Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perintah mengonfigurasi netsh advfirewall dan mengelola Windows Firewall dengan utilitas Advanced Security. Alat ini memungkinkan administrator untuk mengonfigurasi aturan firewall, kebijakan keamanan, dan memantau berbagai aspek perilaku firewall.
Syntax
Perintah ini netsh advfirewall menyediakan berbagai subperintah dan konteks berdasarkan operasi tertentu yang ingin Anda lakukan.
netsh advfirewall consec | dump | export | firewall | help | import | mainmode | monitor | reset | set | show | ?
netsh advfirewall [consec | firewall | mainmode] <add> <delete> <dump> <help> <set> <show> <?>
netsh advfirewall [monitor] <delete> <dump> <help> <show> <?>
netsh advfirewall export <path\filename>
netsh advfirewall import <path\filename>
netsh advfirewall reset [export <path\filename>]
netsh advfirewall set [allprofiles | currentprofile | domainprofile | privateprofile | publicprofile] state <on> <off> <notconfigured>
netsh advfirewall set firewallpolicy <blockinbound> <blockinboundalways> <allowinbound> <allowoutbound> <blockoutbound> <notconfigured>
netsh advfirewall set settings <localfirewallrules> <localconsecrules> <inboundusernotification> <remotemanagement> <unicastresponsetomulticast>
netsh advfirewall set logging <allowedconnections> <droppedconnections> <filename> <maxfilesize>
netsh advfirewall set global [statefulftp | statefulpptp] <enable> <disable> <notconfigured>
netsh advfirewall set global ipsec [strongcrlcheck <value>] [saidletimemin <value>] [defaultexemptions <value>] [ipsecthroughnat <value>] [authzcomputergrp <value>] [authzusergrp <value>]
netsh advfirewall set global mainmode [mmkeylifetime <value>] [mmsecmethods <value>] [mmforcedh <value>]
netsh advfirewall show [allprofiles | currentprofile | domainprofile | privateprofile | publicprofile] <state> <firewallpolicy> <settings> <logging>
netsh advfirewall show global <ipsec> <statefulftp> <statefulpptp> <mainmode> <categories>
netsh advfirewall show <store>
Parameters
| Command | Description |
|---|---|
nama aturan consec<add><delete><help><set><show>=<string> konstec <dump> |
Beralih ke netsh advfirewall consec konteks untuk mengonfigurasi aturan keamanan koneksi. |
| dump | Menampilkan skrip konfigurasi yang dapat digunakan untuk memulihkan konfigurasi saat ini. |
ekspor <path\filename> |
Mengekspor pengaturan kebijakan firewall saat ini ke file yang ditentukan. |
nama aturan firewall<add><delete><help><set><show>=<string> Firewall <dump> |
Beralih ke netsh advfirewall firewall konteks untuk mengonfigurasi aturan firewall. |
| bantuan atau ? | Menampilkan daftar perintah dan deskripsinya dalam konteks saat ini. |
mengimpor <path\filename> |
Mengimpor pengaturan kebijakan firewall dari file tertentu ke penyimpanan kebijakan saat ini. |
nama aturan mainmode<add><delete><help><set><show>=<string> mode utama <dump> |
Beralih ke netsh advfirewall mainmode konteks untuk mengonfigurasi pengaturan mode utama. |
hapus monitor mmsa \| qmsa<source destination \| all> monitor <help> peragaan monitor <consec><currentprofile><firewall><mainmode><mmsa><qmsa> monitor <dump> |
Beralih ke netsh advfirewall monitor konteks untuk menampilkan informasi pemantauan. All menentukan bahwa operasi harus berlaku untuk semua entri. - consec menampilkan informasi status consec saat ini. - currentprofile menampilkan profil yang saat ini aktif. - firewall menampilkan informasi status firewall saat ini. - mainmode menampilkan informasi status mainmode saat ini. - mmsa menampilkan SAs mode utama. - qmsa menampilkan SAs mode cepat. |
