Windows防火墙允许限制特定应用程序,协议或TCP / IP端口的入站/出站网络流量。这是一种限制与用户工作站或服务器之间的网络访问的简便方法。您可以在每台计算机上分别配置Windows防火墙规则,或者,如果用户计算机已加入Active Directory域,则管理员可以使用GPO管理Windows Defender防火墙设置和规则。

在大型企业中,端口过滤规则通常在路由器,L3交换机或专用防火墙设备级别设置。但是,没有什么可以阻止您将Windows防火墙网络访问限制规则部署到工作站或Windows服务器。

内容:

  • 组策略设置以管理Windows Defender防火墙规则
  • 如何使用GPO启用Windows防火墙?
  • 如何使用GPO创建防火墙规则?
  • 在客户端上测试Windows防火墙策略
  • 如何将Windows防火墙规则导入/导出到GPO?
  • 域和本地Windows Defender防火墙规则
  • 提示:使用GPO管理Windows防火墙

组策略设置以管理Windows Defender防火墙规则

使用域组策略编辑器(组策略管理控制台– gpmc.msc),创建一个名称为Firewall-Policy的新GPO对象(策略),然后切换到编辑模式。

组策略管理控制台中有两个部分,可用于管理防火墙设置:

  1. 计算机配置->管理模板->网络->网络连接-> Windows防火墙 –此GPO部分用于在OS Vista / Windows Server 2008或更早版本中配置防火墙规则。如果您没有使用这些旧操作系统版本的计算机,请使用下一个策略部分配置防火墙;否则,请使用下一个策略部分。
  2. 计算机配置-> Windows设置->安全设置->具有高级安全性的Windows防火墙 -是在现代Windows OS版本中配置Windows防火墙的实际部分,其界面与本地Defender防火墙管理控制台的界面相似。

如何使用GPO启用Windows防火墙?

为了使用户(甚至具有本地管理员权限)无法停止防火墙服务,建议使用GPO配置Windows防火墙的自动启动。为此,请转到计算机配置-> Windows设置->安全设置->系统服务。在服务列表中找到Windows防火墙,然后将启动模式更改为自动(定义此策略设置->服务启动模式自动)。确保您的用户没有停止该服务的权限。

转到GPO控制台中的“ 计算机配置-> Windows设置->安全设置部分。右键单击具有高级安全性的Windows防火墙,然后打开属性。

在所有三个选项卡中将防火墙状态更改为“ (推荐):域配置文件,专用配置文件和公共配置文件(Windows中的网络位置是什么?)。根据公司的安全策略,您可以指定默认情况下阻止所有入站连接(入站连接->阻止),并允许出站连接(出站连接->允许)。保存更改。

如何使用GPO创建防火墙规则?

让我们尝试创建一个允许入站Windows防火墙规则。例如,我们要允许传入的RDP连接到所有计算机(TCP 3389端口)。右键单击“入站规则”部分,然后选择“新建规则”。

防火墙规则向导的界面类似于用户台式计算机上的本地Windows防火墙。

选择规则类型。您可以允许访问:

  • 程序–您可以选择程序可执行文件(.exe);
  • 端口–您可以选择TCP / UDP端口或端口范围;
  • 预定义–您可以选择一种标准Windows规则,该规则已包含对典型服务(例如,AD,HTTP,DFS,BranchCache,远程重启,SNMP,KMS,等等。);
  • 自定义–您可以在此处指定程序,协议(TCP或UDP以外的协议,例如ICMP,GRE,L2TP,IGMP等),客户端IP地址或整个IP子网。

在本例中,我们将选择“端口”规则。让我们将TCP指定为协议,将端口3389指定为端口(这是默认的RDP端口,但您可以通过注册表进行更改)。

然后,您必须选择处理这种网络连接的方法:允许连接,允许连接是否安全或阻止连接。

然后选择要应用规则的防火墙配置文件。您可以使所有配置文件保持启用状态(域,私有和公共)。

在最后一步,指定规则的名称和描述。单击完成,它将出现在防火墙规则列表中。

同样,您可以为要应用到Windows客户端的入站流量配置其他规则,请不要忘记为入站和出站流量创建规则。

现在,只需将防火墙策略分配给具有用户计算机的OU。

重要的。在将防火墙策略应用于具有生产能力的计算机的OU之前,强烈建议在某些测试计算机上进行尝试。否则,由于错误的防火墙设置,您可能会使企业网络瘫痪。要诊断如何应用组策略,请使用gpresult工具

