Windows 防火牆設定:阻擋指定 IP 以外的電腦連入


筆記一下,最近研究怎麼設定 Windows 內建的防火牆(現在叫做「具有進階安全性的 Windows Defender 防火牆」 XD),讓他可以把所有外部進來的連線都擋掉,只允許自己信任的 IP 可以進來。

如果使用功能比較強大的第三方防火牆(Heresy 這邊之前比較常用 Comodo、官網),其實大多都有相對方便的方法,可以設定這樣的條件;一般都是設定把連入全擋掉,然後把信任的 IP 設成排外條件就可以了。

但是,Windows Firewall 在建立規則的時候,並沒有「例外條件」的功能可以設定,而根據官方的文件,防火牆內部的處理順序,又是先處理封鎖、再處理允許(參考);所以要滿足這邊的需求,也不能靠兩個條件的組合來達成。

稍微研究了一下,看來要達成這個目標,最簡單的方法,應該是使用一般的防火牆規則,再搭配「連線安全性規則」(IPSec)了。

這個方法在 Windows 10 或是 Windows Server 2019 上看來都是可以使用的。

目前設定的方法:

  1. 開啟「具有進階安全性的 Windows Defender 防火牆」(建議用搜尋的)

  2. 選取左邊的「輸入規則」,然後點選右邊的「新增規格」

  3. 在新增規則這邊,首先是把規則類型改成「自訂」

  4. 然後一直按下一步,到「動作」這邊,選擇「僅允許安全連線」

  5. 之後就一路下一步完成,只有最後要輸入名稱。
    (這邊是取名成「BlockAll」)

  6. 再來則是點選左邊的「連線安全規則」,然後再點選右邊的「新增規則」。

  7. 在「新增規則」裡面,首先是把「規則類型」改成「豁免驗證」。

  8. 之後,則是在下一步的電腦列表裡面,點選「新增」,把要允許連線的 IP 加入。

  9. 繼續下一步,設定名稱後完成規則的新增

理論上,這樣應該就可以只讓自己允許的 IP 連進來,其他的都擋掉了。
至於有沒有其他更好的設定方法…可能要再研究看看了。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.