Configuración de directiva de firewall para la seguridad del punto de conexión en Intune
Vea la configuración que puede configurar en perfiles para la directiva de firewall en el nodo de seguridad de punto de conexión de Intune como parte de una directiva de seguridad de punto de conexión.
Se aplica a:
- macOS
- Windows 10
- Windows 11
Nota:
A partir del 5 de abril de 2022, los perfiles de firewall de la plataforma Windows 10 y versiones posteriores se reemplazaron por la plataforma Windows y las nuevas instancias de esos mismos perfiles. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.
Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el Centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.
Los detalles de configuración de los perfiles de Windows de este artículo se aplican a los perfiles en desuso.
Plataformas y perfiles admitidos:
macOS:
- Perfil: firewall de macOS
Windows 10 y versiones posteriores:
- Perfil: Firewall de Windows
Perfil de firewall de macOS
Firewall
La siguiente configuración se configura como directiva de seguridad de punto de conexión para firewalls de macOS.
Habilitar el firewall
- No configurado (valor predeterminado)
- Sí : habilite el firewall.
Cuando se establece en Sí, puede configurar los siguientes valores.
Bloquear todas las conexiones entrantes
- No configurado (valor predeterminado)
- Sí : bloquee todas las conexiones entrantes excepto las necesarias para los servicios básicos de Internet, como DHCP, Bonjour e IPSec. Esto bloquea todos los servicios de uso compartido.
Habilitación del modo sigiloso
- No configurado (valor predeterminado)
- Sí : impedir que el equipo responda a las solicitudes de sondeo. El equipo sigue respondiendo a las solicitudes entrantes para las aplicaciones autorizadas.
Aplicaciones de firewall Expanda la lista desplegable y, a continuación, seleccione Agregar para especificar aplicaciones y reglas para las conexiones entrantes para la aplicación.
Permitir conexiones entrantes
- No configurado
- Bloquear
- Permitir
Id. de lote : el identificador identifica la aplicación. Por ejemplo: com.apple.app
Perfil de Firewall de Windows
Firewall de Windows
La siguiente configuración se configura como directiva de seguridad de punto de conexión para firewalls de Windows.
Protocolo de transferencia de archivos con estado (FTP)
CSP: MdmStore/Global/DisableStatefulFtp- No configurado (valor predeterminado)
- Permitir : el firewall realiza el filtrado con estado del Protocolo de transferencia de archivos (FTP) para permitir conexiones secundarias.
- Deshabilitado : FTP con estado está deshabilitado.
Número de segundos que una asociación de seguridad puede estar inactiva antes de eliminarla
CSP: MdmStore/Global/SaIdleTimeEspecifique un tiempo en segundos entre 300 y 3600, durante cuánto tiempo se mantienen las asociaciones de seguridad después de que no se vea el tráfico de red.
Si no especifica ningún valor, el sistema elimina una asociación de seguridad después de que haya estado inactiva durante 300 segundos.
Codificación de clave previamente compartida
CSP: MdmStore/Global/PresharedKeyEncodingSi no necesita UTF-8, las claves previamente compartidas se codifican inicialmente mediante UTF-8. Después, los usuarios del dispositivo pueden elegir otro método de codificación.
- No configurado (valor predeterminado)
- Ninguna
- UTF8
No hay exenciones para la dirección IP del firewall.
No configurado (valor predeterminado): si no está configurado, tendrá acceso a los siguientes valores de exención de ip s que puede configurar individualmente.
Sí : desactive todas las exenciones de ip s del firewall. Las opciones siguientes no están disponibles para configurar.
Las exenciones de ip s de firewall permiten la detección de vecinos
CSP: MdmStore/Global/IPsecExempt- No configurado (valor predeterminado)
- Sí : las exenciones de IPsec de firewall permiten la detección de vecinos.
Las exenciones de IP de firewall por segundo permiten ICMP
CSP: MdmStore/Global/IPsecExempt- No configurado (valor predeterminado)
- Sí : las exenciones de IPsec de firewall permiten ICMP.
Las exenciones de ip s de firewall permiten la detección de enrutadores
CSP: MdmStore/Global/IPsecExempt- No configurado (valor predeterminado)
- Sí : las exenciones de IPsec de firewall permiten la detección de enrutadores.
