้

windows  networking  firewall 
หยอกเย้า
แหล่งที่มา
ฉันมักจะต้องการทำเช่นนี้ด้วย แต่ดูเหมือนว่าไฟร์วอลล์ Windows ในตัวไม่ได้มีให้ในเรื่องนี้ ฉันสนใจที่จะทราบว่าคุณหาวิธีแก้ปัญหาสำหรับการบันทึกรายละเอียดเพิ่มเติม
David Woodward
ไฟร์วอลล์ Windows คือการป้องกันพีซีของคุณจากเครือข่ายไม่ใช่เครือข่ายจากพีซีของคุณ เครือข่ายควรมีไฟร์วอลล์ของตัวเองเพื่อป้องกัน
Ron Maupin

คำตอบ:

20

(หมายเหตุ: สิ่งนี้ใช้ได้กับ Windows 7 และอาจทำงานได้กับเวอร์ชั่นใหม่กว่าหรือไม่ก็ได้)

ขั้นตอนต่อไปนี้จะนำคุณไปสู่กฎที่บล็อกการเชื่อมต่อของคุณ:

  • เปิดคอนโซล Windows (พร้อมสิทธิ์การดูแลระบบ) เพื่อป้อนคำสั่ง
  • เปิดใช้งานการตรวจสอบสำหรับ Windows Filtering Platform (WFP):
    • เรียกใช้คำสั่ง:
      auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • เรียกใช้คำสั่ง:
      auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (สิ่งนี้อาจทำให้คุณจมอยู่ในข้อมูลบันทึกเหตุการณ์ - เปิดใช้งานเฉพาะการตรวจสอบความล้มเหลวเท่านั้นและอาจเกิดจากความล้มเหลวในการเชื่อมต่อเท่านั้นที่จะลดจำนวนรายการบันทึกได้โปรดเลือกสิ่งที่คุณต้องการจริง ๆ )
  • ทำให้เกิดปัญหาอีกครั้ง
  • เรียกใช้คำสั่ง: netsh wfp show state(สิ่งนี้จะสร้างไฟล์ XML ในโฟลเดอร์ปัจจุบัน)
  • เปิดตัวแสดงเหตุการณ์: เรียกใช้ ( Windows+ R)>eventvwr.msc
    • ไปที่ "บันทึกของ Windows"> "ความปลอดภัย"
    • ในรายการระบุบันทึกของแพ็กเก็ตดร็อป (คำใบ้: ใช้คุณลักษณะการค้นหาในเมนูด้านขวาค้นหารายการ (IP ต้นทางพอร์ตปลายทาง ฯลฯ ) ที่เฉพาะเจาะจงสำหรับปัญหาของคุณ)
    • ในรายละเอียดบันทึกเลื่อนลงและจดบันทึก ID ตัวกรองที่ใช้เพื่อบล็อกแพ็คเก็ต
  • เปิดไฟล์ XML ที่สร้างขึ้น:
    • ค้นหา filterID ที่ระบุไว้และตรวจสอบชื่อกฎ (องค์ประกอบ "displayData> name" บนโหนด XML ที่เกี่ยวข้อง)

นี่จะเป็นการเริ่มต้นที่ดีในการค้นหากฎการบล็อก

เมื่อเสร็จแล้วอย่าลืมปิดการตรวจสอบ:

  • เรียกใช้คำสั่ง:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • เรียกใช้คำสั่ง:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

หมายเหตุ:ขึ้นอยู่กับการตั้งค่าภาษา Windows ของคุณบริการตรวจสอบอาจใช้ชื่ออื่นที่ไม่ใช่ภาษาอังกฤษ ในการค้นหาชื่อหมวดหมู่ย่อยให้รันคำสั่ง: auditpol /get /category:*และค้นหาหมวดหมู่ย่อยที่สอดคล้องกับ "การกรอง Drop Packet Platform" และ "Filtering Platform Connection" ในภาษาของระบบ

ผมบ๊อบ
แหล่งที่มา
1
การทำเช่นนี้จะช่วยให้คุณไม่ต้องเปิดใช้งานหากคุณเปิดใช้งานการกรองขาออกใน Windows Firewall เนื่องจากโปรแกรมทั้งหมดที่ไม่มีกฎการอนุญาตอย่างชัดเจนจะถูกบล็อกโดยค่าเริ่มต้น ดังนั้นโปรแกรมของคุณอาจไม่ถูกบล็อกโดยกฎไฟร์วอลล์เลย
Alexandru Dicu
2
สิ่งนี้ทำงานกับ Windows Server 2012 R2
AresAvatar
ในกรณีของฉัน DisplayData-name บอกว่าDefault Outboundอย่างน้อยฉันก็แน่ใจว่ากฎการอนุญาตของฉันถูกเพิกเฉยดังนั้นข้อผิดพลาดคือไฟร์วอลล์ของ Microsoft
metablaster
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.