Reset <export path\filename> |
Mereset Windows Defender Firewall dengan kebijakan Keamanan Tingkat Lanjut ke pengaturan default. Kebijakan aktif saat ini dapat diekspor secara opsional ke file tertentu. Dalam objek Kebijakan Grup, perintah ini mengembalikan semua pengaturan ke notconfigured dan menghapus semua aturan keamanan koneksi dan firewall. |
Atur semuaprofil | Profil Saat Ini | Profil Domain | profil pribadi | Profil Publik | parameter<value> |
Mengonfigurasi pengaturan per profil atau global untuk firewall. Nilai notconfigured hanya valid untuk penyimpanan Kebijakan Grup. parameter Tersedia dan <value> sebagai berikut:state - Mengonfigurasi status firewall. <on> - Mengaktifkan firewall. Saat firewall aktif, firewall secara aktif memfilter lalu lintas jaringan berdasarkan aturan yang dikonfigurasi. <off> - Menonaktifkan firewall. Tidak ada pemfilteran atau perlindungan yang diterapkan, dan semua lalu lintas jaringan diizinkan. <notconfigured> - mengatur status firewall ke konfigurasi default sesuai kebijakan sistem atau pengaturan templat administratif. firewallpolicy - Mengonfigurasi perilaku masuk dan keluar default. <blockinbound> - Memblokir koneksi masuk yang tidak cocok dengan aturan masuk. <blockinboundalways> - Memblokir semua koneksi masuk bahkan jika koneksi cocok dengan aturan. <allowinbound> - Memungkinkan koneksi masuk yang tidak cocok dengan aturan. <allowoutbound> - Memungkinkan koneksi keluar yang tidak cocok dengan aturan. <blockoutbound> - Memblokir koneksi keluar yang tidak cocok dengan aturan. <notconfigured> - Mengembalikan nilai ke status tidak dikonfigurasi. settings - Mengonfigurasi pengaturan firewall. localfirewallrules - Gabungkan aturan firewall lokal dengan aturan Kebijakan Grup. Valid saat mengonfigurasi penyimpanan Kebijakan Grup. localconsecrules - Gabungkan aturan keamanan koneksi lokal dengan aturan Kebijakan Grup. Valid saat mengonfigurasi penyimpanan Kebijakan Grup. inboundusernotification - Beri tahu pengguna ketika program mendengarkan koneksi masuk. remotemanagement - Izinkan manajemen jarak jauh Windows Firewall. unicastresponsetomulticast - Mengontrol respons unicast stateful ke multicast. <enable> - Mengaktifkan pengaturan yang ditentukan. <disable> - Menonaktifkan pengaturan yang ditentukan. <notconfigured> - Memulihkan pengaturan ke konfigurasi default sistem. logging - Mengonfigurasi pengaturan pengelogan. allowedconnections - Menentukan apakah koneksi masuk dan keluar yang berhasil dicatat dalam log. <on> - Mencatat koneksi yang berhasil. <off> - Tidak mencatat koneksi. <notconfigured> - Kembali ke perilaku default sistem untuk mencatat koneksi yang berhasil. droppedconnections - Menentukan apakah koneksi yang diblokir oleh firewall dicatat. <on> - Mencatat semua koneksi yang diblokir. <off> - Jangan mencatat koneksi yang diblokir. <notconfigured> - Kembali ke perilaku default sistem untuk mencatat koneksi yang diblokir. filename - Mengatur nama dan lokasi untuk menyimpan file log. <string> - Jalur file dan nama file yang ditunjuk untuk file log, seperti C:\Logs\firewall.log. <notconfigured> - Menggunakan jalur dan nama file default yang disediakan oleh sistem. maxfilesize - Mengatur ukuran maksimum file log dalam kilobyte (KB). Jika file melebihi ukuran ini, entri terlama akan ditimpa. Ukuran file yang dapat diterima adalah antara 1 KB dan 32.767 KB. <notconfigured> - Mengadopsi ukuran file maksimum default sistem. |
Atur global [statefulftp | statefulpptp] <enable><disable><notconfigured> |
