探索具有高级安全性的Windows Defender防火墙

创作时间:

作者:

@小白创作中心

探索具有高级安全性的Windows Defender防火墙

引用

来源

https://learn.microsoft.com/zh-cn/training/modules/manage-defender-windows-client/6-explore-windows-defender-firewall-advanced-security?ns-enrollment-id=learn.wwl.manage-endpoint-security&ns-enrollment-type=learningpath

Windows Defender防火墙是Windows系统中重要的安全组件，其高级安全功能提供了更精细的网络流量控制和安全管理能力。本文将详细介绍如何通过高级安全设置来增强防火墙的功能，包括配置文件管理、规则类型以及监控等方面的内容。

虽然仍可以通过Windows Defender防火墙在控制面板中进行典型的最终用户配置，但也可以使用“高级安全”管理单元在Windows Defender防火墙中进行高级配置。可以通过控制面板在“Windows Defender防火墙”页的导航窗格中选择“高级设置”来访问此管理单元。管理单元提供了一个界面，可用于在本地、远程计算机上以及使用组策略配置Windows Defender防火墙。

具有高级安全性的Windows Defender防火墙是网络感知应用的一个例子。可以为每种网络位置类型创建一个配置文件，每个配置文件可包含不同的防火墙策略。例如，可以在计算机位于域网络上时允许特定桌面管理工具的传入流量，而在计算机连接到公共或专用网络时阻止流量。

通过网络感知，既能够在内部网络上提供灵活性，又不影响用户出行时的网络安全性。公用网络配置文件必须具有更严格的防火墙策略，以防止未经授权的访问。专用网络配置文件可能有限制较小的防火墙策略，以允许文件和打印共享或对等发现。

具有高级安全性属性的Windows Defender防火墙

可以使用“具有高级安全性属性的Windows Defender防火墙”对话框为域、专用和公共网络配置文件配置基本防火墙属性。防火墙配置文件是一种对设置进行分组的方式，包括防火墙规则和连接安全规则。使用“具有高级安全性属性的Windows Defender防火墙”对话框中的“IPsec设置”选项卡为IPsec配置选项配置默认值。

若要访问具有高级安全性属性的Windows Defender防火墙中的全局配置文件设置，请执行以下流程之一：

在导航窗格中，右键单击“具有高级安全性的Windows防火墙”，然后单击“属性”。
在导航窗格中，选择“具有高级安全性的Windows Defender防火墙”，然后在“概述”部分选择“Windows Defender防火墙属性”。
在导航窗格中，选择“具有高级安全性的Windows Defender防火墙”，然后在“操作”窗格中，选择“属性”。

可为三个网络配置文件中的每一个配置的选项包括：

防火墙状态。为每个配置文件打开或关闭。
入站连接。配置为阻止与任何活动防火墙规则不匹配的连接、阻止所有连接而不考虑入站规则规范，或允许与有效防火墙规则不匹配的入站连接。
出站连接。配置为允许与任何有效防火墙规则不匹配的连接，或阻止与有效防火墙规则不匹配的出站连接。
受保护的网络连接。配置Windows Defender防火墙要保护的网络适配器。
设置。配置显示通知、单播响应、本地防火墙规则和本地连接安全规则。
日志记录。配置以下日志记录选项：
名称。为每个网络配置文件的日志文件使用不同的名称。
大小限制(KB)。默认大小是4,096。在进行故障排除时，如有必要可调整该值。
仅当以下两个选项之一或两个选项都设置为“是”时会进行日志记录：
记录丢弃的数据包
记录成功的连接

具有“高级安全性”规则的Windows Defender防火墙

规则是一个条件集合，这些条件用于定义要允许、阻止或使用防火墙保护的流量。可以配置以下类型的规则：

入站
出站
连接安全规则

入站规则

入站规则显式允许或阻止与规则条件匹配的流量。例如，可以配置一个规则来允许来自本地网段的远程桌面流量通过防火墙，但如果来源是其他网段，则阻止流量。

首次安装Windows操作系统时，Windows Defender防火墙会阻止所有未请求的入站流量。若要允许未请求的特定类型的入站流量，需要创建一条入站规则来描述要允许的流量。例如，如果要运行Web服务器，则需要创建一个规则来允许TCP端口80上的未请求的HTTP入站网络流量以及允许TCP端口443上的未请求的HTTPS流量。可以配置具有高级安全性的Windows Defender防火墙的默认操作，即当入站规则不适用时是允许连接还是阻止连接。

