Windows系统防火墙命令行配置指南_第1页
Windows系统防火墙命令行配置指南_第2页
Windows系统防火墙命令行配置指南_第3页
Windows系统防火墙命令行配置指南_第4页
Windows系统防火墙命令行配置指南_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、一.   windows系统防火墙命令行管理规范1. 【开启/关闭防火墙(规则)】  在公用配置文件中设置防火墙属性(开启/关闭防火墙)netsh advfirewall set publicprofile state onnetsh advfirewall set publicprofile state off 在域配置文件中设置防火墙属性(开启/关闭防火墙)netsh advfirewall set domainprofile state onnetsh advfirewall set domainprofile state off 在专用配置文件中设置防火墙

2、属性(开启/关闭防火墙)netsh advfirewall set privateprofile state onnetsh advfirewall set privateprofile state off 在当前活动的配置文件中设置防火墙属性(开启/关闭防火墙)netsh advfirewall set currentprofile state onnetsh advfirewall set currentprofile state off 在所有配置文件中设置防火墙属性(开启/关闭防火墙)netsh advfirewall set allprofile state onnetsh advf

3、irewall set allprofile state off 2.【开启/关闭防火墙服务】  开启/关闭防火墙服务(关闭防火墙服务会导致入站访问被拒绝)net start MpsSvcnet stop MpsSvc 3. 【查看防火墙规则】  列出防火墙入站规则(列出所有动态入站规则)netsh advfirewall firewall show rule name=all dir=in type=dynamicC:Windowssystem32>netsh advfirewall firewall show /?下列指令有效:此上下文中的命令

4、:show rule - 显示指定的防火墙规则。C:Windowssystem32>netsh advfirewall firewall show rule /?用法: show rule name=<string>profile=public|private|domain|any,.type=static|dynamicverbose备注:- 显示所有按名称指定的匹配规则,也可按配置文件和类型指定规则。如果指定 verbose,则显示所有匹配规则。示例:显示所有动态入站规则:netsh advfirewall firewall show rule name=all dir=

5、in type=dynamic显示名为 "allow browser" 的所有入站规则的所有设置:netsh advfirewall firewall show rule name="allow browser" verbose 4. 【添加防火墙规则】  添加防火墙入站规则(允许入站TCP1433规则示例)netsh advfirewall firewall add rule name=tcp1433 dir=in action=allow description="this is readme text" en

6、able=yes profile=public remoteip=5 localport=1433 protocol=tcp C:WindowsSystem32>netsh advfirewall firewall add rule /?用法: add rule name=<string>dir=in|outaction=allow|block|bypassprogram=<program path>service=<service short name>|anydescription=<string>enable=

7、yes|no (default=yes)profile=public|private|domain|any,.localip=any|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-6

8、5535|<port range>,.|RPC|RPC-EPMap|IPHTTPS|any (default=any)remoteport=0-65535|<port range>,.|any (default=any)protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|tcp|udp|any (default=any)interfacetype=wireless|lan|ras|anyrmtcomputergrp=<SDDL string>rmtusrgrp=<SDDL str

9、ing>edge=yes|deferapp|deferuser|no (default=no)security=authenticate|authenc|authdynenc|authnoencap|notrequired(default=notrequired)备注:- 将新的入站或出站规则添加到防火墙策略。- 规则名称应该是唯一的,且不能为 "all"。- 如果已指定远程计算机或用户组,则 security 必须为authenticate、authenc、authdynenc 或 authnoencap。- 为 authdynenc 设置安全性可允许系统动态协商为

10、匹配给定 Windows 防火墙规则的通信使用加密。根据现有连接安全规则属性协商加密。选择此选项后,只要入站 IPSec 连接已设置安全保护,但未使用 IPSec 进行加密,计算机就能够接收该入站连接的第一个 TCP 或UDP 包。一旦处理了第一个数据包,服务器将重新协商连接并对其进行升级,以便所有后续通信都完全加密。- 如果 action=bypass,则 dir=in 时必须指定远程计算机组。- 如果 service=any,则规则仅应用到服务。- ICMP 类型或代码可以为 "any"。- Edge 只能为入站规则指定。- AuthEnc 和 authnoencap

11、不能同时使用。- Authdynenc 仅当 dir=in 时有效。- 设置 authnoencap 后,security=authenticate 选项就变成可选参数。示例:为不具有封装的 messenger.exe 添加入站规则:netsh advfirewall firewall add rule name="allow messenger"dir=in program="c:programfilesmessengermsmsgs.exe"security=authnoencap action=allow为端口 80 添加出站规则:netsh ad