Mengonfigurasi pengaturan global termasuk opsi IPsec tingkat lanjut. Penggunaan DES, MD5, dan DHGroup1 tidak disarankan. Algoritma kriptografi ini disediakan hanya untuk kompatibilitas mundur. Default kata kunci mmsecmethods mengatur kebijakan ke dhgroup2-aes128-sha1,dhgroup2-3des-sha1 statefulftp - Opsi ini mengontrol perilaku firewall mengenai lalu lintas FTP (File Transfer Protocol). statefulpptp - Opsi ini mengelola penanganan lalu lintas PPTP (Protokol Penerowongan Titik-ke-Titik). <enable> - Mengaktifkan inspeksi stateful untuk protokol yang dipilih. Ini memastikan bahwa firewall dapat secara dinamis menyesuaikan aturan untuk menangani lalu lintas yang sesuai dengan benar. <disable> - Menonaktifkan pemeriksaan stateful untuk protokol yang dipilih. Ini dapat menyebabkan masalah dengan menangani lalu lintas khusus protokol dengan benar karena firewall tidak menyesuaikan aturannya secara dinamis. <notconfigured> - Mengatur ulang pengaturan ke perilaku default seperti yang ditentukan oleh kebijakan atau konfigurasi sistem. Ini memungkinkan sistem menerapkan aturan defaultnya tanpa perubahan yang ditentukan pengguna. |
atur ipsec global parameter<value> |
strongcrlcheck - Mengonfigurasi tingkat penerapan pemeriksaan Daftar Pencabutan Sertifikat (CRL). <0> - Menonaktifkan pemeriksaan CRL (pengaturan default). <1> - Gagal koneksi jika sertifikat dicabut. <2> - Gagal koneksi pada kesalahan terkait CRL. <notconfigured> - Mereset nilai ke status tidak dikonfigurasi. saidletimemin - Mengatur waktu diam dalam menit untuk Asosiasi Keamanan (SA) sebelum dianggap tidak aktif. Nilai yang dapat diterima berkisar dari 5 hingga 60 menit. <notconfigured> - Default ke 5 menit. defaultexemptions - Mengelola protokol default yang dikecualikan dari perlindungan IPsec. Defaultnya adalah mengecualikan protokol penemuan tetangga IPv6 dan DHCP dari IPsec. Nilai yang dapat diterima meliputi: <none> <neighbordiscovery> <icmp> <dhcp> <notconfigured> ipsecthroughnat - Mengonfigurasi kondisi di mana IPsec dapat membangun asosiasi keamanan dengan perangkat di belakang Network Address Translator (NAT). Nilai yang dapat diterima meliputi: <never> - Asosiasi tidak diizinkan (default). <serverbehindnat> - Hanya jika server berada di belakang NAT. <serverandclientbehindnat> - Jika server dan klien berada di belakang NAT. <notconfigured> - Default ke <never>. authzcomputergrp - Menentukan grup komputer yang berwenang untuk membuat koneksi mode terowongan. <none> - Tidak ada grup komputer tertentu yang berwenang untuk membuat koneksi mode terowongan. <SDDL string> - Menentukan string Security Descriptor Definition Language (SDDL) yang menentukan grup komputer yang berwenang untuk membuat koneksi. <notconfigured> - Menentukan pengaturan default. authzusergrp - Menentukan grup pengguna yang berwenang untuk membuat koneksi mode terowongan. <none> - Tidak ada grup pengguna tertentu yang berwenang untuk membuat koneksi mode terowongan. <SDDL string> - Menentukan grup pengguna tertentu yang berwenang untuk membuat koneksi. <notconfigured> - Menentukan pengaturan default. |
atur mainmode global parameter<value> | <notconfigured> |
