Remove From My Forums

Windows Server 2016 Datacenter：防火墙设置，阻止所有传入链接，包括位于允许应用列表的应用

问题
0

登录进行投票

【背景描述】：期望设置某台服务器（静态IP：10.10.10.9）仅限某个堡垒机的IP（10.10.15.11/12）才能远程桌面（假设远程端口是默认3389，未修改），防火墙设置，如下图所示：如何设置？

【设置步骤】：

1、设置例外IP：

在10.10.10.9 这台服务器的远程桌面服务属性，“远程IP地址”，下列IP地址里面，添加：10.10.15.11/12？

疑问：“本地IP地址” 是做什么用的？什么场景才会用到？

2、开启防火墙：

2.1、域网络设置：“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

疑问：“阻止所有传入链接，包括位于允许应用列表中的应用” 是什么场景使用？

2.2专用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.3、公用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”

勾选”WIndows防火墙阻止新应用时应通知我“

2021年5月6日 12:27

回复

|

引用

答案

0

登录进行投票
Hi,

1、设置例外IP：

在10.10.10.9 这台服务器的远程桌面服务属性，“远程IP地址”，下列IP地址里面，添加：10.10.15.11/12？

一张网卡，“本地IP地址”选择“任何IP地址”

对的，设置没有问题。如果要仅允许特定IP地址连接到3389，就需要在远程IP地址里面添加对应的IP。

2、开启防火墙：

2.1、域网络设置：“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.2专用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.3、公用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”

勾选”WIndows防火墙阻止新应用时应通知我“

比如说需要连接到不安全的公共wifi场景或者是发现计算机正在收到主动攻击的时候，通常管理员需要启用这个选项来临时提高安全性，减轻损害。也就是说当需要额外的安全性来抵御外部攻击的时候，就可以勾选这个选项，平时可以不需要勾选。

关于windows防火墙的最佳配置，可以参考以下的微软官方链接：

Best practices for configuring Windows Defender Firewall

如果回复对您有所帮助的话，请您把回复标记为答复，这将鼓励那些帮助您的人。

感谢您的理解。

此致

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
- 已标记为答案 super.ma 2021年5月12日 1:10
2021年5月11日 1:48

回复

|

引用

版主

全部回复

0

登录进行投票
Hi ,

1.疑问：“本地IP地址” 是做什么用的？什么场景才会用到？

远程IP里面是source IP, 而本地IP里面是destination/target IP。本地IP通常是本地有多张网卡的时候会用到，比如说主机有两张网卡192.168.1.1以及10.10.10.10，如果当前本地IP地址里面只指定192.168.1.1，那么仅当传入流量的target是192.168.1.1的时候，此防火墙规则才能生效。

2.疑问：“阻止所有传入链接，包括位于允许应用列表中的应用” 是什么场景使用？

通常是在需要连接不安全的公共WiFi场景时需要勾选这个选项。连接不安全的公共WIFI的时候，可能会有恶意软件通过连接访问计算机。一般公用网络会建议启用。使用此设置，Windows 防火墙在阻止程序时不会通知您，并且将会忽略允许的程序列表中的程序。

如果回复对您有所帮助的话，请您把回复标记为答复，方便论坛中其他有相同问题的用户快速找到有帮助的回复。

此致

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
- 已建议为答案 Candy LuoMicrosoft contingent staff, Moderator 2021年5月10日 1:28
2021年5月7日 2:32

回复

|

引用

版主
0

登录进行投票

Hi ,

请问目前帖子是否需要进行更进？如果有任何疑问，请随时在贴下进行更新。如果当前没有其他疑问了，请您把有帮助的回复标记为答复，我们将暂停对此贴的追踪。

感谢您的理解。

此致

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

2021年5月10日 1:28

回复

|

引用

版主
0

登录进行投票

Hi ,

请问目前帖子是否需要进行更进？如果有任何疑问，请随时在贴下进行更新。如果当前没有其他疑问了，请您把有帮助的回复标记为答复，我们将暂停对此贴的追踪。

感谢您的理解。

此致

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

【背景描述】：期望设置某台服务器（静态IP：10.10.10.9）仅限某个堡垒机的IP（10.10.15.11/12）才能远程桌面（假设远程端口是默认3389，未修改），防火墙设置，如下图所示：如何设置？

以下是推荐设置？

1、设置例外IP：

在10.10.10.9 这台服务器的远程桌面服务属性，“远程IP地址”，下列IP地址里面，添加：10.10.15.11/12？

一张网卡，“本地IP地址”选择“任何IP地址”

2、开启防火墙：

2.1、域网络设置：“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.2专用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.3、公用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”

勾选”WIndows防火墙阻止新应用时应通知我“

2021年5月10日 15:56

回复

|

引用
0

登录进行投票
Hi,

1、设置例外IP：

在10.10.10.9 这台服务器的远程桌面服务属性，“远程IP地址”，下列IP地址里面，添加：10.10.15.11/12？

一张网卡，“本地IP地址”选择“任何IP地址”

对的，设置没有问题。如果要仅允许特定IP地址连接到3389，就需要在远程IP地址里面添加对应的IP。

2、开启防火墙：

2.1、域网络设置：“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.2专用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”“

2.3、公用网络设置，“启用”Windows防火墙“，不勾选：”“阻止所有传入链接，包括位于允许应用列表中的应用”

勾选”WIndows防火墙阻止新应用时应通知我“

比如说需要连接到不安全的公共wifi场景或者是发现计算机正在收到主动攻击的时候，通常管理员需要启用这个选项来临时提高安全性，减轻损害。也就是说当需要额外的安全性来抵御外部攻击的时候，就可以勾选这个选项，平时可以不需要勾选。

关于windows防火墙的最佳配置，可以参考以下的微软官方链接：

Best practices for configuring Windows Defender Firewall

如果回复对您有所帮助的话，请您把回复标记为答复，这将鼓励那些帮助您的人。

感谢您的理解。

此致

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
- 已标记为答案 super.ma 2021年5月12日 1:10
2021年5月11日 1:48

回复

|

引用

版主

积极答复者

Windows Server 2016 Datacenter：防火墙设置，阻止所有传入链接，包括位于允许应用列表的应用

问题

答案

全部回复