➢ 防火墙策略-入站规则&出站规则&自定义

➢ 单层防火墙-命令关闭&更改策略-C2上线

➢ 单层防火墙-正向监听&反向中转-C2上线

➢ 双层防火墙-命令关闭&隧道技术-C2上线

#防火墙策略-入站规则&出站规则&自定义

1、防火墙默认入站&出站策略

2、防火墙自定义入站&出站策略

 

内网域防火墙同步策略：

操作：组策略管理-域-创建GPO链接-防火墙设置

更新策略：强制&命令&重启

命令：gpupdate/force

 

限制端口分为：入站限制端口、出站限制端口、出入站均限制端口。

入站限制端口，出站未限制端口，使用反向连接。

出站限制端口，入站未限制端口，使用正向连接。

出入站均限制端口，使用端口绕过进行连接，建议配合反向连接。

限制协议分为：

入站限制、出站限制、出入均限制，限制又分为：单协议限制、多协议限制、全部限制。

入站限制：

单协议限制，使用其它协议或者反向连接绕过。（隧道技术）

多协议限制，使用未被限制的协议或者反向连接绕过。（隧道技术）

全部协议限制，使用放弃或者反向连接绕过，但正常不会将所以协议都封闭的。

出站限制：

参考上面使用正向连接绕过。

出入均限制：

单协议限制，使用其它协议绕过。（隧道技术）

多协议限制，使用未被限制的协议绕过。（隧道技术）

全部协议限制，使用放弃绕过，但正常不会将所以协议都封闭的。

 

单层目标机防火墙开启上线解决方案：

1、命令关闭防火墙

2、反向中转连接上线

3、利用隧道技术上线（规则决定）

 

单层跳板机防火墙开启上线解决方案：

1、命令关闭防火墙

2、正向监听连接上线

3、利用隧道技术上线（规则决定）

 

双层防火墙开启上线解决方案：

1、命令关闭防火墙

2、SMB协议通讯上线（默认放行）

3、利用隧道技术上线（规则决定）

 

能不能PING就是看ICMP有没有开启

防火墙实验（适用场景）：

1、内网无域环境下

2、内网有域环境下（强制策略同步）

 

Windows防火墙命令：

参考：https://www.cnblogs.com/tomtellyou/p/16300557.html

查看当前防火墙状态：netsh advfirewall show allprofiles

关闭防火墙：netsh advfirewall set allprofiles state off

开启防火墙：netsh advfirewall set allprofiles state on

恢复初始防火墙设置：netsh advfirewall reset

启用桌面防火墙: netsh advfirewall set allprofiles state on

设置默认输入和输出策略：netsh advfirewall set allprofiles firewallpolicy allowinbound,allowoutbound

如果设置为拒绝使用blockinbound,blockoutbound