在客户端上测试Windows防火墙策略

更新客户端上的组策略设置(gpupdate / force)。确保指定的端口在用户计算机上可用(可以使用Test-NetConnection cmdlet或Portqry工具)。

在用户PC上,打开“控制面板”->“系统和安全性”->“ Windows Defender防火墙”,并确保显示消息。为了安全起见,某些设置受组策略控制,并且使用了防火墙设置。

现在,用户无法更改防火墙设置,并且您创建的所有规则都必须出现在“入站规则”列表中。

您还可以使用以下命令显示防火墙设置:

netsh firewall show state

如何将Windows防火墙规则导入/导出到GPO?

当然,创建Windows防火墙规则的过程是一项艰巨且耗时的任务(但是值得付出努力)。为了简化操作,您可以导入/导出Windows防火墙设置。为此,仅需在参考工作站上配置本地防火墙设置即可。然后转到Windows防火墙管理单元(具有高级安全性的Windows防火墙)的根目录,然后选择Action-> Export Policy

该策略将被导出到WFW文件,可以通过选择“ 导入策略选项并指定.wfw文件的路径将其导入到组策略管理编辑器中(当前策略设置将被覆盖)。

域和本地Windows Defender防火墙规则

根据您是否希望本地管理员可以在其计算机上创建自己的防火墙规则,并将其与从组策略中获取的规则结合起来,可以选择规则合并选项。打开策略属性,然后在“ 规则合并部分中查看设置。默认情况下,启用规则合并。您可以强制本地管理员可以创建自己的防火墙规则:在“ 应用本地防火墙规则选项中选择“ (默认设置)

提示。阻止防火墙规则的优先级高于允许的规则。这意味着,如果用户与允许使用GPO的管理员配置的阻止规则相抵触,则无法创建允许访问规则。但是,即使管理员在策略中允许访问,用户也可以创建本地阻止规则。

提示:使用GPO管理Windows防火墙

当然,您应该创建单独的策略来管理服务器和工作站的Windows防火墙规则(您可能必须根据每组相似服务器的角色来创建单独的策略)。这意味着域控制器,Exchange邮件服务器和SQL服务器的防火墙规则将有所不同。

您可以在供应商的网站上找到必须为每个服务打开的端口。乍看之下,这个过程非常艰巨而复杂。但是,您最终可以得到一个有效的Windows防火墙配置,该配置仅允许批准的网络连接并阻止其他网络连接。根据我的经验,我想指出,您可以快速找到Microsoft软件使用的TCP / UDP端口列表。

使用组策略配置Windows防火墙设置和规则相关推荐

  1. 使用组策略配置Windows 7的高级防火墙

    示例:使用组策略配置Windows 7的高级防火墙 微软河北技术支持中心的培训部门的员工不允许访问FTP站点,其他出站的流量允许.现在你需要使用组策略中配置培训部门的计算机的高级防火墙,实现出站流量的 ...

  2. 如何在 Windows 10 上安装和配置 SNMP 服务并通过组策略配置 SNMP 设置

    简单网络管理协议或 SNMP用于企业网络上的监控.事件通知和网络设备管理.该协议由一组网络管理标准组成,包括应用层协议.数据库模式和一组数据对象.SNMP 可以从任何网络设备接收各种类型的信息(正常运 ...

  3. 桌面计算机安全策略,设置组策略实现Windows桌面显示计算机信息

    在需要大批量管理Windows 的企业或测试环境中,有的时候需要快速确定每个Windows 电脑(或虚拟机)的软硬件和网络配置,或者计算机名,如果能在桌面上直接显示这些我们需要的信息,无疑会: 方便企 ...

