Рекомендуемые параметры политики брандмауэра для удаленных клиентов

В разделе Рекомендации для политики брандмауэра описываются сценарии использования и проверенные методики.
Рекомендации для политики брандмауэра
Сценарий
Рекомендация
Вход в систему из удаленного расположения без VPN
  • Назначьте самые строгие политики безопасности для клиентов, которые входят в систему удаленно без применения VPN.
  • Включите защиту NetBIOS.
    Не следует включать защиту NetBIOS для клиентов, подключающихся из удаленных расположений к корпоративной сети посредством VPN. Это правило применимо только для удаленных клиентов, подключенных к Интернету, а не к корпоративной сети.
  • Заблокируйте весь локальный трафик TCP на портах NetBIOS 135, 139 и 445 для большей безопасности.
Вход в систему из удаленного расположения через VPN
  • Оставьте без изменений все правила, блокирующие трафик на всех адаптерах. Эти правила изменять не следует.
  • Оставьте без изменений все правила, разрешающие трафик VPN на всех адаптерах. Эти правила изменять не следует.
  • В столбце "Адаптер" замените значение "Все адаптеры" на имя адаптера VPN, который используется для всех правил, применяющих действие "Разрешить".
  • Включите правило, блокирующее весь прочий трафик.
Необходимо внести все эти изменения, если требуется заблокировать разделенное туннелирование через VPN.
Офисные расположения, в которых пользователи входят в систему через Ethernet или беспроводные соединения
Используйте политику брандмауэра по умолчанию. Для беспроводных соединений должно быть включено правило, разрешающее EAPOL. В 802.1x протокол Extensible Authentication Protocol over LAN (EAPOL) применяется для аутентификации соединений.