Windows系统防火墙策略配置指南

Windows系统防火墙策略配置指南

操作概述

Windows 防火墙是系统内置的安全屏障,通过灵活的策略配置,您可以有效控制入站与出站流量。下表概述了三种核心功能及其适用场景,后续章节将提供详细配置步骤。本文以 Windows Server 2022 为例。

功能 说明
允许程序或功能通过防火墙 为特定应用程序或服务开启入站连接,确保其正常工作(例如文件共享、即时通讯软件)。
允许或禁止访问特定本地端口 限制外部对指定端口的访问,减少攻击面(例如禁止 FTP 默认的 21 端口)。
允许或禁止特定 IP 地址访问 基于 IP 地址或地址段精准控制访问权限,提升安全性。

功能一:允许程序或功能通过 Windows 防火墙

  1. 使用 VNC 方式登录 Windows 实例。
  2. 依次点击 开始控制面板系统和安全Windows Defender 防火墙
  3. 点击左侧 允许应用或功能通过 Windows Defender 防火墙
  4. 点击 允许其他应用 按钮。
  5. 添加应用 窗口的 应用(P) 列表中,双击目标程序。若未列出,可点击 浏览 在文件系统中找到 .exe 文件并双击。
  6. 确认后该程序即被放行。

功能二:允许或禁止访问特定的本地端口

  1. 登录 Windows 实例后,进入 Windows Defender 防火墙高级设置
  2. 在左侧控制树中点击 入站规则,然后点击右侧 新建规则
  3. 规则类型选择 端口,点击 下一步
  4. 协议和端口:选择 TCPUDP,勾选 特定本地端口(S),输入端口号(如 8080),点击 下一步
  5. 操作:选择 阻止连接允许连接,点击 下一步
  6. 配置文件:根据需求勾选 专用公用,点击 下一步
  7. 名称:输入规则名称(如“禁止 8080 端口”)及描述,点击 完成

功能三:允许或禁止特定 IP 地址的访问

您可以通过设置 作用域 来限定规则生效的远程 IP 地址,支持对已有规则修改或新建规则时配置。

方式一:为已有规则设置作用域

  1. 进入 Windows Defender 防火墙高级设置入站规则
  2. 找到目标规则,右键单击 → 属性
  3. 切换到 作用域 选项卡,在 远程 IP 地址 区域选择 下列 IP 地址,点击 添加
  4. 输入 IP 地址或 CIDR 地址段(例如 192.168.1.10010.0.0.0/24),点击 确定
  5. 确认后该规则仅对指定 IP 生效。

方式二:创建新规则并设置作用域

  1. 入站规则 中点击 新建规则
  2. 规则类型选择 自定义,点击 下一步
  3. 程序:选择 所有程序 或指定程序路径,点击 下一步
  4. 协议和端口:按需配置协议与端口,点击 下一步
  5. 作用域:在 此规则应用于哪些远程 IP 地址? 下选择 下列 IP 地址,点击 添加

    输入地址段,点击 确定下一步
  6. 操作:选择 阻止连接允许连接,点击 下一步
  7. 配置文件:选择合适的作用域,点击 下一步
  8. 名称:输入规则名称和描述,点击 完成

通过以上三种策略的灵活组合,您可以构建符合业务需求的 Windows 防火墙安全体系。