mmkeylifetime - Mengatur durasi di mana kunci dalam Mode Utama valid. Masa pakai kunci ditentukan oleh waktu dalam menit [<num> min], jumlah sesi [<num> sess], atau keduanya. Masa pakai minimum tombol dalam menit berkisar dari 1 menit dan maksimum 2880 menit. Jumlah minimum sesi yang kuncinya valid berkisar dari sesi 0 hingga sesi 2,147,483,647 maksimum. mmsecmethods - Mengonfigurasi daftar proposal keamanan untuk negosiasi IPsec Mode Utama, yang mencakup pertukaran kunci, enkripsi, dan algoritma integritas. Anda dapat menggunakan daftar proposal yang dipisahkan koma dalam format keyexch:enc-integrity. Setiap proposal terdiri dari satu set algoritma dari setiap kategori. <dhgroup1> <dhgroup2> <dhgroup14> <dhgroup24> <ecdhp256> <ecdhp384> <3des> <des> <aes128> <aes192> <aes256> <md5> <sha1> <sha256> <sha384> mmforcedh - Memberlakukan penggunaan DH untuk pertukaran kunci selama negosiasi mode utama IPsec. <yes> - Memaksa penggunaan DH untuk pertukaran kunci. <no> - Tidak memaksa penggunaan DH untuk pertukaran kunci (pengaturan default). |
tampilkan semuaprofiles | currentprofile | domainprofile | privateprofile | publicprofile | parameter |
Menampilkan profil saat ini atau properti global untuk firewall. Jika parameter tidak ditentukan untuk profil, semua properti akan ditampilkan. Parameter yang tersedia adalah sebagai berikut: state: Menampilkan apakah Firewall Pertahanan Windows dengan Keamanan Tingkat Lanjut saat ini diaktifkan atau dinonaktifkan untuk setiap profil. firewallpolicy: Menunjukkan tindakan default untuk koneksi masuk dan keluar, menunjukkan apakah koneksi tersebut diizinkan atau diblokir secara default untuk setiap profil. settings: Menyediakan properti terperinci firewall, termasuk pengaturan konfigurasi untuk setiap profil. logging: Menunjukkan konfigurasi pengelogan saat ini, termasuk lokasi file log, ukuran, dan opsi pengelogan untuk paket yang dihilangkan dan koneksi yang berhasil. |
tampilkan global parameter |
Menampilkan setelan global untuk Windows Defender Firewall dengan Keamanan Tingkat Lanjut. Jika tidak ada parameter yang ditentukan, semua properti ditampilkan. Parameter yang tersedia adalah sebagai berikut: ipsec: Menampilkan pengaturan IPsec tertentu. statefulftp: Menampilkan konfigurasi untuk dukungan FTP Stateful. statefulpptp: Menunjukkan konfigurasi untuk dukungan PPTP stateful. mainmode: Menampilkan konfigurasi untuk Mode Utama, fase dalam proses negosiasi IPsec di mana kedua belah pihak saling mengautentikasi dan membangun saluran yang aman untuk komunikasi lebih lanjut. categories: Menampilkan konfigurasi yang terkait dengan Kategori Firewall. |
Remarks
Komentar parameter consec
- The rule name should be unique and can't be "all".
- When mode=tunnel, tunnel endpoints must be specified unless the action is "noauthentication". If specific IP addresses are used, they must belong to the same IP version.
- For dynamic tunnels, tunnel endpoints can be set to "any".
- Local tunnel endpoints aren't required for Client policies, for example, "any".
- Remote tunnel endpoints aren't required for Gateway policies, for example, "any". Additionally, the action must be one of the following: requireinrequireout, requireinclearout, or noauthentication.
- requireinclearout isn't valid when mode=Transport.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- Computerpsk and computerntlm methods can't be specified together for auth1.
- Computercert can't be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are only supported on Windows Vista SP1 and later.
- Qmsecmethods can be a list of proposals separated by a ",".
- For qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256, sha256 are only supported on Windows Vista SP1 and later.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- The use of DES, MD5, and DHGroup1 isn't recommended. These cryptographic algorithms are provided for backward compatibility only.
- The default value for certmapping and excludecaname is "no".
- The " characters within CA name must be replaced with \'
- For auth1ca and auth2ca, the CA name must be prefixed by "CN=".
