前言
前面讲过命令行操作IP安全策略(IPSEC),但是IPSEC只能针对IP、端口、协议等进行简单限制,而防火墙功能更强大!除了IPSEC的功能,还可以对文件等进行限制。
操作之前,需要先确定两个东西,一个是防火墙的服务处于运行状态:
另一个是防火墙的设置没有被关闭:
命令操作防火墙示例
例1:创建一个名称为QQ的入站规则和出站规则,并限制它访问网络:
netsh advfirewall firewall add rule name="QQ" dir=in program="C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe" action=block
netsh advfirewall firewall add rule name="QQ" dir=out program="C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe" action=block
例2:创建一个名称为QQ的入站和出站规则,并允许访问网络:
netsh advfirewall firewall add rule name="QQ" dir=in program="C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe" action=allow
netsh advfirewall firewall add rule name="QQ" dir=out program="C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe" action=allow
例3:创建一个名称为QQ的入站规则,并限制QQ “只允许安全连接”
netsh advfirewall firewall add rule name="QQ" dir=in program="C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe" security=authenticate action=allow
例4:创建一个名称为 网站端口 的出站规则,使本机程序不能访问网站:
netsh advfirewall firewall add rule name="网站端口" dir=out protocol=TCP remoteport=80,443 action=block
例5:禁用 网站端口 的出站规则,恢复对网站的访问:
netsh advfirewall firewall set rule "网站端口" new enable=no
例6:删除 网站端口 的出站规则,恢复对网站的访问:
netsh advfirewall firewall delete rule name="网站端口"
例7:创建一个 名为“安全防护” 的入站规则,限制网络访问本机135、139、445端口:
netsh advfirewall firewall add rule name="安全防护" dir=in protocol=TCP localport=135,139,445 action=block
例8:创建一个名为 “谷歌DNS” 的出站规则,限制本机访问谷歌DNS:
netsh advfirewall firewall add rule name="谷歌DNS" dir=out remoteip=8.8.8.8,8.8.4.4 action=block
例9:创建一个名为“禁止访问IP”的入站规则,限制某些IP对本机的访问:
限制单个IP访问本机:
netsh advfirewall firewall add rule name="禁止访问IP" dir=in remoteip=192.168.1.1 action=block
限制一段IP访问本机:
netsh advfirewall firewall add rule name="禁止访问IP" dir=in remoteip=192.168.1.1-192.168.1.100 action=block
限制一个子网访问本机:
netsh advfirewall firewall add rule name="禁止访问IP" dir=in remoteip=192.168.1.0/24 action=block
例10:禁ping
禁止本机ping其它机子:
ipv4:
netsh advfirewall firewall add rule name="ipv4禁Ping" dir=out protocol=icmpv4 action=block
ipv6:
netsh advfirewall firewall add rule name="ipv6禁Ping" dir=out protocol=icmpv6 action=block
禁止其它机子ping本机:
ipv4:
netsh advfirewall firewall add rule name="ipv4禁Ping" dir=in protocol=icmpv4 action=block
ipv6:
netsh advfirewall firewall add rule name="ipv6禁Ping" dir=in protocol=icmpv6 action=block
例11:禁止无线网卡访问网络
netsh advfirewall firewall add rule name="无线网络" dir=out interfacetype=wireless action=block
其它说明
运行中输入:wf.msc 回车,可以快速打开防火墙的高级设置:
dir=in 是入站规则。其它主动访问本机,属于“入站”
dir=out 是出站规则。本机主动访问其它,属于“出站”
限制访问的规则优先于允许访问的规则!