  4. Windows Server 2012远程刷新客户端组策略及IE代理设置图文教程

    Windows Server 2012远程刷新客户端组策略及IE代理设置图文教程 https://www.jb51.net/os/2012/542694.html 发布时间:2017-03-21 16 ...

  5. Windows Server 2012 R2 WSUS-5:组策略配置自动更新

    Windows Server 2012 R2 WSUS-5:组策略配置自动更新 https://blog.51cto.com/543925535/1406625 如果公司具备域环境的话,我们可以根据不 ...

  6. 组策略配置客户端计算机使用WSUS服务器进行更新

    本文出自 "叶俊生" 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814 当WSUS服务器安装好以后,你还需要配置客 ...

  7. 本地策略和组策略,更改安全设置和用户权限分配兼容性问题

    如果您更改安全设置和用户权限分配,则可能会导致客户端.服务和程序问题发生 适用于: Microsoft Windows Server 2003 Standard Edition (32-bit x86 ...

  8. Chome和Edge通过组策略配置IE模式和总是允许Flash(官方方案)

    文章目录 前言 一.准备 二.配置 1.安装浏览器 2.导入政策模板 3.配置组策略 配置IE模式 方法1:直接添加 方法2:使用xml文件(推荐) 配置Flash 三.政策模板参考 四.参考资料 前 ...

  9. windows10踩坑分析--内核文件损坏修复(dism++,win10升级出错,组策略,win10安全设置等)

    系统更新不了,windows功能打开一片空白各种修复方法没用(试过启动服务,修改注册表,下载优化大师) (sfc /SCANNOW  )其中一个办法走到这也不行,出现错误 困恼多时,百度N多方法,服务 ...

最新文章

  1. 【深度学习】卷积神经网络速成
  2. WmS详解(一)之token到底是什么?基于Android7.0源码
  3. Git之pull后回退版本
  4. c++ 麦克风 录音 wav_小米有品上线新品,手机麦克风得到史诗级加强
  5. C++:求五位学生的总成绩以及平均成绩
  6. Host '***' is blocked because of many connection errors...
  7. keil用c语言编程怎么打开,用keil软件新建,关闭,打开一个完整工程的操作流程...
  8. UEFI开发与调试---ImageHandle和ControllerHandle
  9. 《App违法违规收集使用个人信息自评估指南》
  10. 灰度发布--Spring Cloud Gray
  11. 短视频剪辑入门技巧,简单却重要
  12. mod() SQL中取余的函数
  13. android9.0+wifi叹号,手机wifi连上有个感叹号怎么解决_wifi已连接但有感叹号的处理方法-系统城...
  14. 仿古建筑为什么那么丑
  15. java库存同步思路_这个是真的厉害,高并发场景下的订单和库存处理方案,讲的很详细了!...
  16. 计算机专业实习经验总结
  17. x299服务器芯片组,【装机帮扶站】第770期:X79/X99/X299平台“高级”垃圾简析
  18. Pandas库数据基本处理
  19. TIL: 申请一个30天的体验版本的 Salesforce Consumer Goods Cloud Org
  20. [C++]decltype类型指示符

热门文章

  1. 为什么禁用拷贝(复制)构造函数
  2. 【IntelliJ IDEA旗舰版免费安装教程】用这一招,我终于白嫖了Intellij IDEA专业版!真香!
  3. 墨菲定律、二八法则、马修、手表定理、“不肖”法、彼得原理、零和游戏、华盛顿合作规律、酒与污水定律、水桶定律、蘑菇管理原则、钱的问题、奥卡姆剃刀等。13文章是关于生活的金科玉律...
  4. java分布式(分布式架构)
  5. Oracle中计算两个日期的相差天数、月数、年数、小时数、分钟数、秒数
  6. 【Android】Android 8 WiFi的自由控制:静态STATIC连接 + 动态DHCP连接
  7. Idea使用Gson解析Json步骤
  8. java计算机毕业设计-体育新闻网站-源代码+数据库+系统+lw文档
  9. spring09--bean后置处理器
  10. Windows 10 下支付宝无法安装数字证书解决方法