У меня есть одно правило, открывающее порт FTP для всех подключений.
У меня есть второе правило, которое блокирует ВСЕ соединения по ВСЕМ протоколам для некоторых IP-адресов.
Однако соединения с этих заблокированных IP-адресов могут по-прежнему подключаться к FTP-порту, потому что это правило, очевидно, имеет приоритет.
Как я могу заставить это работать, потому что я не вижу, как настроить порядок правил в брандмауэре Windows.
Правила четко и недвусмысленно указаны на Technet:
Правила брандмауэра применяются со следующим приоритетом:
- Разрешить этому правилу брандмауэра отменять правила блокировки
- Блокировать соединение
- Разрешить подключение
- Поведение профиля по умолчанию (разрешить или заблокировать подключение, как указано на вкладке «Профиль» в диалоговом окне «Брандмауэр Windows с дополнительными свойствами безопасности»)
Microsoft на протяжении многих лет обеспечивала безопасность (будь то списки управления доступом к файлам или брандмауэр), где более конкретные правила переопределяют менее конкретные правила - вместо приоритезации - поэтому было бы разумно ожидать, что брандмауэр будет таким же - для файловых списков управления доступом нет приоритезации - логика хорошо объяснено в Resource Kit - я помню, как видел логику упорядочивания и логики, объясняющую, почему это работает лучше, чем приоритезация правил в одном из старых наборов ресурсов (не уверен, какая версия Windows).
Одна из проблем брандмауэров с правилами приоритезации заключается в том, что я могу случайно поставить allow all на более высокий приоритет и нарушить всю цепочку правил. То же самое могло бы произойти и здесь, но это было бы немного менее вероятно, ИМХО.
В Solaris более конкретные списки ACL для файлов имеют приоритет над менее конкретными, на практике это означает, что пользователь разрешает ACE отменяет групповое запрещение ACE.
В списках управления доступом к файлам Windows запретить ACE ВСЕГДА ВЫИГРАТЬ.
Запретить ACE довольно необычно - распространенной практикой является разрешение доступа к группам и включение пользователей в группы, у которых есть необходимый доступ. Не существует группы «Пользователи, которые не могут Vogue», вы просто не делаете их членами группы «Пользователи, которые могут использовать Vogue», а затем предоставляете этой группе разрешение на «Песни 80-х». Если в этой группе есть почти все, пусть будет так. Находиться в большом количестве групп в Windows не проблема, я думаю, что это специально оптимизированный корпус. (Некоторые unixes ограничивают вас 32).
На практике записи DENY ACE в основном используются в Exchange, чтобы запретить администраторам читать почтовые ящики других людей.