fwpolext
防火墙例外模板包含可根据客户端计算机的端口号和 IP 地址配置以允许或阻止不同类型网络通信的策略例外。创建策略例外后,编辑策略例外要应用的策略。
确定要使用的策略例外类型。有两种类型:
限定
仅阻止指定类型的网络通信,适用于允许所有网络通信的策略。使用限定策略例外的一个示例是阻止易受攻击的客户端端口,如特洛伊木马经常使用的端口。
许可
仅允许指定类型的网络通信,适用于阻止所有网络通信的策略。例如,您可能要允许客户端仅访问防毒墙网络版服务器和 Web 服务器。要执行此操作,请允许来自于可信端口(用以与防毒墙网络版服务器通信的端口)和客户端用于 HTTP 通信的端口的网络通信。
客户端侦听端口:联网计算机 > 客户端管理 > 状态。端口号在基本信息下。
服务器侦听端口: 管理 > 连接设置。端口号在联网计算机的连接设置下。
防毒墙网络版附带有一组缺省防火墙策略例外,可以修改或删除这些例外。
|
缺省防火墙策略例外 |
|
例外名称 |
处理措施 |
协议 |
端口 |
方向 |
|
DNS |
允许 |
TCP/UDP |
53 |
传入和传出 |
|
NetBIOS |
允许 |
TCP/UDP |
137, 138, 139, 445 |
传入和传出 |
|
HTTPS |
允许 |
TCP |
443 |
传入和传出 |
|
HTTP |
允许 |
TCP |
80 |
传入和传出 |
|
Telnet |
允许 |
TCP |
23 |
传入和传出 |
|
SMTP |
允许 |
TCP |
25 |
传入和传出 |
|
FTP |
允许 |
TCP |
21 |
传入和传出 |
|
POP3 |
允许 |
TCP |
110 |
传入和传出 |
|
LDAP |
允许 |
TCP/UDP |
389 |
传入和传出 |
缺省例外适用于所有客户端。如果希望缺省例外仅应用于某些客户端,请编辑该例外并指定客户端的 IP 地址。
如果从先前的防毒墙网络版升级,则 LDAP 例外不可用。如果在例外列表上没有看到此例外,请手动添加。
添加策略例外:
联网计算机 > 防火墙 > 策略
单击编辑例外模板。
单击添加。
键入策略例外的名称。
选择应用程序类型。您可以选择所有应用程序,也可以指定应用程序路径或注册表项。
请验证输入的名称和完整路径。应用程序例外不支持通配符。
选择防毒墙网络版将对网络通信执行的操作(阻止或允许满足例外条件的网络通信)和网络通信方向(客户端计算机上的入站或出站网络通信)。
选择网络协议的类型:TCP、UDP、ICMP 或 ICMPv6。
指定客户端计算机上用于执行操作的端口。
选择要包括在例外中的客户端计算机 IP 地址。例如,如果您选择拒绝所有网络通信(入站和出站)并键入网络中的单个计算机的 IP 地址,则在策略中包含有此例外的任一客户端都将无法向该 IP 地址发送数据或从该 IP 地址接收数据。
从下列选项中选择:
所有 IP 地址:包含所有 IP 地址
单个 IP 地址:键入 IPv4 或 IPv6 地址,或键入主机名。
范围(对于 IPv4 或 IPv6):键入 IPv4 或 IPv6 地址范围。
范围(对于 IPv6):键入 IPv6 地址前缀和长度。
子网掩码:键入 IPv4 地址和其子网掩码。
单击保存。
编辑策略例外:
联网计算机 > 防火墙 > 策略
单击编辑例外模板。
单击某个策略例外。
修改以下内容:
策略例外名称
应用程序类型、名称或路径
防毒墙网络版将对网络通信执行的操作和网络通信方向
网络协议的类型
策略例外的端口号
客户端计算机 IP 地址
单击保存。
删除项:
联网计算机 > 防火墙 > 策略
单击编辑例外模板。
选中要删除的例外旁的复选框。
单击删除。
更改例外在列表中的顺序:
联网计算机 > 防火墙 > 策略
单击编辑例外模板。
选中要移动的例外旁的复选框。
单击箭头将该例外在列表中向上或向下移动。例外的 ID 号更改以反映新位置。
保存例外列表设置:
联网计算机 > 防火墙 > 策略
单击编辑例外模板。
单击以下保存选项之一:
保存模板更改:保存带有当前策略例外和设置的例外模板。此选项仅将该模板应用于在将来创建的策略,而不是现有的策略。
保存并应用到现有策略上:保存带有当前策略例外和设置的例外模板。此选项将该模板应用于现有和将来的策略。
另请参阅: