web-dev-qa-db-ja.com

内部インターフェイスではなく外部インターフェイスを保護するようにWindowsファイアウォールを構成するにはどうすればよいですか?

Lync Server2010のエッジの役割を実行するWindowsServer 2008 R2SP1。

会社のLANに接続され、プライベートIPアドレス、サブネットマスク、内部DNSサーバーで構成され、デフォルトゲートウェイがない1つの内部ネットワークインターフェイス。

インターネットに接続された1つの外部インターフェース。3つのパブリックIPアドレス、サブネットマスク、DNSサーバーなし、デフォルトゲートウェイで構成されています。

サーバーと他のすべての間に他のファイアウォールがないため、Windowsファイアウォールを使用してサーバーを保護する必要があります。

私が欲しいもの:

  • 内部インターフェイスは保護されていません。サーバーは内部ネットワークと自由に通信できる必要があります。
  • 外部インターフェイスを完全に保護し、Lyncに必要な最小限のポートとプロトコルのみを開く必要があります。

このためにWindowsファイアウォールを構成するにはどうすればよいですか?

サーバーは外部ネットワークを「パブリック」として扱うように構成されていますが、そのインターフェイスにはデフォルトゲートウェイがないため、内部ネットワークは自動的に「不明」として分類されます(ゲートウェイがないはずです。ルーティングは、外部インターフェース);したがって、これも「パブリック」として扱われ、これを変更することはできません。

Windowsファイアウォールは現在、すべてのネットワークプロファイルでオフになっています。サーバーが「パブリック」ネットワークにのみ接続されており、「プライベート」または「ドメイン」ネットワークには接続されていないことを示しています。


更新:

Chris S の提案を使用して、内部ネットワークを「プライベート」として構成し、外部ネットワークを「パブリック」として構成することができました。次に、Windowsファイアウォールをオンにし、すべてのトラフィックを許可するようにプライベートプロファイルを構成し、パブリックプロファイルをデフォルトのままにしました(例外を除くすべてをブロックします)。

しかし、パブリックIPアドレスからこのサーバーにRDP/SMB/RPCを実行することはできます...ここで何が問題になっていますか?

2
Massimo
  1. 開始->実行-> gpedit.msc
  2. 参照:コンピューターの構成-> Windowsの設定->セキュリティの設定->ネットワークリストマネージャーのポリシー->未確認のネットワーク
  3. 「ロケーションタイプ」を「プライベート」に変更し、「OK」をクリックします。

複数のNICからの絞り込み、Windows Advanced Firewallの構成

1
Chris S