12、vfirewall firewall add rule name="allow80"protocol=TCP dir=out localport=80 action=block为 TCP 端口 80 通信添加需要安全和加密的入站规则:netsh advfirewall firewall add rulename="Require Encryption for Inbound TCP/80"protocol=TCP dir=in localport=80 security=authdynencaction=allow为 messenger.exe 添加需要

13、安全的入站规则:netsh advfirewall firewall add rule name="allow messenger"dir=in program="c:program filesmessengermsmsgs.exe"security=authenticate action=allow为 SDDL 字符串标识的组 acmedomainscanners 添加经过身份验证的防火墙跳过规则:netsh advfirewall firewall add rule name="allow scanners"dir=in rmtc

14、omputergrp=<SDDL string> action=bypasssecurity=authenticate为 udp- 的本地端口 5000-5010 添加出站允许规则Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010action=allow 5.【修改防火墙规则】  修改防火墙入站规则(修改入站规则tcp1433名称)netsh advfirewall firewall set rule name="tcp1433"

15、; dir=in new name="tcp_port1433"C:Windowssystem32>netsh advfirewall firewall set rule /?用法: set rulegroup=<string> | name=<string>dir=in|outprofile=public|private|domain|any,.program=<program path>service=service short name|anylocalip=any|<IPv4 address>|<IPv6

16、address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-65535|<port range>,.|RPC|RPC-EPMap|IPHTTPS|anyremoteport=0-65535|<port range>,.|anypro

17、tocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|tcp|udp|anynewname=<string>dir=in|outprogram=<program path>service=<service short name>|anyaction=allow|block|bypassdescription=<string>enable=yes|noprofile=public|private|domain|any,.localip=any|<IPv4 address>

18、|<IPv6 address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-65535|RPC|RPC-EPMap|any,.remoteport=0-65535|any,.protocol=0-255|icmpv4|icmpv6|icmpv4:typ

19、e,code|icmpv6:type,code|tcp|udp|anyinterfacetype=wireless|lan|ras|anyrmtcomputergrp=<SDDL string>rmtusrgrp=<SDDL string>edge=yes|deferapp|deferuser|no (default=no)security=authenticate|authenc|authdynenc|notrequired备注:- 为已识别的规则设置新的参数值。如果规则不存在,则该命令失败。若要创建规则,请使用添加命令。- 会更新规则中 new 关键字后的值。如果没

20、有值,或缺少关键字 new,则没有任何更改。- 一组规则只能被启用或禁用。- 如果多个规则与条件匹配,则会更新所有匹配规则。- 规则名称应该是唯一的,并且不能是 "all"。- 如果指定远程计算机或用户组,security 必须为 authenticate、authenc 或 authdynenc。- 为 authdynenc 设置安全性可允许系统动态协商为匹配给定 Windows 防火墙规则的通信使用加密。根据现有连接安全规则属性协商加密。选择此选项后,只要入站 IPSec 连接已设置安全保护,但未使用 IPSec 进行加密,计算机就能够接收该入站连接的第一个 TCP或

21、UDP 包。一旦处理了第一个数据包,服务器将重新协商连接并对其进行升级,以便所有后续通信都完全加密。- Authdynenc 仅当 dir=in 时有效。- 如果 action=bypass,则当 dir=in 时必须指定远程计算机组。- 如果 service=any,则规则只适用于服务。- ICMP 类型或代码可以是 "any"。- 只能为入站规则指定边缘。示例:根据名称为 "allow80" 的规则更改远程 IP 地址:netsh advfirewall firewall set rule name="allow80" new启用

22、带有分组字符串 "Remote Desktop" 的组:netsh advfirewall firewall set rule group="remote desktop" newenable=yes为 udp- 更改规则 "Allow port range" 上的本地端口Set rule name="Allow port range" dir=out protocol=udp localport=5000-5020action=allow 6.【删除防火墙规则】  删除防火墙规则则(匹配名称为

23、"tcp1433" 协议为TCP 远程端口为1433的规则)netsh advfirewall firewall delete rule dir=in name="tcp1433" remoteport=1433 protocol=tcpC:WindowsSystem32>netsh advfirewall firewall delete rule /?用法: delete rule name=<string>dir=in|outprofile=public|private|domain|any,.program=<program path>service=<service short name>|anylocalip=any|<IPv4 address>|<IPv6 add

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论