Windows防火墙允许限制特定应用程序,协议或TCP / IP端口的入站/出站网络流量。这是一种限制与用户工作站或服务器之间的网络访问的简便方法。您可以在每台计算机上分别配置Windows防火墙规则,或者,如果用户计算机已加入Active Directory域,则管理员可以使用GPO管理Windows Defender防火墙设置和规则。
在大型企业中,端口过滤规则通常在路由器,L3交换机或专用防火墙设备级别设置。但是,没有什么可以阻止您将Windows防火墙网络访问限制规则部署到工作站或Windows服务器。
内容:
组策略设置以管理Windows Defender防火墙规则如何使用GPO启用Windows防火墙?如何使用GPO创建防火墙规则?在客户端上测试Windows防火墙策略如何将Windows防火墙规则导入/导出到GPO?域和本地Windows Defender防火墙规则提示:使用GPO管理Windows防火墙
组策略设置以管理Windows Defender防火墙规则
使用域组策略编辑器(组策略管理控制台– gpmc.msc),创建一个名称为Firewall-Policy的新GPO对象(策略),然后切换到编辑模式。
组策略管理控制台中有两个部分,可用于管理防火墙设置:
计算机配置->管理模板->网络->网络连接-> Windows防火墙–此GPO部分用于在OS Vista / Windows Server 或更早版本中配置防火墙规则。如果您没有使用这些旧操作系统版本的计算机,请使用下一个策略部分配置防火墙;否则,请使用下一个策略部分。计算机配置-> Windows设置->安全设置->具有高级安全性的Windows防火墙-是在现代Windows OS版本中配置Windows防火墙的实际部分,其界面与本地Defender防火墙管理控制台的界面相似。
如何使用GPO启用Windows防火墙?
为了使用户(甚至具有本地管理员权限)无法停止防火墙服务,建议使用GPO配置Windows防火墙的自动启动。为此,请转到计算机配置-> Windows设置->安全设置->系统服务。在服务列表中找到Windows防火墙,然后将启动模式更改为自动(定义此策略设置->服务启动模式自动)。确保您的用户没有停止该服务的权限。
转到GPO控制台中的“计算机配置-> Windows设置->安全设置”部分。右键单击具有高级安全性的Windows防火墙,然后打开属性。
在所有三个选项卡中将防火墙状态更改为“开”(推荐):域配置文件,专用配置文件和公共配置文件(Windows中的网络位置是什么?)。根据公司的安全策略,您可以指定默认情况下阻止所有入站连接(入站连接->阻止),并允许出站连接(出站连接->允许)。保存更改。
如何使用GPO创建防火墙规则?
让我们尝试创建一个允许入站Windows防火墙规则。例如,我们要允许传入的RDP连接到所有计算机(TCP 3389端口)。右键单击“入站规则”部分,然后选择“新建规则”。
防火墙规则向导的界面类似于用户台式计算机上的本地Windows防火墙。
选择规则类型。您可以允许访问:
程序–您可以选择程序可执行文件(.exe);端口–您可以选择TCP / UDP端口或端口范围;预定义–您可以选择一种标准Windows规则,该规则已包含对典型服务(例如,AD,HTTP,DFS,BranchCache,远程重启,SNMP,KMS,等等。);自定义–您可以在此处指定程序,协议(TCP或UDP以外的协议,例如ICMP,GRE,L2TP,IGMP等),客户端IP地址或整个IP子网。
在本例中,我们将选择“端口”规则。让我们将TCP指定为协议,将端口3389指定为端口(这是默认的RDP端口,但您可以通过注册表进行更改)。
然后,您必须选择处理这种网络连接的方法:允许连接,允许连接是否安全或阻止连接。
然后选择要应用规则的防火墙配置文件。您可以使所有配置文件保持启用状态(域,私有和公共)。
在最后一步,指定规则的名称和描述。单击完成,它将出现在防火墙规则列表中。
同样,您可以为要应用到Windows客户端的入站流量配置其他规则,请不要忘记为入站和出站流量创建规则。
现在,只需将防火墙策略分配给具有用户计算机的OU。
重要的。在将防火墙策略应用于具有生产能力的计算机的OU之前,强烈建议在某些测试计算机上进行尝试。否则,由于错误的防火墙设置,您可能会使企业网络瘫痪。要诊断如何应用组策略,请使用gpresult工具。
在客户端上测试Windows防火墙策略
更新客户端上的组策略设置(gpupdate / force)。确保指定的端口在用户计算机上可用(可以使用Test-NetConnection cmdlet或Portqry工具)。
在用户PC上,打开“控制面板”->“系统和安全性”->“ Windows Defender防火墙”,并确保显示消息。为了安全起见,某些设置受组策略控制,并且使用了防火墙设置。
现在,用户无法更改防火墙设置,并且您创建的所有规则都必须出现在“入站规则”列表中。
您还可以使用以下命令显示防火墙设置:
netsh firewall show state
如何将Windows防火墙规则导入/导出到GPO?
当然,创建Windows防火墙规则的过程是一项艰巨且耗时的任务(但是值得付出努力)。为了简化操作,您可以导入/导出Windows防火墙设置。为此,仅需在参考工作站上配置本地防火墙设置即可。然后转到Windows防火墙管理单元(具有高级安全性的Windows防火墙)的根目录,然后选择Action->Export Policy。
该策略将被导出到WFW文件,可以通过选择“导入策略”选项并指定.wfw文件的路径将其导入到组策略管理编辑器中(当前策略设置将被覆盖)。
域和本地Windows Defender防火墙规则
根据您是否希望本地管理员可以在其计算机上创建自己的防火墙规则,并将其与从组策略中获取的规则结合起来,可以选择规则合并选项。打开策略属性,然后在“规则合并”部分中查看设置。默认情况下,启用规则合并。您可以强制本地管理员可以创建自己的防火墙规则:在“应用本地防火墙规则”选项中选择“是”(默认设置)。
提示。阻止防火墙规则的优先级高于允许的规则。这意味着,如果用户与允许使用GPO的管理员配置的阻止规则相抵触,则无法创建允许访问规则。但是,即使管理员在策略中允许访问,用户也可以创建本地阻止规则。
提示:使用GPO管理Windows防火墙
当然,您应该创建单独的策略来管理服务器和工作站的Windows防火墙规则(您可能必须根据每组相似服务器的角色来创建单独的策略)。这意味着域控制器,Exchange邮件服务器和SQL服务器的防火墙规则将有所不同。
您可以在供应商的网站上找到必须为每个服务打开的端口。乍看之下,这个过程非常艰巨而复杂。但是,您最终可以得到一个有效的Windows防火墙配置,该配置仅允许批准的网络连接并阻止其他网络连接。根据我的经验,我想指出,您可以快速找到Microsoft软件使用的TCP / UDP端口列表。
