Windows防火墙概述
Windows防火墙概述
Windows防火墙是Windows操作系统内置的一项重要安全功能,通过筛选进出设备的网络流量来保护系统安全。本文将详细介绍Windows防火墙的工作原理、配置方法以及最佳实践,帮助用户更好地理解和使用这一重要的安全工具。
本文内容
Windows防火墙是一项安全功能,通过筛选进入和退出设备的网络流量来帮助保护你的设备。可以根据多个条件筛选此流量,包括源和目标IP地址、IP协议或源和目标端口号。Windows防火墙可以配置为基于设备上安装的服务和应用程序阻止或允许网络流量。这允许将网络流量限制为那些明确允许在网络上进行通信的应用程序和服务。
Windows防火墙是基于主机的防火墙,它包含在操作系统中,在所有Windows版本上默认启用。
Windows防火墙支持Internet协议安全性(IPsec),你可以使用它从任何尝试与你的设备通信的设备进行身份验证。需要身份验证时,无法作为受信任设备进行身份验证的设备无法与你的设备通信。可以使用IPsec要求对某些网络流量进行加密,以防止恶意用户可能附加到网络的网络数据包分析器读取该流量。
Windows防火墙还适用于网络位置感知,以便它可以应用适合设备所连接到的网络类型的安全设置。例如,当设备连接到咖啡店Wi-Fi时,Windows防火墙可以应用公用网络配置文件,当设备连接到家庭网络时,可以应用专用网络配置文件。这使你可以对公用网络应用更严格的设置,以帮助确保设备安全。
实际应用程序
Windows防火墙提供了几个优势来解决组织的网络安全难题:
- 降低网络安全威胁的风险:通过减少设备的攻击面,Windows防火墙为深层防御模型提供了额外的防御层。这可提高可管理性并减少成功攻击的可能性
- 保护敏感数据和知识产权:Windows防火墙与IPsec集成,提供一种简单的方法来强制实施经过身份验证的端到端网络通信。这允许对受信任的网络资源进行可缩放的分层访问,帮助强制实施数据完整性,并在必要时保护数据机密性
- 现有投资的扩展价值:Windows防火墙是操作系统随附的基于主机的防火墙,因此不需要额外的硬件或软件。它还旨在通过记录的API来补充现有的非Microsoft网络安全解决方案
Windows版本和许可要求
下表列出了支持Windows防火墙的Windows版本:
Windows专业版 | Windows企业版 | Windows专业教育版/SE | Windows教育版 |
|---|---|---|---|
是 | 是 | 是 | 是 |
Windows防火墙许可证权利由以下许可证授予:
Windows专业版/专业教育版/SE | Windows企业版E3 | Windows企业版E5 | Windows教育版A3 | Windows教育版A5 |
|---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
有关Windows许可的详细信息,请参阅Windows许可概述。
概念
Windows防火墙的默认行为是:
- 阻止所有传入流量,除非请求或匹配规则
- 允许所有传出流量,除非与规则匹配
防火墙规则
防火墙规则标识允许或阻止的网络流量,以及发生这种情况的条件。这些规则提供了广泛的条件选择来标识流量,包括:
- 应用程序、服务或程序名称
- 源和目标IP地址
- 可以使用动态值,例如默认网关、DHCP服务器、DNS服务器和本地子网
- 协议名称或类型。对于传输层协议TCP和UDP,可以指定端口或端口范围。对于自定义协议,可以使用表示IP协议的0到255之间的数字
- 接口类型
- ICMP/ICMPv6流量类型和代码
防火墙配置文件
Windows防火墙提供三个网络配置文件:域、专用和公用。网络配置文件用于分配规则。例如,可以允许特定应用程序在专用网络上进行通信,但不允许在公用网络上进行通信。
域网络
域网络配置文件在检测到域控制器的可用性时,会自动应用于已加入Active Directory域的设备。无法手动设置此网络配置文件。
提示
检测域网络的另一个选项是在NetworkListManager策略CSP中配置策略设置,该CSP也适用于已加入Microsoft Entra设备。
专用网络
专用网络配置文件专为专用网络(如家庭网络)设计。管理员可以在网络接口上手动设置它。
公用网络
公共网络配置文件在设计时考虑了公共网络(如Wi-Fi热点、咖啡店、机场、酒店等)的安全性。它是身份不明网络的默认配置文件。
提示
使用PowerShell cmdlet
Get-NetConnectionProfile
检索活动网络类别 (
NetworkCategory
)。使用PowerShell cmdlet
Set-NetConnectionProfile
在专用和公用之间切换类别。
禁用Windows防火墙
Microsoft建议不要禁用Windows防火墙,因为你失去了其他优势,例如,能够使用Internet协议安全(IPsec)连接安全规则、网络保护免受使用网络指纹的攻击、Windows服务强化和启动时间筛选器。非Microsoft防火墙软件可以编程方式仅禁用需要禁用的Windows防火墙的规则类型才能实现兼容性。不应出于此目的自行禁用防火墙。如果需要禁用Windows防火墙,请不要通过在服务管理单元中停止Windows防火墙服务(来禁用它,显示名称为Windows Defender防火墙,服务名称为MpsSvc)。Microsoft不支持停止Windows防火墙服务,并可能导致问题,包括:
- “开始”菜单可停止工作
- 新式应用程序可能无法安装或更新
- 通过手机激活Windows失败
- 依赖于Windows防火墙的应用程序或OS不兼容
禁用Windows防火墙的正确方法是禁用Windows防火墙配置文件,使服务保持运行状态。有关详细步骤,请参阅使用命令行管理Windows防火墙。
后续步骤
了解Windows防火墙规则和设计建议:
Windows防火墙规则>