Las exenciones de ip s de firewall permiten DHCP
CSP: MdmStore/Global/IPsecExempt- No configurado (valor predeterminado)
- Sí : las exenciones de ip s de firewall permiten DHCP
Comprobación de la lista de revocación de certificados (CRL)
CSP: MdmStore/Global/CRLcheckEspecifique cómo se aplica la comprobación de la lista de revocación de certificados (CRL).
- No configurado (valor predeterminado): use el valor predeterminado del cliente, que es deshabilitar la comprobación de CRL.
- Ninguna
- Intento
- Obligatoria
Requerir que los módulos de claves solo ignoren los conjuntos de autenticación que no admiten
CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- No configurado (valor predeterminado)
- Disabled
- Habilitado : los módulos de claves omiten los conjuntos de autenticación no admitidos.
Cola de paquetes
CSP: MdmStore/Global/EnablePacketQueueEspecifique cómo habilitar el escalado del software en el lado de recepción para la recepción cifrada y el reenvío de texto no cifrado para el escenario de puerta de enlace de túnel IPsec. Esto garantiza que se conserva el orden del paquete.
- No configurado (valor predeterminado): la cola de paquetes se devuelve al valor predeterminado del cliente, que está deshabilitado.
- Disabled
- Cola entrante
- Salida de cola
- Poner en cola ambos
Activar Firewall de Windows para redes de dominio
CSP: EnableFirewall- No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
- Sí : el Firewall de Windows para el tipo de red de dominio está activado y aplicado. También obtiene acceso a configuraciones adicionales para esta red.
- No : deshabilite el firewall.
Configuración adicional para esta red, cuando se establece en Sí:
Bloquear modo sigiloso
CSP: DisableStealthModeDe forma predeterminada, el modo sigiloso está habilitado en los dispositivos. Ayuda a evitar que los usuarios malintencionados detecten información sobre los dispositivos de red y los servicios que ejecutan. Deshabilitar el modo sigiloso puede hacer que los dispositivos sean vulnerables a ataques.
- No configurado(valor predeterminado)
- Sí
- No
Habilitación del modo blindado
CSP: blindada- No configurado(valor predeterminado): use el valor predeterminado del cliente, que es deshabilitar el modo blindado.
- Sí : la máquina se pone en modo blindado, lo que la aísla de la red. Todo el tráfico está bloqueado.
- No
Bloquear respuestas de unidifusión a difusiones de multidifusión
CSP: DisableUnicastResponsesToMulticastBroadcast- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir respuestas de unidifusión.
- Sí : se bloquean las respuestas de unidifusión a las difusiones de multidifusión.
- No : aplique el valor predeterminado del cliente, que es permitir respuestas de unidifusión.
Deshabilitar las notificaciones entrantes
DisableInboundNotifications de CSP- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir la notificación del usuario.
- Sí : la notificación de usuario se suprime cuando una regla de entrada bloquea una aplicación.
- No : se permiten las notificaciones de usuario.
Bloquear conexiones salientes
Esta configuración se aplica a la versión 1809 de Windows y versiones posteriores. CSP: DefaultOutboundAction
Esta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir conexiones.
- Sí : se bloquean todas las conexiones salientes que no coinciden con una regla de salida.
- No : se permiten todas las conexiones que no coinciden con una regla de salida.
Bloquear conexiones entrantes
CSP: DefaultInboundActionEsta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es bloquear las conexiones.
- Sí : se bloquean todas las conexiones entrantes que no coinciden con una regla de entrada.
- No : se permiten todas las conexiones que no coinciden con una regla de entrada.
Omitir reglas de firewall de aplicaciones autorizadas
CSP: AuthAppsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de aplicaciones autorizadas en el almacén local.
- No : se respetan las reglas de firewall de aplicaciones autorizadas.
Omitir reglas globales de firewall de puertos
CSP: GlobalPortsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de puertos globales en el almacén local.
- No : se respetan las reglas globales de firewall de puertos.
Omitir todas las reglas de firewall locales
CSP: IPsecExempt- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten todas las reglas de firewall del almacén local.
- No : se respetan las reglas de firewall del almacén local.
Omitir reglas de seguridad de conexión CSP: AllowLocalIpsecPolicyMerge
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de IPsec en el almacén local.
- No : se respetan las reglas de firewall de IPsec en el almacén local.
