Брандмауэр Windows 2008 - Как я могу ограничить входящий HTTP для определенного IP?

Question

Моя цель - ограничить все входящие HTTP-запросы определенными IP-адресами. Я думал, что это будет простой процесс - но я не получаю желаемый результат

Я изменил предопределенное правило под названием WWW (HTTP Traffic-In), чтобы оно "блокировало" входящее соединение (и убедился, что область действия этого входящего правила применяется к текущему активному профилю)

На этом этапе я не указывал допустимые IP-адреса, поскольку хочу узнать, будет ли правило блокировать ВСЕ HTTP-трафик.

В частном профиле (который является активным профилем) - у меня есть следующие настройки: - Состояние брандмауэра: Вкл. - Входящие подключения: Разрешить - Исходящие подключения: Блокировать

Страница обзора брандмауэра Windows показывает:- Частный профиль активен - Входящие соединения, не соответствующие правилу, разрешены - Исходящие соединения, не соответствующие правилу, блокируются

Однако правило брандмауэра по-прежнему разрешало входящий HTTP-трафик, и мой сервер Windows 2008 по-прежнему отвечал тестовой страницей.

Я знаю, что это должна быть простая задача по настройке правила брандмауэра - но, может быть, я что-то упустил ??

Answer 1

Это можно сделать с ДВУМЯ правилами, а не с одним. Поскольку, насколько я знаю, список правил читается сверху (первое правило в списке) до конца, и порядок правил в списке важен.

Ссылка: TechNet. Порядок брандмауэра Windows с расширенной оценкой правил безопасности

Первое правило, которое вы должны создать, должно разрешать все IP-адреса, которые вы хотите авторизовать, с удаленных портов 80.

Второе правило должно блокировать все остальные входящие TCP-пакеты от удаленного порта 80 (Http).

Первые правила будут проверять входящие TCP-пакеты: если они получены от удаленных портов 80 в TCP И соответствуют IP-адресам, которые вы хотите разрешить. они будут разрешены. Пакет ДОЛЖЕН соответствовать всей спецификации этого правила, которая должна быть разрешена. Если нет, то следующее правило проверит входящие пакеты.

Если входящие TCP-пакеты не соответствуют всем критериям первого правила, тогда второе правило проверяет, являются ли TCP-пакеты от удаленных портов 80, чтобы блокировать все из них, но не другие TCP-пакеты (на удаленных портах, отличных от 80), так как вы хотите заблокировать HTTP не в вашем списке IP-адресов и не во всех других TCP-пакетах ...