注册
登录控制台
Windows防火墙是Windows操作系统内置的网络安全组件,基于高级安全Windows Defender防火墙(WFAS)提供入站和出站流量过滤功能。通过配置防火墙规则,可以精确控制网络通信,保护Windows服务器免受未授权访问和网络攻击。本文以Windows Server 2008R2为例,详细介绍Windows防火墙的配置方法和安全策略制定。
▶一、Windows防火墙架构
Windows防火墙基于过滤引擎(Windows Filtering Platform, WFP),支持三层过滤:网络层(IP地址和端口)、传输层(TCP/UDP协议)和应用层(通过服务名称)。防火墙规则分为入站规则和出站规则,每条规则包含条件(谁、什么协议、什么端口)和操作(允许或阻止)。
▶二、通过图形界面配置
打开"高级安全Windows Defender防火墙"控制台(wf.msc),左侧选择入站规则或出站规则,右侧点击新建规则。向导中依次选择规则类型(端口、程序、预定义或自定义)、协议和端口号、操作(允许/阻止/安全连接)和配置文件(域/专用/公用)。创建后可随时修改规则属性和启用状态。
▶三、使用命令行配置
# 使用netsh advfirewall命令
# 开放80端口(入站)
netsh advfirewall firewall add rule name="HTTP" dir=in action=allow protocol=tcp localport=80
# 阻止特定IP访问
netsh advfirewall firewall add rule name="Block IP" dir=in action=block remoteip=10.0.0.100
# 允许程序通信
netsh advfirewall firewall add rule name="App Allow" dir=in action=allow program="C:pp\server.exe"
# 导出/导入防火墙策略
netsh advfirewall export "C:ackupw_policy.wfw"
netsh advfirewall import "C:ackupw_policy.wfw"▶四、PowerShell管理防火墙
# 使用PowerShell管理防火墙
# 允许SSH端口
New-NetFirewallRule -DisplayName "SSH Service" -Direction Inbound -Protocol TCP -LocalPort 22 -Action Allow
# 阻止RDP的特定源
New-NetFirewallRule -Name "Block_Bad_RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 10.0.0.0/8 -Action Block
# 创建出站规则阻止PING
New-NetFirewallRule -DisplayName "Block ICMP Out" -Direction Outbound -Protocol ICMPv4 -Action Block
# 查看所有防火墙规则
Get-NetFirewallRule | Where-Object {$_.Enabled -eq $true}▶五、基于IPSec的安全连接规则
Windows防火墙支持IPSec安全连接规则,要求连接双方进行身份验证并加密通信。适用于服务器之间的敏感数据通信场景。IPSec规则支持三种认证方式:Kerberos(域环境)、NTLMv2(工作组)和证书。配置时需要同时创建服务器端和客户端的安全规则。
▶六、配置文件隔离策略
# 按网络配置文件设置不同策略
# 域配置文件(Domain) - 公司域内最宽松
# 专用配置文件(Private) - 家庭/办公网络
# 公用配置文件(Public) - 公共WiFi最严格
# PowerShell切换配置文件
Set-NetConnectionProfile -Name "WiFi" -NetworkCategory Public
# 为不同配置文件设置不同规则
New-NetFirewallRule -DisplayName "File Sharing" -Direction Inbound -Program "%SystemRoot%\System32\spoolsv.exe" -Profile Domain,Private -Action Allow▶七、日志记录与审计
启用Windows防火墙日志记录被丢弃的数据包和成功的连接,用于安全审计和故障排查。日志文件路径默认为%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log。配置日志最大大小和是否需要详细信息。推荐将防火墙日志集中收集到SIEM系统进行统一分析。
▶八、默认入站规则推荐
Windows Server推荐默认入站策略设置为阻止所有入站连接,然后按需开放必要端口:RDP(3389/tcp限制源IP)、SMB(445/tcp仅内部网络)、WinRM(5985/5986)、SQL Server(1433/tcp)、IIS(80/443/tcp)。出站策略通常保持允许所有出站,但可根据安全等级设置为默认阻止。
▶九、组策略统一管理
在企业域环境中,通过组策略(Group Policy)统一管理所有域成员服务器的防火墙策略。在组策略管理编辑器中导航到计算机配置->管理模板->网络->网络连接->Windows Defender防火墙,配置域配置文件和标准配置文件的规则。统一策略确保全网服务器安全基线一致。
▶十、安全事件响应
配置防火墙安全事件响应流程:发现异常入站连接尝试时,立即在防火墙中创建IP黑名单规则;检测到内部服务器对外发起可疑连接时,临时禁用该服务器的出站通信;受到DDoS攻击时,与ISP合作在边界防火墙添加流量过滤规则。事后分析防火墙日志改进规则配置。
▶十一、Windows防火墙与Defender防病毒联动
Windows Defender防病毒和防火墙可以协同工作,在网络层面实现端点和网络的双重防护。当Defender检测到恶意软件时,可以自动在防火墙上创建阻止规则隔离受感染主机的网络通信。配置网络保护功能(Network Protection)在传输层阻止对恶意网站的连接,实现主机和网络层的协同防御。
▶十二、企业合规审计中的防火墙配置要求
在PCI DSS、ISO 27001和等保2.0等合规审计中,防火墙配置是重要的审查项。要求文档化所有防火墙规则的用途和审批记录,每年进行一次规则审计清理过期规则。Windows防火墙日志需要保留至少90天,配置集中审计通过SIEM系统收集告警日志并建立告警响应流程。
