Windows系統(tǒng)防火墻命令行配置指南_第1頁
Windows系統(tǒng)防火墻命令行配置指南_第2頁
Windows系統(tǒng)防火墻命令行配置指南_第3頁
Windows系統(tǒng)防火墻命令行配置指南_第4頁
Windows系統(tǒng)防火墻命令行配置指南_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、一.   windows系統(tǒng)防火墻命令行管理規(guī)范1. 【開啟/關(guān)閉防火墻(規(guī)則)】  在公用配置文件中設(shè)置防火墻屬性(開啟/關(guān)閉防火墻)netsh advfirewall set publicprofile state onnetsh advfirewall set publicprofile state off 在域配置文件中設(shè)置防火墻屬性(開啟/關(guān)閉防火墻)netsh advfirewall set domainprofile state onnetsh advfirewall set domainprofile state off 在專用配置文件中設(shè)置防火墻

2、屬性(開啟/關(guān)閉防火墻)netsh advfirewall set privateprofile state onnetsh advfirewall set privateprofile state off 在當前活動的配置文件中設(shè)置防火墻屬性(開啟/關(guān)閉防火墻)netsh advfirewall set currentprofile state onnetsh advfirewall set currentprofile state off 在所有配置文件中設(shè)置防火墻屬性(開啟/關(guān)閉防火墻)netsh advfirewall set allprofile state onnetsh advf

3、irewall set allprofile state off 2.【開啟/關(guān)閉防火墻服務(wù)】  開啟/關(guān)閉防火墻服務(wù)(關(guān)閉防火墻服務(wù)會導(dǎo)致入站訪問被拒絕)net start MpsSvcnet stop MpsSvc 3. 【查看防火墻規(guī)則】  列出防火墻入站規(guī)則(列出所有動態(tài)入站規(guī)則)netsh advfirewall firewall show rule name=all dir=in type=dynamicC:Windowssystem32>netsh advfirewall firewall show /?下列指令有效:此上下文中的命令

4、:show rule - 顯示指定的防火墻規(guī)則。C:Windowssystem32>netsh advfirewall firewall show rule /?用法: show rule name=<string>profile=public|private|domain|any,.type=static|dynamicverbose備注:- 顯示所有按名稱指定的匹配規(guī)則,也可按配置文件和類型指定規(guī)則。如果指定 verbose,則顯示所有匹配規(guī)則。示例:顯示所有動態(tài)入站規(guī)則:netsh advfirewall firewall show rule name=all dir=

5、in type=dynamic顯示名為 "allow browser" 的所有入站規(guī)則的所有設(shè)置:netsh advfirewall firewall show rule name="allow browser" verbose 4. 【添加防火墻規(guī)則】  添加防火墻入站規(guī)則(允許入站TCP1433規(guī)則示例)netsh advfirewall firewall add rule name=tcp1433 dir=in action=allow description="this is readme text" en

6、able=yes profile=public remoteip=5 localport=1433 protocol=tcp C:WindowsSystem32>netsh advfirewall firewall add rule /?用法: add rule name=<string>dir=in|outaction=allow|block|bypassprogram=<program path>service=<service short name>|anydescription=<string>enable=

7、yes|no (default=yes)profile=public|private|domain|any,.localip=any|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-6

8、5535|<port range>,.|RPC|RPC-EPMap|IPHTTPS|any (default=any)remoteport=0-65535|<port range>,.|any (default=any)protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|tcp|udp|any (default=any)interfacetype=wireless|lan|ras|anyrmtcomputergrp=<SDDL string>rmtusrgrp=<SDDL str

9、ing>edge=yes|deferapp|deferuser|no (default=no)security=authenticate|authenc|authdynenc|authnoencap|notrequired(default=notrequired)備注:- 將新的入站或出站規(guī)則添加到防火墻策略。- 規(guī)則名稱應(yīng)該是唯一的,且不能為 "all"。- 如果已指定遠程計算機或用戶組,則 security 必須為authenticate、authenc、authdynenc 或 authnoencap。- 為 authdynenc 設(shè)置安全性可允許系統(tǒng)動態(tài)協(xié)商為

10、匹配給定 Windows 防火墻規(guī)則的通信使用加密。根據(jù)現(xiàn)有連接安全規(guī)則屬性協(xié)商加密。選擇此選項后,只要入站 IPSec 連接已設(shè)置安全保護,但未使用 IPSec 進行加密,計算機就能夠接收該入站連接的第一個 TCP 或UDP 包。一旦處理了第一個數(shù)據(jù)包,服務(wù)器將重新協(xié)商連接并對其進行升級,以便所有后續(xù)通信都完全加密。- 如果 action=bypass,則 dir=in 時必須指定遠程計算機組。- 如果 service=any,則規(guī)則僅應(yīng)用到服務(wù)。- ICMP 類型或代碼可以為 "any"。- Edge 只能為入站規(guī)則指定。- AuthEnc 和 authnoencap

11、不能同時使用。- Authdynenc 僅當 dir=in 時有效。- 設(shè)置 authnoencap 后,security=authenticate 選項就變成可選參數(shù)。示例:為不具有封裝的 messenger.exe 添加入站規(guī)則:netsh advfirewall firewall add rule name="allow messenger"dir=in program="c:programfilesmessengermsmsgs.exe"security=authnoencap action=allow為端口 80 添加出站規(guī)則:netsh ad

