Windows系统防火墙
一. windows系统防火墙命令行管理规范
1. 【开启/关闭防火墙(规则)】
● 在公用配置文件中设置防火墙属性(开启/关闭防火墙)
netsh advfirewall set publicprofile state on
netsh advfirewall set publicprofile state off
● 在域配置文件中设置防火墙属性(开启/关闭防火墙)
netsh advfirewall set domainprofile state on
netsh advfirewall set domainprofile state off
● 在专用配置文件中设置防火墙属性(开启/关闭防火墙)
netsh advfirewall set privateprofile state on
netsh advfirewall set privateprofile state off
● 在当前活动的配置文件中设置防火墙属性(开启/关闭防火墙) netsh advfirewall set currentprofile state on
netsh advfirewall set currentprofile state off
● 在所有配置文件中设置防火墙属性(开启/关闭防火墙)
netsh advfirewall set allprofile state on
netsh advfirewall set allprofile state off
2.【开启/关闭防火墙服务】
● 开启/关闭防火墙服务(关闭防火墙服务会导致入站访问被拒绝) net start MpsSvc
net stop MpsSvc
3. 【查看防火墙规则】
netsh advfirewall firewall show rule name=all dir=in type=dynamic C:\Windows\system32>netsh advfirewall firewall show /?
下列指令有效:
此上下文中的命令:
show rule - 显示指定的防火墙规则。
C:\Windows\system32>netsh advfirewall firewall show rule /?
用法: show rule name=
[profile=public|private|domain|any[,...]]
[type=static|dynamic]
[verbose]
备注:
- 显示所有按名称指定的匹配规则,
也可按配置文件和类型指定规则。如果指定 verbose,则显示所有
匹配规则。
示例:
显示所有动态入站规则:
netsh advfirewall firewall show rule name=all dir=in type=dynamic 显示名为 "allow browser" 的所有入站规则的
所有设置:
netsh advfirewall firewall show rule name="allow browser" verbose 4. 【添加防火墙规则】
netsh advfirewall firewall add rule name=tcp1433 dir=in action=allow description="this is readme text" enable=yes profile=public remoteip=61.151.239.15 localport=1433 protocol=tcp
C:\Windows\System32>netsh advfirewall firewall add rule /?
用法: add rule name=
dir=in|out
action=allow|block|bypass
[program=]
[service=|any]
[description=]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...]]
[localip=any|||||]
[remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
||||]
[localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any (default=any)]
[remoteport=0-65535|[,...]|any (default=any)]
[protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (default=any)]
[interfacetype=wireless|lan|ras|any]
[rmtcomputergrp=]
[rmtusrgrp=]
[edge=yes|deferapp|deferuser|no (default=no)]
[security=authenticate|authenc|authdynenc|authnoencap|notrequired
(default=notrequired)]
备注:
- 将新的入站或出站规则添加到防火墙策略。
- 规则名称应该是唯一的,且不能为 "all"。
- 如果已指定远程计算机或用户组,则 security 必须为
authenticate、authenc、authdynenc 或 authnoencap。
- 为 authdynenc 设置安全性可允许系统动态协商为匹配
给定 Windows 防火墙规则的通信使用加密。
根据现有连接安全规则属性协商加密。
选择此选项后,只要入站 IPSec 连接已设置安全保护,
但未使用 IPSec 进行加密,计算机就能够接收该入站连接的第一个 TCP 或UDP 包。
一旦处理了第一个数据包,服务器将重新协商连接并对其进行升级,以便所
有后续通信都完全加密。
- 如果 action=bypass,则 dir=in 时必须指定远程计算机组。
- 如果 service=any,则规则仅应用到服务。
- ICMP 类型或代码可以为 "any"。
- Edge 只能为入站规则指定。
- AuthEnc 和 authnoencap 不能同时使用。
- Authdynenc 仅当 dir=in 时有效。
- 设置 authnoencap 后,security=authenticate 选项就变成可选参数。
示例:
为不具有封装的 messenger.exe 添加入站规则:
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
为端口 80 添加出站规则:
netsh advfirewall firewall add rule name="allow80"
protocol=TCP dir=out localport=80 action=block
为 TCP 端口 80 通信添加需要安全和加密的入站规则:
netsh advfirewall firewall add rule
name="Require Encryption for Inbound TCP/80"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
为 messenger.exe 添加需要安全的入站规则:
