fwpolext
防火牆例外範本包含策略例外,您可以設定這些例外,以根據用戶端電腦的通訊埠號碼和 IP 位址來允許或封鎖各種網路傳輸。建立策略例外之後,請編輯要套用策略例外的策略。
決定您要使用哪一類型的策略例外。策略例外分為下列兩種類型:
限制的
只會封鎖特定類型的網路傳輸,並套用至允許所有網路傳輸的策略。限制策略例外的用途範例為封鎖容易受到攻擊的用戶端通訊埠(例如:特洛伊木馬程式經常使用的通訊埠)。
允許的
只會允許特定類型的網路傳輸,並套用至封鎖所有網路傳輸的策略。例如,您可能只想允許用戶端存取 OfficeScan 伺服器和 Web 伺服器。如果要這樣做,請允許信任的通訊埠(用於與 OfficeScan 伺服器通訊的通訊埠)和用戶端於 HTTP 通訊所用通訊埠的傳輸。
用戶端監聽通訊埠:「用戶端電腦|用戶端管理|狀態」。通訊埠號碼會列在「基本資訊」下。
伺服器監聽通訊埠: 「管理|連線設定」。通訊埠號碼會列在「用戶端電腦的連線設定」下。
OfficeScan 隨附一組預設防火牆策略例外,您可以視需要進行修改或刪除。
|
預設防火牆策略例外規則 |
|
例外名稱 |
處理行動 |
通訊協定 |
通訊埠 |
方向 |
|
DNS |
允許 |
TCP/UDP |
53 |
輸入和輸出 |
|
NetBIOS |
允許 |
TCP/UDP |
137, 138, 139, 445 |
輸入和輸出 |
|
HTTPS |
允許 |
TCP |
443 |
輸入和輸出 |
|
HTTP |
允許 |
TCP |
80 |
輸入和輸出 |
|
Telnet |
允許 |
TCP |
23 |
輸入和輸出 |
|
SMTP |
允許 |
TCP |
25 |
輸入和輸出 |
|
FTP |
允許 |
TCP |
21 |
輸入和輸出 |
|
POP3 |
允許 |
TCP |
110 |
輸入和輸出 |
|
LDAP |
允許 |
TCP/UDP |
389 |
輸入和輸出 |
預設例外會套用至所有用戶端。如果要讓預設例外只套用到特定用戶端,請編輯該例外,並指定用戶端的 IP 位址。
如果您是從舊版 OfficeScan 升級,則無法使用 LDAP 例外。如果在例外清單中並未看到此例外項目,請手動將其新增。
新增策略例外:
「用戶端電腦│防火牆│策略」
按一下「編輯例外範本」。
按一下「新增」。
輸入策略例外的名稱。
選取應用程式的類型。您可以選取所有應用程式,或者指定應用程式路徑或登錄機碼。
檢查所輸入的名稱和完整路徑。應用程式例外不支援萬用字元。
選取 OfficeScan 將對網路傳輸執行的處理行動(封鎖或允許符合例外條件的傳輸)和傳輸方向(用戶端電腦上的輸入或輸出網路傳輸)。
選取網路通訊協定的類型:TCP、UDP、ICMP 或 ICMPv6。
指定要對用戶端電腦上的哪些通訊埠執行處理行動。
選取要加入例外的用戶端電腦 IP 位址。例如,如果您選擇拒絕所有網路流量(輸入和輸出)並輸入網路上某部電腦的 IP 位址,則策略中具有此項例外的用戶端將無法傳送資料到此 IP 位址或接收來自此 IP 位址的資料。
請從下列選項選擇:
所有 IP 位址:包含所有 IP 位址
單一 IP 位址:輸入 IPv4 或 IPv6 位址,或主機名稱。
範圍(適用於 IPv4 或 IPv6):輸入 IPv4 或 IPv6 位址範圍。
範圍(適用於 IPv6):輸入 IPv6 位址字首和長度。
子網路遮罩:輸入 IPv4 位址和其子網路遮罩。
按一下「儲存」。
編輯策略例外:
「用戶端電腦│防火牆│策略」
按一下「編輯例外範本」。
按一下某個策略例外。
修改下列項目:
策略例外名稱
應用程式類型、名稱或路徑
OfficeScan 要對網路傳輸執行的處理行動和傳輸方向
網路通訊協定類型
策略例外的通訊埠號碼
用戶端電腦 IP 位址
按一下「儲存」。
如果要刪除項目:
「用戶端電腦│防火牆│策略」
按一下「編輯例外範本」。
選取例外旁邊要刪除的核取方塊。
按一下「刪除」。
如果要變更例外在清單中的順序:
「用戶端電腦│防火牆│策略」
按一下「編輯例外範本」。
選取例外旁邊要移動的核取方塊。
按一下箭頭將該例外在清單中向上或向下移動。例外的 ID 號碼則會變更以反映新位置。
如果要儲存例外清單設定:
「用戶端電腦│防火牆│策略」
按一下「編輯例外範本」。
按一下下列其中一個儲存選項:
儲存範本變更:儲存例外範本及目前的策略例外和設定。此選項只會將範本套用到日後建立的策略,不會套用到現有策略。
儲存並且套用到現有策略:儲存例外範本及目前的策略例外和設定。此選項會將範本套用到現有和日後建立的策略。
請參閱: