Symantec End point Firewall Rule Setup

OK, 這篇文章本來就應該沒甚麼參考價值，只是單純隨筆記下來而已。

大家都知道，防火牆可以設Rule，而設Rule有其順序，有些人說是從上而下看，有些人說從下而上看，其實理論上兩者都可以說的通吧。

本文以Symantec Endpoint為例，(不附圖了，免得Rule公開又重設)

Firewall的Rule應該是從上而下看的，例如5條Rule分別是1,2,3,4,5，當某一個Connection從第一條Rule開始比對，Hit到其中一條之後，就予執行並省略了其下的...

例如最重要的RDP 3389為例，假設我一台服務器，只針對123.123.123.122 來提供遠端連線服務的話 則應該是會這樣設的...

1.  HOST 123.123.123.122 PORTS LOCAL 3389 REMOTE any ACTION allow

2. HOST all host PORTS LOCAL 3389 REMOTE any ACTION block

當一個從123.123.123.122來的RDP的Request到達這台機器，防火牆會判定他打中哪一條Rule，一來就中1.所以這個封包放行，2號Rule不予判斷。 又假如又另一個從132.134.135.136來的RDP Request，打不中1.，再判定2時打中了，所以不予放行。

如果反轉了.....想當然已會回天乏術，所有RDP的Request都會打中，這時候就需要現場處理了。

記錄一下。