Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Format: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (default=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any (standard=any)][remoteport=0-65535|[,...]|any (standard=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (standard=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (standard=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(standard=notrequired)]
Kommentarer:
- Føj en ny indgående eller udgående regel til firewallpolitikken.
- Navnet på reglen skal være entydigt og kan ikke være "all".
- Hvis der er angivet en fjerncomputer eller brugergruppe, skal sikkerheden være
authenticate, authenc, authdynenc eller authnoencap.
- Hvis sikkerheden angives til authdynenc, kan systemerne dynamisk
forhandle brugen af kryptering til den trafik, der stemmer overens med
en given regel i Windows Firewall. Krypteringen forhandles baseret på
eksisterende egenskaber for forbindelsens sikkerhedsregler. Denne indstilling
gør det muligt for computeren at acceptere den første TCP-
eller UDP-pakke for en indgående IPsec-forbindelse, så længe den
er sikret, men ikke krypteret, ved hjælp af IPsec.
Når pakken er behandlet, vil serveren
genforhandle forbindelsen og opgradere den, så
al efterfølgende kommunikation er fuldt krypteret.
- Hvis action=bypass, skal fjerncomputergruppen angives, når dir=in.
- Hvis service=any, gælder reglen kun for tjenester.
- ICMP-typen eller -koden kan være "any".
- Edge kan kun angives for indgående regler.
- AuthEnc og authnoencap kan ikke bruges samtidig.
- Authdynenc er kun gyldig, når dir=in.
- Hvis authnoencap er angivet, bliver indstillingen security=authenticate en
valgfri parameter.
Eksempler:
Tilføj en indgående regel uden indkapslende sikkerhed for messenger.exe:
netsh advfirewall firewall add rule name="tillad messenger"
dir=in program="c:\Programmer\messenger\msmsgs.exe"
security=authnoencap action=allow
Tilføj en udgående regel for port 80:
netsh advfirewall firewall add rule name="tillad80"
protocol=TCP dir=out localport=80 action=block
Tilføj en indgående regel, der kræver sikkerhed og kryptering
for trafik på TCP-port 80:
netsh advfirewall firewall add rule
name="Kræv kryptering for indgående TCP/80"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Tilføj en indgående regel for messenger.exe, og kræv sikkerhed
netsh advfirewall firewall add rule name="tillad messenger"
dir=in program="c:\Programmer\messenger\msmsgs.exe"
security=authenticate action=allow
Tilføj en godkendt regel, der tilsidesætter firewallen, for de
acmedomain\scannere, der identificeres ved en SDDL-streng:
netsh advfirewall firewall add rule name="tillad scanners"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Tilføj en udgående tilladelsesregel for de lokale porte 5000-5010 for udp-
Add rule name="Tillad portområde" dir=out protocol=udp localport=5000-5010 action=allow
