Брандмауэр Windows Server 2008: переопределяют ли входящие правила исходящие правила?
- У меня во входящем правиле разрешено все общение с MyApp.exe
- У меня есть исходящее правило, чтобы заблокировать весь трафик до 192.168.0.88
Может ли MyApp.exe взаимодействовать с 192.168.0.88 - я не понимаю, какое правило имеет приоритет.
3 ответа
Я поясню свой ответ следующим образом: я не работал с брандмауэром Windows 2008, и они могут делать что-то нестандартное. Это означает, что каждый брандмауэр, с которым я работал, зависит от того, используете ли вы для связи протокол TCP или UDP.
Если вы используете TCP, то да, трафик должен быть разрешен, правила применяются к НОВЫМ соединениям, поэтому, если у вас было входящее TCP-соединение с 192.168.0.88, оно было бы разрешено входящим правилом. Так как TCP находится в состоянии с состоянием, сеанс TCP затем отслеживается внутри брандмауэра, и весь обратный трафик для этого сеанса разрешается обратно исходящему.
Если вы используете UDP, то ответ - нет. Поскольку UDP не имеет состояния, брандмауэр не может отследить сеанс, поскольку его нет, и вам необходимо разрешить этот трафик в обоих направлениях через брандмауэр, поскольку каждая сторона диалога рассматривается как НОВОЕ соединение в брандмауэре.
Обычно правила брандмауэра имеют порядок обработки - как сверху вниз.
Тогда будет использовано первое правило, соответствующее трафику. Таким образом, если перед правилом запрета есть правило разрешения - правило разрешения должно иметь приоритет.
Входящие и исходящие правила являются взаимоисключающими. Если у вас есть правило, разрешающее входящий доступ через порт, но не разрешающее исходящий через тот же порт, соединение будет установлено, а затем, что касается клиента, никогда больше не будет рассматриваться.
Я смущен вашим "правилом входящего трафика", потому что правила входящего трафика назначаются портам и IP-адресам, а не приложениям...
Похоже, это программный брандмауэр, так что я думаю, что ваш вопрос лучше всего решить с суперпользователем.