windows2008r2防火墙设置一例

有台dell R420服务器，系统windows2008r2

扫描出安全漏洞，按照默认开启防火墙，结果远程桌面上不去了，远程桌面端口号是10086，需要在 控制面板\所有控制面板项\Windows 防火墙 中的高级设置中，分别设置入站规则和出站规则，允许经过TCP协议10086端口的任何连接：

这样远程桌面就恢复了。

同时，遇到第二个问题，LMT程序（公司自研的专用程序）被防火墙禁用。打开防火墙时需要选中：windows防火墙阻止新程序时通知我。

控制面板\所有控制面板项\Windows 防火墙\自定义设置

打开新程序时，系统会跳出对话框，提示是否允许这个程序访问网络。一般建议专用网络和公用网络全都选上。

如果知道防火墙需要放行的程序在哪，也可以提前设置白名单：

建议两个网络配置全选，避免其中一个被禁用。

这样就可以在开启防火墙的同时，设置白名单，让需要联网的程序不被防火墙阻挡。

　　

我发现 控制面板\所有控制面板项\Windows 防火墙\允许的程序 界面添加的允许程序，实际也写入出入站规则中，真正起作用的是入站规则：

出站规则与入站规则有何区别？

为什么windows防火墙入站规则有远程桌面，出站规则没有远程桌面？

分析可能因为，其他电脑访问这台电脑的远程桌面时，只是在访问发起时验证一次，如果一开始防火墙验证通过了，后续的交互消息就不限制了。

验证一下猜测，把出站规则中允许所有TCP10086端口的规则取消，远程桌面还可以打开，已存在的远程连接也不掉

把入站规则中的TCP10086端口规则禁用，则当前的远程连接立刻掉线，再连远程桌面也连不上去了。

所有，入站规则只限制从其他电脑发到本机的IP包，不限制从本机发出去的IP包。

出站规则相反，只限制从本机发给其他机器的IP包，不限制从其他机器发来的IP包。

一般的网络程序交互都是有来有往，比如远程桌面，因为是其他电脑访问本机，所有只限制别人发来的IP包就可以了，至于自己发出去的IP包用哪个端口，由远程桌面发起方的程序决定。

出入用的都是10086端口。为啥出站规则中没有10086端口也不影响远程连接正常交互？

答：有可能是TCP协议的缘故，TCP协议先建立连接，防火墙只是 在连接建立时起作用，当连接建立后，防火墙就默认连接是安全的，所以只需要在入站规则中设置10086，不需要在出站规则设置端口号10086。

https://blog.csdn.net/liuhhaiffeng/article/details/72137496