windows防火牆設置

1.背景：前置機時常出現病毒攻擊，嚴重影響業務的正常進行。現采取防火牆限制訪問的方式配合殺毒軟件的方式進行處理，限制所有的外部訪問，僅開啟部分業務訪問。
2.實現
本次防火牆配置，僅僅開啟了咱們agent業務需求的四個端口，包括spi、zabbix監控以及openvpn服務端的連接和遠程桌面、teamviewer連接的端口，在滿足業務需求的前提下盡可能滿足安全性，保障業務的正常進行。在提供的策略中默認包含以上應用以及端口，只需根據需求打開防火牆，導入策略即可，既方便又便於維護。
3.步驟
（1）控制面板中打開防火牆，開啟防火牆。

 

 

注：一般未進行特殊配置，此處可能會出現斷網，為正常現象。
（2）點擊高級設置，進入高級安全windows防火牆。點擊左上角“本地計算機上的高級安全windows防火牆”，右擊屬性進行配置。

 

 

 

 

 

（3）此處有域配置文件，專用配置文件和公用配置文件。建議將三個配置文件配成一致，如下圖所示。將防火牆狀態設置成啟用，出入站連接均設置為阻止，原因為windows防火牆的出入站規則默認優先級為拒絕高於允許，若此處連接狀態設置為允許，到出入站規則中進行拒絕配置會導致我們所有的允許配置不生效。點擊如圖中指定用於疑難解答的日志設置，將記錄被丟棄的數據包和記錄成功的鏈接設置為是，此選項作用在於生成我們的操作日志，幫助我們排查問題。

 

 

 

 

 

（4）清空入站規則。一般會有較多入站規則，此處我們點擊入站規則，ctrl+A全選禁用或者刪除。

 

 

 

 

 

（5）清空出站規則。步驟與清空入站規則相同。

 

 

（6）導入防火牆策略。點擊“本地計算機上的高級安全window防火牆”，右鍵點擊導入策略，選擇我們相應提供的防火牆策略即可。

 

 

 

 

 

（7）配置teamview策略，提供策略中未存在該策略，如有需要則參考此處。teamview遠程原理大致為客戶端先通過網絡連接服務端，從而讓其他客戶端連接時辨別其狀態，因此只需要配置出站規則即可。teamviewer連接需要用到53（dns端口）和5938（連接端口），因此加上這兩個端口即可。

 

 

 

 

 

（8）修改遠程桌面端口號。（若使用默認端口號則忽略此步驟）部份醫院因為安全原因修改了遠程桌面默認端口號3389，遠程桌面登錄時需要輸入ip:端口號進行登錄。此處我們導入的策略中對於遠程桌面的端口號設置為默認端口3389，有需要則點擊“入站規則”中allowRemoteConnect遠程桌面連接設置，點擊屬性中的協議和端口，此處只需要將默認3389改為醫院需要的端口號即可，如12345。但此時使用ip:12345 無法正常進行遠程，因為我還應當修改系統注冊表的遠程端口號。
#ctrl+R，輸入regedit進行windows注冊表界面。依次開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”分支，其下的“PortNumber”鍵值所對應的就是端口號，將其修改即可。上面設置完成后，需要再依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”分支，同樣將其下的“PortNumber”鍵值進行更改。將兩處的portnumber改為醫院所需端口，例如，12345。ctrl+R，輸入services.msc，進行服務界面，找到Remote Desktop Configuration，點擊重啟即可。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

（9）一般有兩種情況：
1.agent和中間庫在一台機器，體檢庫在另一台。
2.agent在一台機器，中間庫和體檢庫在一台機器。

我們這次的策略做的是中間庫和體檢庫在一台機器，開放了遠程中間庫的1433數據庫端口，要是agent和中間庫在一台機器上，就把遠程中間庫的1433端口改成本地的，然后加一條中間庫機器和體檢庫機器的連通防火牆規則就好。

4.問題總結
（1）防火牆出站規則配置禁止所有的外部訪問並啟用規則后，開啟我們所需的ip端口訪問，無法進行正常訪問。
解決方法：原因為設置的拒絕訪問的自定義規則高於允許的規則。將所有進站出站規則禁用，增加我們所需的自定義規則。將防火牆默認出入站設置都為阻止。
（2）https 使用ip無法正常訪問。
解決方法：https存在域名校驗因此使用ip無法正常訪問。在hosts文件中綁定域名，使用域名訪問。
（3）一旦防火牆開啟，agent無法正常連接spi。
解決方法：配置文件端口tomcat端口不一致，導致服務無法啟動。
（4）網頁輸入spi.mytijian.com以及線上ws服務端鏈接均能正常訪問，但開啟agent端后日志一直報錯，perssion deny拒絕連接等字樣。
在防火牆屬性中配置日志可見，通過觀察日志中相應80,443端口的訪問發現訪問的ip均為ipv6樣式，而防火牆中配置的ip均為ipv4樣式。將防火牆中相應出站規則中ip由ipv4樣式改為ipv6即可。

 

 

 

 

 

————————————————
原文鏈接：https://blog.csdn.net/qq_33633013/java/article/details/81912721