Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Syntax: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (Standard=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
(Standard=any)][remoteport=0-65535|[,...]|any (Standard=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (Standard=any)][interfacetype=wireless|lan|ras|any][rmtmachgrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (Standard=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(Standard=notrequired)]
Hinweise:
- Fügt der Firewallrichtlinie eine neue eingehende oder ausgehende Regel
hinzu.
- Regelnamen müssen eindeutig sein und dürfen nicht "all" lauten.
- Wenn ein Remotecomputer oder eine Benutzergruppe angegeben wird, muss
"security" auf "authenticate", "authenc", "authdynenc" oder
"authnoencap" festgelegt werden.
- Das Festlegen von "security" auf "authdynenc" ermöglicht Systemen die
dynamische Verhandlung der Verwendung der Verschlüsselung für Daten-
verkehr, der einer angegebenen Windows-Firewallregel entspricht. Die
Verschlüsselung wird basierend auf vorhandenen Verbindungssicherheits-
regel-Eigenschaften verhandelt. Durch diese Option kann ein Computer
mithilfe von IPsec das erste TCP- oder UDP-Paket einer eingehenden
IPsec-Verbindung annehmen, solange diese gesichert, jedoch nicht
verschlüsselt ist. Nach der Verarbeitung des ersten Pakets wird die
Verbindung erneut verhandelt und aktualisiert, sodass jegliche
nachfolgende Kommunikation vollständig verschlüsselt ist.
- Bei "action=bypass" muss die Remotecomputergruppe angegeben werden,
wenn "dir=in".
- Bei "service=any" gilt die Regel nur für Dienste.
- Der ICMP-Typ oder -Code kann "any" sein.
- "edge" kann nur für eingehende Regeln angegeben werden.
- "authEnc" und "authnoencap" können nicht zusammen verwendet werden.
- "authdynenc" ist nur gültig, wenn "dir=in".
- Bei Festlegung von "authnoencap" ist die Option
"security=authenticate" ein
optionaler Parameter.
Beispiele:
Eine eingehende Regel ohne Kapselungssicherheit für "messenger.exe"
hinzufügen:
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Eine ausgehende Regel für Port 80 hinzufügen:
netsh advfirewall firewall add rule name="allow80"
protocol=TCP dir=out localport=80 action=block
Eine eingehende Regel hinzufügen, die Sicherheit und Verschlüsselung
für den Datenverkehr am TCP-Port 80 erfordert:
netsh advfirewall firewall add rule name="Require Encryption for Inbound
TCP/80" protocol=TCP dir=in localport=80 security=authdynenc action=allow
Eine eingehende Regel für "messenger.exe" hinzufügen und Sicherheit
erfordern
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
Eine authentifizierte Firewallumgehungsregel für die durch eine SDDL-
Zeichenfolge identifizierte Gruppe "acmedomain\scanners" hinzufügen:
netsh advfirewall firewall add rule name="allow scanners"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Eine ausgehende Zulassungsregel für die lokalen Ports 5000-5010 für
"udp-" hinzufügen
Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
action=allow