12、vfirewall firewall add rule name="allow80"protocol=TCP dir=out localport=80 action=block為 TCP 端口 80 通信添加需要安全和加密的入站規(guī)則:netsh advfirewall firewall add rulename="Require Encryption for Inbound TCP/80"protocol=TCP dir=in localport=80 security=authdynencaction=allow為 messenger.exe 添加需要

13、安全的入站規(guī)則:netsh advfirewall firewall add rule name="allow messenger"dir=in program="c:program filesmessengermsmsgs.exe"security=authenticate action=allow為 SDDL 字符串標識的組 acmedomainscanners 添加經(jīng)過身份驗證的防火墻跳過規(guī)則:netsh advfirewall firewall add rule name="allow scanners"dir=in rmtc

14、omputergrp=<SDDL string> action=bypasssecurity=authenticate為 udp- 的本地端口 5000-5010 添加出站允許規(guī)則Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010action=allow 5.【修改防火墻規(guī)則】  修改防火墻入站規(guī)則(修改入站規(guī)則tcp1433名稱)netsh advfirewall firewall set rule name="tcp1433"

15、; dir=in new name="tcp_port1433"C:Windowssystem32>netsh advfirewall firewall set rule /?用法: set rulegroup=<string> | name=<string>dir=in|outprofile=public|private|domain|any,.program=<program path>service=service short name|anylocalip=any|<IPv4 address>|<IPv6

16、address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-65535|<port range>,.|RPC|RPC-EPMap|IPHTTPS|anyremoteport=0-65535|<port range>,.|anypro

17、tocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|tcp|udp|anynewname=<string>dir=in|outprogram=<program path>service=<service short name>|anyaction=allow|block|bypassdescription=<string>enable=yes|noprofile=public|private|domain|any,.localip=any|<IPv4 address>

18、|<IPv6 address>|<subnet>|<range>|<list>remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>localport=0-65535|RPC|RPC-EPMap|any,.remoteport=0-65535|any,.protocol=0-255|icmpv4|icmpv6|icmpv4:typ

19、e,code|icmpv6:type,code|tcp|udp|anyinterfacetype=wireless|lan|ras|anyrmtcomputergrp=<SDDL string>rmtusrgrp=<SDDL string>edge=yes|deferapp|deferuser|no (default=no)security=authenticate|authenc|authdynenc|notrequired備注:- 為已識別的規(guī)則設(shè)置新的參數(shù)值。如果規(guī)則不存在,則該命令失敗。若要創(chuàng)建規(guī)則,請使用添加命令。- 會更新規(guī)則中 new 關(guān)鍵字后的值。如果沒

20、有值,或缺少關(guān)鍵字 new,則沒有任何更改。- 一組規(guī)則只能被啟用或禁用。- 如果多個規(guī)則與條件匹配,則會更新所有匹配規(guī)則。- 規(guī)則名稱應(yīng)該是唯一的,并且不能是 "all"。- 如果指定遠程計算機或用戶組,security 必須為 authenticate、authenc 或 authdynenc。- 為 authdynenc 設(shè)置安全性可允許系統(tǒng)動態(tài)協(xié)商為匹配給定 Windows 防火墻規(guī)則的通信使用加密。根據(jù)現(xiàn)有連接安全規(guī)則屬性協(xié)商加密。選擇此選項后,只要入站 IPSec 連接已設(shè)置安全保護,但未使用 IPSec 進行加密,計算機就能夠接收該入站連接的第一個 TCP或

21、UDP 包。一旦處理了第一個數(shù)據(jù)包,服務(wù)器將重新協(xié)商連接并對其進行升級,以便所有后續(xù)通信都完全加密。- Authdynenc 僅當 dir=in 時有效。- 如果 action=bypass,則當 dir=in 時必須指定遠程計算機組。- 如果 service=any,則規(guī)則只適用于服務(wù)。- ICMP 類型或代碼可以是 "any"。- 只能為入站規(guī)則指定邊緣。示例:根據(jù)名稱為 "allow80" 的規(guī)則更改遠程 IP 地址:netsh advfirewall firewall set rule name="allow80" new啟用

22、帶有分組字符串 "Remote Desktop" 的組:netsh advfirewall firewall set rule group="remote desktop" newenable=yes為 udp- 更改規(guī)則 "Allow port range" 上的本地端口Set rule name="Allow port range" dir=out protocol=udp localport=5000-5020action=allow 6.【刪除防火墻規(guī)則】  刪除防火墻規(guī)則則(匹配名稱為

23、"tcp1433" 協(xié)議為TCP 遠程端口為1433的規(guī)則)netsh advfirewall firewall delete rule dir=in name="tcp1433" remoteport=1433 protocol=tcpC:WindowsSystem32>netsh advfirewall firewall delete rule /?用法: delete rule name=<string>dir=in|outprofile=public|private|domain|any,.program=<program path>service=<service short name>|anylocalip=any|<IPv4 address>|<IPv6 add

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論