Activar Firewall de Windows para redes privadas
CSP: EnableFirewall- No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
- Sí : el Firewall de Windows para el tipo de red privado está activado y aplicado. También obtiene acceso a configuraciones adicionales para esta red.
- No : deshabilite el firewall.
Configuración adicional para esta red, cuando se establece en Sí:
Bloquear modo sigiloso
CSP: DisableStealthModeDe forma predeterminada, el modo sigiloso está habilitado en los dispositivos. Ayuda a evitar que los usuarios malintencionados detecten información sobre los dispositivos de red y los servicios que ejecutan. Deshabilitar el modo sigiloso puede hacer que los dispositivos sean vulnerables a ataques.
- No configurado(valor predeterminado)
- Sí
- No
Habilitación del modo blindado
CSP: blindada- No configurado(valor predeterminado): use el valor predeterminado del cliente, que es deshabilitar el modo blindado.
- Sí : la máquina se pone en modo blindado, lo que la aísla de la red. Todo el tráfico está bloqueado.
- No
Bloquear respuestas de unidifusión a difusiones de multidifusión
CSP: DisableUnicastResponsesToMulticastBroadcast- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir respuestas de unidifusión.
- Sí : se bloquean las respuestas de unidifusión a las difusiones de multidifusión.
- No : aplique el valor predeterminado del cliente, que es permitir respuestas de unidifusión.
Deshabilitar las notificaciones entrantes
DisableInboundNotifications de CSP- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir la notificación del usuario.
- Sí : la notificación de usuario se suprime cuando una regla de entrada bloquea una aplicación.
- No : se permiten las notificaciones de usuario.
Bloquear conexiones salientes
Esta configuración se aplica a la versión 1809 de Windows y versiones posteriores. CSP: DefaultOutboundAction
Esta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir conexiones.
- Sí : se bloquean todas las conexiones salientes que no coinciden con una regla de salida.
- No : se permiten todas las conexiones que no coinciden con una regla de salida.
Bloquear conexiones entrantes
CSP: DefaultInboundActionEsta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es bloquear las conexiones.
- Sí : se bloquean todas las conexiones entrantes que no coinciden con una regla de entrada.
- No : se permiten todas las conexiones que no coinciden con una regla de entrada.
Omitir reglas de firewall de aplicaciones autorizadas
CSP: AuthAppsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de aplicaciones autorizadas en el almacén local.
- No : se respetan las reglas de firewall de aplicaciones autorizadas.
Omitir reglas globales de firewall de puertos
CSP: GlobalPortsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de puertos globales en el almacén local.
- No : se respetan las reglas globales de firewall de puertos.
Omitir todas las reglas de firewall locales
CSP: IPsecExempt- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten todas las reglas de firewall del almacén local.
- No : se respetan las reglas de firewall del almacén local.
Omitir reglas de seguridad de conexión CSP: AllowLocalIpsecPolicyMerge
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de IPsec en el almacén local.
- No : se respetan las reglas de firewall de IPsec en el almacén local.
Activar Firewall de Windows para redes públicas
CSP: EnableFirewall- No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
- Sí : el Firewall de Windows para el tipo de red público está activado y aplicado. También obtiene acceso a configuraciones adicionales para esta red.
- No : deshabilite el firewall.
Configuración adicional para esta red, cuando se establece en Sí:
Bloquear modo sigiloso
CSP: DisableStealthModeDe forma predeterminada, el modo sigiloso está habilitado en los dispositivos. Ayuda a evitar que los usuarios malintencionados detecten información sobre los dispositivos de red y los servicios que ejecutan. Deshabilitar el modo sigiloso puede hacer que los dispositivos sean vulnerables a ataques.
- No configurado(valor predeterminado)
- Sí
- No
Habilitación del modo blindado
CSP: blindada- No configurado(valor predeterminado): use el valor predeterminado del cliente, que es deshabilitar el modo blindado.
- Sí : la máquina se pone en modo blindado, lo que la aísla de la red. Todo el tráfico está bloqueado.
- No
Bloquear respuestas de unidifusión a difusiones de multidifusión
CSP: DisableUnicastResponsesToMulticastBroadcast- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir respuestas de unidifusión.
- Sí : se bloquean las respuestas de unidifusión a las difusiones de multidifusión.
- No : aplique el valor predeterminado del cliente, que es permitir respuestas de unidifusión.
