windows-server-2008 – Windows高级防火墙 – 添加授权计算机中断规则

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – Windows高级防火墙 – 添加授权计算机中断规则前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
如何在另外工作的IPSec规则中添加“仅允许连接到这些计算机”设置中断连接?

背景:

我正在设置一组基本的客户端规则,限制出站SMB访问只能访问某些服务器.假设从黑名单开始并需要将所需的通信列入白名单.

服务器端已设置并正常运行,没有任何问题.使用旧版IPSec接口服务器端和Windows高级防火墙客户端配置设置.

第一次身份验证设置为Kerberos(计算机)或计算机证书.双方都使用“请求入站和出站”作为其身份验证模式.

双方都使用’request ipsec’模型,因为可能有非IPSec流量传递给其他设备.

客户端上的Windows高级防火墙规则完全正常运行,直到我定义“仅允许连接到这些计算机”选项.

wireshark捕获显示ISAKMP和ESP流量,我在安全关联列表中看到主模式和快速模式关联.

编辑:

根据MS文档,我已启用以下日志记录来调试我的连接问题.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

这仅表示给定的服务 – 我尝试了SMB和RDP – 被阻止.我没有看到任何其他阻塞的流量.

编辑:

当我启用SMB或RDP规则时,看起来绝对没有流量传递到相关服务器. Wireshark什么都没显示.看起来像几年前有一个这样的情况here但没有解决方案.

Windows过滤平台似乎在应该允许时错误地阻止此流量.

The Windows Filtering Platform has blocked a connection.

Application Information:
Process ID:     2468
Application Name:   \device\harddiskvolume1\windows\system32\mstsc.exe

Network Information:
Direction:      Outbound
Source Address:     192.168.20.54
Source Port:        49332
Destination Address:    192.168.100.50
Destination Port:       3389
Protocol:       6
只是为您提出一些建议/问题(我在我的环境中使用相同类型的规则配置,所以我很想知道为什么它不起作用)…

1)您提到客户端正在使用具有高级安全IPsec策略的Windows防火墙,但服务器端正在使用旧版IPsec.服务器是否运行旧版本的Windows或传统IPsec策略配置的原因是什么?我不是说这不应该工作(因为你试图做机器验证,而不是用户身份验证),但它可能会使事情变得复杂.服务器是否也可以配置高级安全策略?您是否可以尝试使用具有高级策略和Kerberos v5计算机身份验证的服务器来查看会发生什么?

2)为了使您的方案工作,IPsec连接必须使用Kerberos V5身份验证(证书身份验证将无效!).您提到您的策略可能允许证书连接,因此您可能希望检查主模式安全关联,并确保它们确实是使用Kerberos而不是cert建立的.

3)在防火墙规则上配置“仅允许连接到这些计算机”设置有几种不同的方法.默认情况下,需要对您的IPsec连接进行身份验证并保护其完整性…而其他设置允许您确保它也是加密的或者是空封装(仅经过身份验证,不受完整性保护).如果您的客户端/服务器是Windows 7,那么您可能需要尝试使用null封装选项来查看是否有助于缩小问题范围.

4)我通常建议从WFP捕获的日志(netsh wfp capture start)调试防火墙丢弃的流量,因为这会显示丢失流量的确切过滤器.在这种情况下,日志可能不会非常有趣,因为它可能是默认的出站块过滤器阻止您的连接,因为您不符合安全允许规则(由于某种原因).日志将显示正在删除的连接,但不会解释您为什么不符合允许规则.也许它值得一试…… http://technet.microsoft.com/en-us/library/ff428146(v=ws.10).aspx

猜你在找的Windows相关文章