ลูกค้ารายหนึ่งของฉันได้ยกข้อกำหนดในการใช้กฎไฟร์วอลล์ขาออกบนเซิร์ฟเวอร์ทั้งหมดของตน

สภาพแวดล้อมปัจจุบัน สภาพแวดล้อมถูกสร้างขึ้นบนคลาวด์ของ AWS เซิร์ฟเวอร์ทั้งหมดใช้ระบบปฏิบัติการ Windows Server 2008 Base และ Windows Server 2008 R2 เซิร์ฟเวอร์ทั้งหมดมีการเข้าถึงอินเทอร์เน็ตและที่อยู่ IP สาธารณะ การรับส่งข้อมูลขาเข้าถูกควบคุมโดยใช้ไฟร์วอลล์ของ Amazon

ข้อกำหนด ความต้องการของลูกค้าของฉันคือการปิดกั้นการรับส่งข้อมูลทั้งหมดจากเซิร์ฟเวอร์ทั้งหมด ยกเว้นแอปพลิเคชันที่เข้าถึงแอพ Facebook ผ่านพร็อกซีเซิร์ฟเวอร์ เพื่อให้แม่นยำยิ่งขึ้น การรับส่งข้อมูลของแอปพลิเคชันผ่านพอร์ตที่ระบุควรไปถึงพร็อกซีเซิร์ฟเวอร์เท่านั้น

สิ่งที่ฉันทำ ฉันสร้างกฎต่อไปนี้ในไฟร์วอลล์ Windows กฎ 1--> การเข้าถึงแอป --> ผ่านพอร์ต XXXX --> อนุญาตเฉพาะกับพร็อกซีเซิร์ฟเวอร์ IP XXX.XXX.XXX.XXX/32 กฎที่ 2 --> การเข้าถึงอื่นๆ ทั้งหมด --> ผ่านพอร์ตเดียวกัน XXXX -- -> จะถูกบล็อกไปยังที่อยู่ IP ทั้งหมด XXX.XXX.XXX.XXX/0

ผลลัพธ์คืออะไร เมื่อฉันใช้กฎนี้ 'กฎการปฏิเสธ' จะมีความสำคัญและบล็อกการเข้าถึงทั้งหมด ดังนั้นจึงบล็อกพร็อกซีเซิร์ฟเวอร์ด้วย เมื่อฉันลบกฎการปฏิเสธ การรับส่งข้อมูลขาออกจะไหลไปยังที่อยู่ IP ทั้งหมด

วิธีแก้ไข ฉันต้องการ ฉันต้องบล็อกการรับส่งข้อมูลขาออกบนพอร์ตที่ระบุไปยังที่อยู่ IP ทั้งหมด ยกเว้น IP ของพร็อกซีเซิร์ฟเวอร์ ฉันจะบรรลุสิ่งนี้ได้อย่างไร

โปรดแจ้งให้เราทราบข้อเสนอแนะของคุณ

answer

ไปที่กฎการอนุญาตของคุณแล้วคลิก "คุณสมบัติ" ไปที่แท็บ "ขอบเขต" และเลือก "ที่อยู่ IP เหล่านี้" และป้อน IP ระยะไกลของคุณในนั้น ซึ่งจะช่วยให้กฎนั้นทำงานได้เฉพาะกับที่อยู่ IP ที่คุณระบุเท่านั้น

จากนั้น คุณต้องเปลี่ยนกฎเริ่มต้นของคุณ "กฎขาออกที่ไม่ตรงกับกฎ" เพื่อปฏิเสธการเชื่อมต่อขาออกที่ไม่ตรงกับกฎของคุณสำหรับโซนที่เหมาะสม (ซึ่งฉันคิดว่าเป็นสาธารณะในกรณีนี้) การดำเนินการนี้จะปฏิเสธการเชื่อมต่อขาออกทั้งหมด ยกเว้นที่คุณระบุไว้ในกฎ "อนุญาต"