Deshabilitar las notificaciones entrantes
DisableInboundNotifications de CSP- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir la notificación del usuario.
- Sí : la notificación de usuario se suprime cuando una regla de entrada bloquea una aplicación.
- No : se permiten las notificaciones de usuario.
Bloquear conexiones salientes
Esta configuración se aplica a la versión 1809 de Windows y versiones posteriores. CSP: DefaultOutboundAction
Esta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es permitir conexiones.
- Sí : se bloquean todas las conexiones salientes que no coinciden con una regla de salida.
- No : se permiten todas las conexiones que no coinciden con una regla de salida.
Bloquear conexiones entrantes
CSP: DefaultInboundActionEsta regla se evalúa al final de la lista de reglas.
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es bloquear las conexiones.
- Sí : se bloquean todas las conexiones entrantes que no coinciden con una regla de entrada.
- No : se permiten todas las conexiones que no coinciden con una regla de entrada.
Omitir reglas de firewall de aplicaciones autorizadas
CSP: AuthAppsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de aplicaciones autorizadas en el almacén local.
- No : se respetan las reglas de firewall de aplicaciones autorizadas.
Omitir reglas globales de firewall de puertos
CSP: GlobalPortsAllowUserPrefMerge- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de puertos globales en el almacén local.
- No : se respetan las reglas globales de firewall de puertos.
Omitir todas las reglas de firewall locales
CSP: IPsecExempt- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten todas las reglas de firewall del almacén local.
- No : se respetan las reglas de firewall del almacén local.
Omitir reglas de seguridad de conexión CSP: AllowLocalIpsecPolicyMerge
- No configurado(valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es respetar las reglas locales.
- Sí : se omiten las reglas de firewall de IPsec en el almacén local.
- No : se respetan las reglas de firewall de IPsec en el almacén local.
Reglas de Firewall de Windows
Este perfil está en versión preliminar.
La siguiente configuración se configura como directiva de seguridad de punto de conexión para firewalls de Windows.
Regla de firewall de Windows
Nombre
Especifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.Descripción
Proporcione una descripción de la regla.Dirección
- No configurado (valor predeterminado): esta regla tiene como valor predeterminado el tráfico saliente.
- Out : esta regla se aplica al tráfico saliente.
- En : esta regla se aplica al tráfico entrante.
Action
- No configurado (valor predeterminado): la regla tiene como valor predeterminado permitir el tráfico.
- Bloqueado : el tráfico está bloqueado en la dirección que ha configurado.
- Permitido : el tráfico se permite en la dirección que ha configurado.
Tipo de red
Especifique el tipo de red al que pertenece la regla. Puede elegir una o varias de las siguientes opciones. Si no selecciona una opción, la regla se aplica a todos los tipos de red.- Dominio
- Private
- Public
- Sin configurar
Configuración de aplicaciones
Aplicaciones destinadas a esta regla:
Nombre de familia del paquete
Get-AppxPackageLos nombres de familia de paquetes se pueden recuperar mediante la ejecución del comando Get-AppxPackage desde PowerShell.
Ruta de acceso de archivo
CSP: FirewallRules/FirewallRuleName/App/FilePathPara especificar la ruta de acceso del archivo de una aplicación, escriba la ubicación de las aplicaciones en el dispositivo cliente. Por ejemplo:
C:\Windows\System\Notepad.exe
Nombre del servicio
FirewallRules/FirewallRuleName/App/ServiceNameUse un nombre corto de servicio de Windows cuando un servicio, no una aplicación, envíe o reciba tráfico. Los nombres cortos del servicio se recuperan mediante la ejecución del
Get-Service
comando desde PowerShell.
Configuración de puertos y protocolos
Especifique los puertos locales y remotos a los que se aplica esta regla:
Protocolo
CSP: FirewallRules/FirewallRuleName/ProtocolEspecifique el protocolo para esta regla de puerto.
- Los protocolos de capa de transporte como TCP(6) y UDP(17) permiten especificar puertos o intervalos de puertos.
- Para los protocolos personalizados, escriba un número entre 0 y 255 que represente el protocolo IP.
- Cuando no se especifica nada, la regla tiene como valor predeterminado Cualquiera.
