本文内容
中级安全WindowsDefender防火墙提供基于主机的单向流量筛选,它可制止进出本地设备的未经授权的流量。按照以下最佳做法配置Windows防火墙可以帮助你提高对于你的网路中设备的保护。这种建议囊括各类布署,包括家庭网路和企业桌面/服务器系统。
若要打开Windows防火墙,请转入“开始”菜单,选择“运行”,键入“WF.msc”,之后选择“确定”。另请参阅打开Windows防火墙。
保留默认设置
首次打开WindowsDefender防火墙时,你会看见适用于本地计算机的默认设置。“概述”面板显示设备可联接到的每种类型的网路的安全设置。
图1:WindowsDefender防火墙
域配置文件:用于存在针对ActiveDirectory域控制器的账户身分验证系统的网路专用配置文件:专门而且最好在专用网路中使用,比如家庭网路公共配置文件:设计时考虑了公共网路(如Wi-Fi热点、咖啡店、机场、酒店或商店)的安全性
右键单击两侧窗棂中底部的“高级安全WindowsDefender防火墙”,之后选择“属性”即可查看每位配置文件的详尽设置。
尽可能不去修改WindowsDefender防火墙的默认设置。这种设置致力大多数网路情境下,确保你才能安全地使用设备。默认设置中有一个关键示例是入站联接的默认制止行为。
图2:默认入站/出站设置
重要提示
若要最大限度保证安全,切勿修改入站联接默认的制止设置。
有关配置基本防火墙设置的更多信息,请参阅打开Windows防火墙并配置默认行为,以及检测清单:配置基本防火墙设置。
了解入站规则的规则优先级
许多情况下,管理员的下一步是使用规则自定义这种配置文件(有时称为筛选器),便于它们可以使用用户应用或其他类型的软件。诸如,管理员或用户可以选择添加规则以容纳程序、打开端口或合同,或容许预定义类型的流量。
可通过右键单击“入站规则”或“出站规则”,并选择“新建规则”来完成此规则添加任务。添加新政则的界面如下所示:
图3:规则创建向导
注意
本文不介绍分步规则配置。如需了解策略创建的通常手册redhat清空防火墙规则,请参阅《高级安全Windows防火墙布署手册》。
许多情况下,须要准许特定类型的入站流量,应用程序能够在网路中正常运行。在容许这种入站例外时,管理员应记住以下规则优先级行为。
显式定义的容许规则将优先于默认制止设置。显式制止规则将优先于任何冲突的容许规则。更具体的规则将优先于不太具体的规则,有2中提到的显式制止规则时除外。(比如,假如规则1的参数包含IP地址范围,而规则2的参数包含一个IP主机地址,则规则2的优先级更高。)
因为1和2,因而在设计一组策略时,请勿必确保不存在可能无意重叠的其他显式制止规则,因而制止希望容许的流量。
创建入站规则的通常安全最佳做法是尽可能地做到具体。并且,当必须制订使用端口或IP地址的新政则时,请考虑使用连续的范围或子网,而不是使用单个地址或端口(条件容许时)。此方式可以防止在底层创建多个筛选器,增加复杂性,并有助于防止性能下滑。
注意
WindowsDefender防火墙不支持由管理员分配的传统加权规则排序。记住上述几个一致且符合逻辑的规则行为,即可创建具有预期行为的有效策略集。
在首次启动前为新应用程序创建规则入站容许规则
首次安装时,网路应用程序和服务会发出侦听调用,指定它们正常运行所需的合同/端口信息。因为WindowsDefender防火墙中存在默认制止,因而必须创建入站例外规则能够容许这种流量。应用或应用安装程序本身一般还会添加这一防火墙规则。否则,用户(或代表用户的防火墙管理员)须要自动创建规则。
若果没有活动的应用程序或管理员定义的容许规则,则在首次启动应用或尝试在网路中通讯时,系统将会弹出一个对话框提示用户准许或制止应用程序的数据包。
在以上任一情境中,添加这种规则后,必须删掉它们能够再度生成提示。若果没有这样做,将继续制止流量。
注意
防火墙的默认设置致力为你提供安全。默认情况下容许所有入站联接,会给网路带来各类各样的恐吓。为此,应当由值得信赖的应用开发者、用户或代表用户的管理员来决定为什么第三方软件的入站联接创建例外。
手动规则创建存在的已知问题
