配置 Windows Defender 防火墙的最佳做法

高级安全 Windows Defender 防火墙提供基于主机的双向流量筛选，它可阻止进出本地设备的未经授权的流量。 根据以下最佳做法配置 Windows 防火墙可以帮助你增强对于你的网络中设备的保护。 这些建议涵盖各种部署，包括家庭网络和企业桌面/服务器系统。

若要打开 Windows 防火墙，请转到“开始”菜单，选择“运行”，键入“WF.msc”，然后选择“确定”。 另请参阅打开 Windows 防火墙。

首次打开 Windows Defender 防火墙时，你会看到适用于本地计算机的默认设置。 “概述”面板显示设备可连接到的每种类型的网络的安全设置。

图 1：Windows Defender 防火墙

右键单击左侧窗格中顶部的“高级安全 Windows Defender 防火墙”，然后选择“属性”即可查看每个配置文件的详细设置。

尽可能不去更改 Windows Defender 防火墙的默认设置。 这些设置旨在大多数网络情景下，确保你能够安全地使用设备。 默认设置中有一个关键示例是入站连接的默认阻止行为。

图 2：默认入站/出站设置

重要提示

若要最大限度保证安全，请勿更改入站连接默认的阻止设置。

有关配置基本防火墙设置的更多信息，请参阅打开 Windows 防火墙并配置默认行为，以及检查清单：配置基本防火墙设置。

许多情况下，管理员的下一步是使用规则自定义这些配置文件（有时称为筛选器），以便它们可以使用用户应用或其他类型的软件。 例如，管理员或用户可以选择添加规则以容纳程序、打开端口或协议，或允许预定义类型的流量。

可通过右键单击“入站规则”或“出站规则”，并选择“新建规则”来完成此规则添加任务。 添加新规则的界面如下所示：

图 3：规则创建向导

注意

本文不介绍分步规则配置。 如需了解策略创建的一般指南，请参阅《高级安全 Windows 防火墙部署指南》。

许多情况下，需要允许特定类型的入站流量，应用程序才能在网络中正常运行。 在允许此类入站例外时，管理员应记住以下规则优先级行为。

由于 1 和 2，因此在设计一组策略时，请务必确保不存在可能无意重叠的其他显式阻止规则，从而阻止希望允许的流量。

创建入站规则的一般安全最佳做法是尽可能地做到具体。 但是，当必须制定使用端口或 IP 地址的新规则时，请考虑使用连续的范围或子网，而不是使用单个地址或端口（条件允许时）。 此方法可以避免在底层创建多个筛选器，降低复杂性，并有助于避免性能下降。

注意

Windows Defender 防火墙不支持由管理员分配的传统加权规则排序。 记住上述几个一致且符合逻辑的规则行为，即可创建具有预期行为的有效策略集。

首次安装时，网络应用程序和服务会发出侦听调用，指定它们正常运行所需的协议/端口信息。 由于 Windows Defender 防火墙中存在默认阻止，因此必须创建入站例外规则才能允许此类流量。 应用或应用安装程序本身通常都会添加这一防火墙规则。 否则，用户（或代表用户的防火墙管理员）需要手动创建规则。

如果没有活动的应用程序或管理员定义的允许规则，则在首次启动应用或尝试在网络中通信时，系统将会弹出一个对话框提示用户允许或阻止应用程序的数据包。

如果用户具有管理员权限，系统将会提示他们。 如果用户选择“否”或取消提示，则将会创建阻止规则。 通常会为 TCP 和 UDP 流量分别创建两个规则。

如果用户不是本地管理员，则不会提示他们。 大多数情况下，将创建阻止规则。

在以上任一情景中，添加这些规则后，必须删除它们才能再次生成提示。 如果没有这样做，将继续阻止流量。

注意

防火墙的默认设置旨在为你提供安全。 默认情况下允许所有入站连接，会给网络带来各种各样的威胁。 因此，应该由值得信赖的应用开发者、用户或代表用户的管理员来决定为哪些第三方软件的入站连接创建例外。