Tipos de interfaz
Especifique los tipos de interfaz a los que pertenece la regla. Puede elegir una o varias de las siguientes opciones. Si no selecciona una opción, la regla se aplica a todos los tipos de interfaz:- Acceso remoto
- Inalámbrico
- Red de área local
- Sin configurar
- Banda ancha móvil : esta opción reemplaza el uso de la entrada anterior para banda ancha móvil, que está en desuso y ya no se admite.
- [No compatible] Banda ancha móvil : no use esta opción, que es la opción de banda ancha móvil original. Esta opción ya no funciona correctamente. Reemplace el uso de esta opción por la versión más reciente de Mobile Broadband.
Usuarios autorizados
FirewallRules/FirewallRuleName/LocalUserAuthorizationListEspecifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si el nombre del servicio de esta directiva se establece como un servicio de Windows. Si no se especifica ningún usuario autorizado, el valor predeterminado es todos los usuarios.
Configuración de direcciones IP
Especifica las direcciones locales y remotas a las que se aplica esta regla:
Cualquier dirección local
No configurado (valor predeterminado): use la siguiente configuración, Intervalos de direcciones locales* para configurar un intervalo de direcciones que se admitirá.- Sí : admite cualquier dirección local y no configure un intervalo de direcciones.
Intervalos de direcciones locales
CSP: FirewallRules/FirewallRuleName/LocalAddressRangesAdministrar intervalos de direcciones locales para esta regla. Puede:
- Agregue una o varias direcciones como una lista separada por comas de direcciones locales que se tratan en la regla.
- Importe un archivo .csv que contenga una lista de intervalos de direcciones IP locales mediante el encabezado "LocalAddressRanges".
- Exporte la lista actual de intervalos de direcciones locales como un archivo .csv.
Las entradas válidas (tokens) incluyen las siguientes opciones:
- Asterisco : un asterisco (*) indica cualquier dirección local. Si está presente, el asterisco debe ser el único token incluido.
- Una subred : especifique subredes mediante la notación de prefijo de red o máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida
- Intervalo de direcciones IPv4 : los intervalos IPv4 deben tener el formato de dirección de inicio: dirección final sin espacios incluidos, donde la dirección de inicio es menor que la dirección final.
- Un intervalo de direcciones IPv6 : los intervalos IPv6 deben tener el formato de dirección de inicio: dirección final sin espacios incluidos, donde la dirección de inicio es menor que la dirección final.
Cuando no se especifica ningún valor, esta configuración usa como valor predeterminado Cualquier dirección.
Cualquier dirección remota
No configurado (valor predeterminado): use la siguiente configuración, Intervalos de direcciones remotas* para configurar un intervalo de direcciones que se admitirá.- Sí : admite cualquier dirección remota y no configure un intervalo de direcciones.
Intervalos de direcciones remotas
CSP: FirewallRules/FirewallRuleName/RemoteAddressRangesAdministrar intervalos de direcciones remotas para esta regla. Puede:
- Agregue una o varias direcciones como una lista separada por comas de direcciones remotas cubiertas por la regla.
- Importe un archivo .csv que contenga una lista de intervalos de direcciones IP remotas mediante el encabezado "RemoteAddressRanges".
- Exporte la lista actual de intervalos de direcciones remotas como un archivo .csv.
Las entradas válidas (tokens) incluyen lo siguiente y no distinguen mayúsculas de minúsculas:
- Asterisco : un asterisco (*) indica cualquier dirección remota. Si está presente, el asterisco debe ser el único token incluido.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet : se admite en dispositivos que ejecutan Windows 1809 o posterior.
- RmtIntranet : compatible con dispositivos que ejecutan Windows 1809 o posterior.
- Ply2Renders : se admite en dispositivos que ejecutan Windows 1809 o posterior.
- LocalSubnet : indica cualquier dirección local en la subred local.
- Una subred : especifique subredes mediante la notación de prefijo de red o máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida
- Intervalo de direcciones IPv4 : los intervalos IPv4 deben tener el formato de dirección de inicio: dirección final sin espacios incluidos, donde la dirección de inicio es menor que la dirección final.
- Un intervalo de direcciones IPv6 : los intervalos IPv6 deben tener el formato de dirección de inicio: dirección final sin espacios incluidos, donde la dirección de inicio es menor que la dirección final.
Cuando no se especifica ningún valor, esta configuración usa como valor predeterminado Cualquier dirección.