- catype can be used to specify the Certification authority type "catype=root/intermediate".
- authnoencap is supported on Windows 7 and later.
- authnoencap means that the computers will only use authentication, and won't use any per packet encapsulation or encryption algorithms to protect subsequent network packets exchanged as part of this connection.
- QMPFS and authnoencap can't be used together on the same rule.
- AuthNoEncap must be accompanied by at least one AH or ESP integrity suite.
- applyauthz can only be specified for tunnel mode rules.
- exemptipsecprotectedconnections can only be specified for tunnel mode rules. By setting this flag to "Yes", ESP traffic is exempted from the tunnel. AH only traffic won't be exempted from the tunnel.
- Valuemin, when specified, for a qmsecmethod should be between 5 to 2880 minutes. Valuekb, when specified, for a qmsecmethod should be between 20480 KB to 2147483647 KB.
- Certhash specifies the thumbprint, or hash of the certificate.
- Followrenewal specifies whether to automatically follow renewal links in certificates. Only applicable for certificate section (requires certhash).
- Certeku specifies the comma separated list of EKU OIDs to match in the certificate.
- Certname specifies the string to match for certificate name (requires certnametype).
- Certnametype specifies the certificate field for the certname to be matched against (requires certname).
- Certcriteriatype specifies whether to take the action with the certificate when selecting the local certificate, validating the peer certificate, or both.
- Within a computercert authentication mapping, multiple certificates can be referenced by separating each entry by using the "|" character.
Komentar parameter firewall
- Add a new inbound or outbound rule to the firewall policy.
- Rule name should be unique and can't be "all".
- If a remote computer or user group is specified, security must be: authenticate, authenc, authdynenc, or authnoencap.
- Setting security to authdynenc allows systems to dynamically negotiate the use of encryption for traffic that matches a given Windows Defender Firewall rule. Encryption is negotiated based on existing connection security rule properties. This option enables the ability of a machine to accept the first TCP or UDP packet of an inbound IPsec connection as long as it's secured, but not encrypted, using IPsec. Once the first packet is processed, the server renegotiates the connection and upgrade it so that all subsequent communications are fully encrypted.
- If action=bypass, the remote computer group must be specified when dir=in.
- If service=any, the rule applies only to services.
- ICMP type or code can be "any".
- Edge can only be specified for inbound rules.
- AuthEnc and authnoencap can't be used together.
- Authdynenc is valid only when dir=in.
- When authnoencap is set, the security=authenticate option becomes an optional parameter.
Komentar parameter mainmode
- Add a new mainmode rule to the firewall policy.
- Rule name should be unique and can't be "all".
- Computerpsk and computerntlm methods can't be specified together for auth1.
- The use of DES, MD5, and DHGroup1 isn't recommended. These cryptographic algorithms are provided for backward compatibility only.
- The minimum main mode keylifetime is mmkeylifetime=1min. The maximum main mode mmkeylifetime=2880min. The minimum number of sessions=0 sessions. The maximum=2,147,483,647 sessions.
- The mmsecmethods keyword default sets the policy to: dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Certhash specifies the thumbprint, or hash of the certificate.
- Followrenewal specifies whether to automatically follow renewal links in certificates. Only applicable for certificate section (requires certhash).
- Certeku specifies the comma separated list of EKU OIDs to match in the certificate.
- Certname specifies the string to match for certificate name (requires certnametype).
- Certnametype specifies the certificate field for the certname to be matched against (requires certname).
- Certcriteriatype specifies whether to take the action with the certificate when selecting the local certificate, validating the peer certificate, or both.
Memantau komentar parameter
- This command deletes the matching security association as specified by the source destination pair.
- Source and destination are each a single IPv4 or IPv6 address.