在为网络设计防火墙策略时，最好为主机上部署的任何网络应用程序都配置允许规则。 在用户首次启动应用程序之前就创建好相应的规则有助于为用户提供无缝的体验。

缺少这些分步规则并不一定意味着应用程序最终将无法在网络上进行通信。 但是，在运行时自动创建应用程序规则所涉及的行为需要用户交互和管理权限。 如果设备预期由非管理用户使用，你应该遵循最佳做法，即在应用程序首次启动之前提供这些规则，以避免遇到意外的网络问题。

若要确定阻止某些应用程序在网络中进行通信的原因，请检查以下实例：

管理员也可以使用“设置”应用或“组策略”，禁止在运行时创建应用程序规则。

图 4：允许访问的对话框

另请参阅清单：创建入站防火墙规则。

可以部署以下防火墙规则：

规则合并设置控制如何组合来自不同策略源的规则。 管理员可以为域、专用和公共配置文件配置不同的合并行为。

除了从组策略获取的规则外，规则合并设置还用于允许或阻止本地管理员创建自己的防火墙规则。

图 5：规则合并设置

提示

在防火墙配置服务提供程序中，等效设置为 AllowLocalPolicyMerge。 可以在每个相应的配置文件节点、DomainProfile、PrivateProfile 和 PublicProfile 下找到此设置。

如果禁用了本地策略合并，则任何需要入站连接的应用都需要集中部署规则。

管理员可以在高安全性环境中禁用 LocalPolicyMerge，以保持对终结点的更严格控制。 如上文所述，此设置可能会影响一些在安装时自动生成本地防火墙策略的应用和服务。 若要使此类应用和服务正常工作，管理员应集中通过组策略 (GP)、移动设备管理 (MDM) 或两者（混合或共同管理环境）集中推送规则。

防火墙 CSP 和策略 CSP 也具有会影响规则合并的设置。

最佳做法是列出和记录此类应用，包括用于通信的网络端口。 通常，可以在应用的网站上找到必须为给定服务打开的端口。 更复杂的部署或客户应用程序部署，则可能需要使用网络数据包捕获工具进行更全面的分析。

通常，为了最大限度保证安全性，管理员应仅为确定用于合法用途的应用和服务推送防火墙例外。

注意

应用程序规则不支持使用通配符模式，例如 C：*\teams.exe 。 目前，我们仅支持使用到应用程序的完整路径创建的规则。

“防护”模式是你在遭受主动攻击时可以用来减轻损失的一项重要的防火墙功能。 这是一个非正式术语，是指防火墙管理员在受到主动攻击时可用于临时提高安全性的一种简单方法。

可以在 Windows 设置应用或旧文件 firewall.cpl 中选中“阻止所有传入连接，包括允许的应用列表中的入站连接，实现防护效果。

图 6：Windows 设置应用/Windows 安全中心/防火墙保护/网络类型

图 7：旧版 firewall.cpl

默认情况下，Windows Defender 防火墙将阻止所有内容，除非创建了例外规则。 此设置将覆盖例外。

例如，远程桌面功能会在启用时自动创建防火墙规则。 但是，如果主机上存在使用多个端口和服务的活动攻击，可以使用防护模式阻止所有入站连接，覆盖以前的例外，包括远程桌面规则，而不是禁用单个规则。 远程桌面规则保持不变，但只要激活防护，远程访问将不起作用。

在紧急情况结束后，取消选中用于还原常规网络流量的设置。

以下是配置出站规则时需要遵循的几条一般准则。

有关创建出站规则的任务，请参阅清单：创建出站防火墙规则。

创建入站或出站规则时，应指定有关应用本身、使用的端口范围以及创建日期等重要说明的详细信息。 必须详尽地记录规则，以便你和其他管理员查看。 我们强烈建议花时间让你之后能够更简便地查看防火墙规则。 并且切勿在防火墙中制造不必要的漏洞。