出站规则

Windows Defender防火墙允许所有出站流量，除非规则阻止该流量。出站规则会显式允许或显式阻止源自与规则条件匹配的计算机的流量。例如，可以将规则配置为明确阻止出站通信（按IP地址）通过防火墙到达某一台计算机，但允许同样的通信到达其他计算机。

入站和出站规则类型

有四种不同类型的入站和出站规则：

程序规则。这些规则控制程序连接。使用此类型的防火墙规则来允许基于尝试连接的程序进行连接。如果不确定端口或其他所需设置，这些规则就非常有用，因为你只需指定程序可执行文件(.exe)的路径。
端口规则。这些规则控制TCP或UDP端口的连接。使用此类型的防火墙规则来允许基于计算机尝试连接的TCP或UDP端口号进行连接。指定协议以及要应用规则的单个或多个本地端口。
预定义的规则。这些规则控制基于Windows的体验的连接。使用此类型的防火墙规则通过从列表中选择一个程序或体验来允许某个连接。所安装的网络感知程序通常会将其自己的条目添加到此列表中，以便可以将其作为一个组来启用和禁用。
自定义规则。根据需要配置这些规则。使用此类型的防火墙规则可以基于其他类型的防火墙规则未涵盖的条件来允许连接。

试想一下使用任务计划程序用户界面在远程计算机上创建和管理任务的方案。在连接到远程计算机之前，需要在远程计算机上启用“远程计划任务管理”防火墙例外。要完成此操作，可以在入站规则上使用预定义规则类型。

或者，你可能希望阻止默认TCP Web服务器端口80上的所有Web流量。在此方案中，将创建阻止指定端口的出站端口规则。

连接安全规则

防火墙规则和连接安全规则是互补的，它们都有助于形成保护计算机的深度防御策略。连接安全规则使用IPsec保护通过网络时的流量的安全。使用连接安全规则来要求对两台计算机之间的连接进行身份验证或加密。连接安全规则指定身份验证的方式和时间，而不用于允许连接。若要允许连接，请创建入站或出站规则。设置好连接安全规则后，可以指定入站和出站规则仅应用于特定用户或计算机。

可以创建以下连接安全规则类型：

隔离规则。这些规则通过基于身份验证条件（例如域成员身份或运行状况）限制连接来隔离计算机。通过隔离规则可实现服务器或域隔离策略。
身份验证免除规则。这些规则指定不需要进行身份验证的连接。可以按特定IP地址、IP地址范围、子网或预定义的组（如网关）来指定计算机。通常使用此类型的规则来授予对基础结构计算机的访问权限，例如Active Directory域控制器、证书颁发机构(CA)或动态主机配置协议(DHCP)服务器。
服务器到服务器规则。这些规则保护特定计算机之间的连接。创建此类型的规则时，必须指定要保护其间通信的网络终结点。然后指定相关要求和要使用的身份验证类型，例如Kerberos版本5协议。此规则的一个适用方案是对数据库服务器与业务层计算机之间的流量进行身份验证。
隧道规则。这些规则通过使用IPsec中的隧道模式（而非传输模式）保护两台计算机之间传输的通信。隧道模式将整个网络数据包嵌入到在两个定义的终结点之间路由的网络数据包中。对于每个终结点，指定一个计算机来接收和使用发送的网络流量，或指定一个网关计算机并将其连接到将从隧道中提取接收到的流量路由到的专用网络。
自定义规则。根据需要配置这些规则。当无法使用其他规则类型设置身份验证规则时，自定义规则会对两个终结点之间的连接进行身份验证。