Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Szintaxis: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (alapértelmezés=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]RPC|RPC-EPMap|IPHTTPS|
any (alapértelmezés=any)][remoteport=0-65535|[,...]|any (alapértelmezés=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (alapértelmezés=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (alapértelmezés=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(alapértelmezés=notrequired)]
Megjegyzések:
- Új bejövo szabály felvétele a tuzfalházirendbe.
- A szabálynévnek egyedinek kell lennie, és nem lehet "all".
- Távoli számítógép vagy felhasználócsoport megadása esetén a security
paraméternek az authenticate, authenc, authdynenc vagy authnoencap
értéket kell adni.
- A security paraméter authdynenc értékre való állításával lehetové
teheti, hogy a rendszerek dinamikusan egyeztethessék a titkosítás
használatát az adott Windows tuzfal-szabálynak eleget tevo
adatforgalmakra nézve. A titkosítás egyeztetése a kapcsolatbiztonsági
szabályok meglévo tulajdonságai alapján történik. Ez a paraméterérték
megadja a lehetoséget a számítógépeknek arra, hogy elfogadják a bejövo
IPSec-kapcsolatokon elsoként érkezo TCP- vagy UDP-adatcsomagokat,
amennyiben azok IPSec-védelemmel vannak ellátva, de nincsenek
titkosítva. Miután az elso adatcsomag feldolgozása megtörtént,
a kiszolgáló újraegyezteti a kapcsolatot és frissíti úgy, hogy minden
további adatcsere teljes köru titkosítás alá kerüljön.
- Az action=bypass érték esetén meg kell adni a távoli
számítógépcsoportot, ha a dir=in érték van megadva.
- Ha service=any, csak szolgáltatásokra vonatkozik a szabály.
- Az ICMP típus vagy kód lehet "any".
- Az edge paraméter csak bejövo szabályok esetében adható meg.
- Az authEnc és az authnoencap érték nem használható együtt.
- Az authdynenc érték csak a dir=in érték esetén érvényes.
- Ha az authnoencap érték van beállítva, a security=authenticate
paramétert nem kötelezo megadni.
Példák:
Beágyazásos védelem nélküli bejövo szabály felvétele a messenger.exe
számára:
netsh advfirewall firewall add rule name="Messenger engedélyezése"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Kimeno szabály felvétele a 80-as port számára:
netsh advfirewall firewall add rule name="80-as port engedélyezése"
protocol=TCP dir=out localport=80 action=block
Biztonságot és titkosítást eloíró bejövo szabály felvétele
a 80-as TCP-port forgalmához:
netsh advfirewall firewall add rule
name="Titkosítás eloírása a 80-as port bejövo TCP-forgalmára"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Bejövo szabály felvétele a messenger.exe számára, biztonság
megkövetelésével
netsh advfirewall firewall add rule name="Messenger engedélyezése"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
Hitelesített tuzfal-megkerülési szabály felvétele az acmedomain\scanners
csoport számára, SDDL-karakterlánccal azonosítva:
netsh advfirewall firewall add rule name="Lapolvasók engedélyezése"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Kimeno engedélyezo szabály felvétele az 5000-5010-es helyi UDP-porthoz
Add rule name="Porttartomány engedélyezése" dir=out protocol=udp
localport=5000-5010 action=allow
