Я пытаюсь настроить брандмауэр Windows Server 2008 R2, чтобы он блокировал весь трафик, кроме трафика, исходящего с IP-адресов США. Текущая политика брандмауэра для входящего трафика настроена следующим образом:
Поэтому мне нужно добавить логику над логикой разрешения. Я прочитал документацию Microsoft по адресу: http://technet.microsoft.com/en-us/library/ff602923 и увидел, что правила блокировки применяются раньше разрешающих правил - так что, как я вижу, у меня есть несколько вариантов:
Я бы предпочел третий вариант, так как он должен привести к меньшему набору правил. Однако меня беспокоит то, что если я создам правило по умолчанию «принимать все из США», оно переопределит действия блокировки по умолчанию и позволит пользователям в США попадать во входящие сообщения, которые ранее были заблокированы действием по умолчанию.
Итак - кто-нибудь раньше настраивал что-то подобное? Если да, то какой маршрут вы выбрали?
Изменить: я знаю, что могу перейти к каждому разрешающему правилу и ограничить каждое из них списком IP-адресов США. Предположим, я не хочу этого делать, потому что это вызывает гораздо большую головную боль.
Я думаю, что вам нужно серьезно переоценить то, что вы пытаетесь сделать, если вас беспокоит, в каком порядке находятся ваши правила брандмауэра. Это станет полным логистическим кошмаром. Исходя из того, что вы наметили, вариант 3 действительно кажется лучшим.