在为网路设计防火墙策略时redhat linux 下载,最好为主机上布署的任何网路应用程序都配置容许规则。在用户首次启动应用程序之前就创建好相应的规则有助于为用户提供无缝的体验。
缺乏这种分步规则并不一定意味着应用程序最终将难以在网路上进行通讯。并且,在运行时手动创建应用程序规则所涉及的行为须要用户交互和管理权限。假如设备预期由非管理用户使用,你应当遵守最佳做法,即在应用程序首次启动之前提供那些规则,以防止遇见意外的网路问题。
若要确定制止个别应用程序在网路中进行通讯的缘由,请复查以下实例:
具有足够权限的用户将收到查询通知redhat清空防火墙规则,通知她们应用程序须要修改防火墙策略。未完全理解提示,用户取消或关掉提示。用户缺少足够的权限,因而没有收到提示,提醒她们容许应用程序进行相应的策略修改。本地策略合并被禁用,制止应用程序或网路服务创建本地规则。
管理员也可以使用“设置”应用或“组策略”,严禁在运行时创建应用程序规则。
图4:准许访问的对话框
另请参阅清单:创建入站防火墙规则。
制订本地策略合并和应用程序规则
可以布署以下防火墙规则:
在本地使用防火墙管理单元(WF.msc)在本地使用PowerShell假如设备是ActiveDirectory名称、SystemCenterConfigurationManager或使用工作区加入)Intune(的成员,则远程使用组策略
规则合并设置控制怎样组合来自不同策略源的规则。管理员可以为域、专用和公共配置文件配置不同的合并行为。
不仅从组策略获取的规则外,规则合并设置还用于准许或制止本地管理员创建自己的防火墙规则。
图5:规则合并设置
提示
在防火墙配置服务提供程序中,等效设置为AllowLocalPolicyMerge。可以在每位相应的配置文件节点、DomainProfile、PrivateProfile和PublicProfile下找到此设置。
假如禁用了本地策略合并,则任何须要入站联接的应用都须要集中布署规则。
管理员可以在高安全性环境中禁用LocalPolicyMerge,以保持对终结点的更严格控制。如上文所述,此设置可能会影响一些在安装时手动生成本地防火墙策略的应用和服务。若要使这种应用和服务正常工作,管理员应集中通过组策略(GP)、移动设备管理(MDM)或二者(混和或共同管理环境)集中推送规则。
防火墙CSP和策略CSP也具有会影响规则合并的设置。
最佳做法是列举和记录这种应用,包括用于通讯的网路端口。一般,可以在应用的网站上找到必须为给定服务打开的端口。更复杂的布署或顾客应用程序布署,则可能须要使用网路数据包捕获工具进行更全面的剖析。
一般,为了最大限度保证安全性,管理员应仅为确定用于合法用途的应用和服务推送防火墙例外。
注意
应用程序规则不支持使用转义模式linux命令tar,比如C:*teams.exe。目前,我们仅支持使用到应用程序的完整路径创建的规则。
了解怎样使用“防护”模式制止主动功击
“防护”模式是你在遭到主动功击时可以拿来减少损失的一项重要的防火墙功能。这是一个非即将术语,是指防火墙管理员在遭到主动功击时可用于临时增强安全性的一种简单方式。
可以在Windows设置应用或旧文件firewall.cpl中选中“阻止所有传入联接,包括容许的应用列表中的入站联接,实现防护疗效。
图6:Windows设置应用/Windows安全中心/防火墙保护/网路类型
图7:旧版firewall.cpl
默认情况下,WindowsDefender防火墙将制止所有内容,除非创建了例外规则。此设置将覆盖例外。
比如,远程桌面功能会在启用时手动创建防火墙规则。并且,假如主机上存在使用多个端口和服务的活动功击,可以使用防护模式制止所有入站联接,覆盖先前的例外,包括远程桌面规则,而不是禁用单个规则。远程桌面规则保持不变,但只要激活防护,远程访问将不起作用。
在紧急情况结束后,取消选中用于还原常规网路流量的设置。
创建出站规则
以下是配置出站规则时须要遵守的几条通常准则。
有关创建出站规则的任务,请参阅清单:创建出站防火墙规则。
记录修改
创建入站或出站规则时,应指定有关应用本身、使用的端口范围以及创建日期等重要说明的详尽信息。必须详细地记录规则,便于你和其他管理员查看。我们强烈建议花时间让你以后才能更简便地查看防火墙规则。但是请勿在防火墙中制造何必要的漏洞。
