Назад | Перейти на главную страницу

Разрешить только трафик США (Server 2008 R2)

Я пытаюсь настроить брандмауэр Windows Server 2008 R2, чтобы он блокировал весь трафик, кроме трафика, исходящего с IP-адресов США. Текущая политика брандмауэра для входящего трафика настроена следующим образом:

Поэтому мне нужно добавить логику над логикой разрешения. Я прочитал документацию Microsoft по адресу: http://technet.microsoft.com/en-us/library/ff602923 и увидел, что правила блокировки применяются раньше разрешающих правил - так что, как я вижу, у меня есть несколько вариантов:

  1. Создайте одно правило массивной блокировки, которое блокирует все IP-адреса за пределами США
  2. Создайте правило блокировки для каждой страны / континента / ... со всеми IP-адресами для этого региона (в основном то же, что и вариант 1, просто создавая больше правил для упрощения управления).
  3. Создайте одно правило массового принятия, которое разрешает только IP-адреса США

Я бы предпочел третий вариант, так как он должен привести к меньшему набору правил. Однако меня беспокоит то, что если я создам правило по умолчанию «принимать все из США», оно переопределит действия блокировки по умолчанию и позволит пользователям в США попадать во входящие сообщения, которые ранее были заблокированы действием по умолчанию.

Итак - кто-нибудь раньше настраивал что-то подобное? Если да, то какой маршрут вы выбрали?


Изменить: я знаю, что могу перейти к каждому разрешающему правилу и ограничить каждое из них списком IP-адресов США. Предположим, я не хочу этого делать, потому что это вызывает гораздо большую головную боль.

Я думаю, что вам нужно серьезно переоценить то, что вы пытаетесь сделать, если вас беспокоит, в каком порядке находятся ваши правила брандмауэра. Это станет полным логистическим кошмаром. Исходя из того, что вы наметили, вариант 3 действительно кажется лучшим.