type
status
date
slug
summary
tags
category
icon
password
Windows防火墙允许限制特定应用程序,协议或TCP / IP端口的入站/出站网络流量。这是一种限制与用户工作站或服务器之间的网络访问的简便方法。您可以在每台计算机上分别配置Windows防火墙规则,或者,如果用户计算机已加入Active Directory域,则管理员可以使用GPO管理Windows Defender防火墙设置和规则。
在大型企业中,端口过滤规则通常在路由器,L3交换机或专用防火墙设备级别设置。但是,没有什么可以阻止您将Windows防火墙网络访问限制规则部署到工作站或Windows服务器。
组策略管理控制台中有两个部分,可用于管理防火墙设置:
- 计算机配置->管理模板->网络->网络连接-> Windows防火墙 –此GPO部分用于在 OS Vista / Windows Server 2008或更早版本中配置防火墙规则。如果您没有使用这些旧操作系统版本的计算机,请使用下一个策略部分配置防火墙;否则,请使用下一个策略部分。
- 计算机配置-> Windows设置->安全设置->具有高级安全性的Windows防火墙 -是在现代Windows OS版本中配置Windows防火墙的实际部分,其界面与本地Defender防火墙管理控制台的界面相似。
如何使用GPO启用Windows防火墙?
为了使用户(甚至具有本地管理员权限)无法停止防火墙服务,建议使用GPO配置Windows防火墙的自动启动。为此,请转到计算机配置-> Windows设置->安全设置->系统服务。在服务列表中找到Windows防火墙,然后将启动模式更改为自动(定义此策略设置->服务启动模式自动)。确保您的用户没有停止该服务的权限。
转到GPO控制台中的“ 计算机配置-> Windows设置->安全设置”部分。右键单击具有高级安全性的Windows防火墙,然后打开属性。
在所有三个选项卡中将防火墙状态更改为“ 开”(推荐):域配置文件,专用配置文件和公共配置文件(Windows中的网络位置是什么?)。根据公司的安全策略,您可以指定默认情况下阻止所有入站连接(入站连接->阻止),并允许出站连接(出站连接->允许)。保存更改。
- 域配置文件:这个配置文件用于标识在域网络中的连接。启用这个配置文件可以确保域控制器之间的通信和域成员之间的通信不受防火墙阻挡,但如果配置不当,可能会影响域内部的通信。
- 专用配置文件:这个配置文件用于标识专用网络中的连接,例如局域网或者 VPN 连接。启用这个配置文件可以确保专用网络上的通信不受防火墙阻挡,但如果网络环境复杂,可能需要对规则进行特殊配置。
- 公用配置文件:这个配置文件用于标识公共网络中的连接,例如互联网连接。启用这个配置文件可以确保对外部网络的通信受到适当的防护,但可能会对一些特定的应用或服务造成影响,需要进行适当的规则配置。
- 作者:胡凯
- 链接:https://hukai.fun/article/784b5d10-42ec-4072-939b-a4e2f463598f
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。