Examples
Note
Untuk instruksi penggunaan terperinci dan contoh tambahan untuk semua parameter, gunakan help perintah atau ? . Perintah ini memberikan detail sintaks dan panduan untuk operasi tertentu.
consec
Untuk menambahkan aturan keamanan koneksi yang memerlukan autentikasi, jalankan perintah berikut:
netsh advfirewall consec add rule name="RequireAuth" endpoint1=any endpoint2=any action=requireinrequestout
Untuk menambahkan aturan keamanan koneksi baru yang menggunakan Kerberos untuk autentikasi, jalankan perintah berikut:
netsh advfirewall consec add rule name="KerberosAuthRule" endpoint1=any endpoint2=any action=requireinrequireout auth1=computerkerb
Untuk menghapus aturan keamanan koneksi dengan namanya, jalankan perintah berikut:
netsh advfirewall consec delete rule name="RuleName"
dump
Untuk menyimpan konfigurasi firewall tingkat lanjut saat ini ke file teks, jalankan perintah berikut:
netsh advfirewall dump > "C:\path\to\firewall_dump.txt"
Untuk menampilkan konfigurasi firewall saat ini di CMD, jalankan perintah berikut:
netsh advfirewall dump
Untuk menyertakan status firewall tingkat lanjut di cadangan utama untuk diagnostik, jalankan perintah berikut:
netsh advfirewall dump | findstr "State"
export
Untuk mengekspor kebijakan firewall saat ini untuk pencadangan, jalankan perintah berikut:
netsh advfirewall export "C:\folder\firewall_backup.wfw"
firewall
Untuk menambahkan aturan yang mengizinkan lalu lintas masuk pada port 8080, jalankan perintah berikut:
netsh advfirewall firewall add rule name="Allow8080" protocol=TCP dir=in localport=8080 action=allow
Untuk memblokir lalu lintas keluar ke IP tertentu, jalankan perintah berikut:
netsh advfirewall firewall add rule name="BlockOutIP" protocol=TCP dir=out remoteip=192.168.1.100 action=block
Untuk menghapus aturan firewall tertentu berdasarkan nama, jalankan perintah berikut:
netsh advfirewall firewall delete rule name="MyRule"
help
Untuk mendapatkan bantuan untuk semua perintah firewall, jalankan perintah berikut:
netsh advfirewall firewall ?
Untuk mengetahui detail sintaks untuk menambahkan aturan firewall, jalankan perintah berikut:
netsh advfirewall firewall add rule ?
import
Untuk mengimpor konfigurasi firewall yang disimpan dari file, jalankan perintah berikut:
netsh advfirewall import "C:\folder\firewall_config.wfw"
mainmode
Untuk menambahkan aturan mainmode untuk negosiasi keamanan, jalankan perintah berikut:
netsh advfirewall mainmode add rule name="MyMainmodeRule" auth1=computerkerb
Untuk memperlihatkan pengaturan terperinci aturan mainmode, jalankan perintah berikut:
netsh advfirewall mainmode show rule name=all
Untuk menghapus aturan mainmode dengan menentukan namanya, jalankan perintah berikut:
netsh advfirewall mainmode delete rule name="MyMainmodeRule"
monitor
Untuk memantau asosiasi keamanan koneksi aktif, jalankan perintah berikut:
netsh advfirewall monitor show mmsa
Untuk menampilkan statistik dan koneksi aktif, jalankan perintah berikut:
netsh advfirewall monitor show firewall
reset
Untuk mengatur ulang pengaturan firewall tanpa konfirmasi tambahan, jalankan perintah berikut:
netsh advfirewall reset
set
Untuk menonaktifkan pengelogan paket yang dihilangkan, jalankan perintah berikut:
netsh advfirewall set currentprofile logging droppedconnections disable
Untuk mengaktifkan pemberitahuan untuk aplikasi yang diblokir, jalankan perintah berikut:
netsh advfirewall set currentprofile settings allowunicastresponsetomulticast enable
show
Untuk menampilkan semua aturan firewall aktif, jalankan perintah berikut:
netsh advfirewall firewall show rule name=all
Untuk menampilkan informasi terperinci tentang aturan tertentu berdasarkan nama, jalankan perintah berikut:
netsh advfirewall firewall show rule name="MyRuleName" verbose