通过

Windows 防火墙工具

Windows 提供了不同的工具来查看状态和配置 Windows 防火墙。 所有工具都与同一基础服务交互,但提供对这些服务的不同级别的控制:

注意

若要更改设备上的 Windows 防火墙配置,必须具有管理权限。

Windows 安全中心

Windows 安全中心应用可用于查看 Windows 防火墙状态并访问高级工具来对其进行配置。 选择“ 开始”,键入 Windows Security,然后按 Enter。 打开Windows 安全中心后,选择“防火墙 & 网络保护”选项卡。 或者使用以下快捷方式:

打开防火墙 & 网络保护

显示Windows 安全中心应用的屏幕截图。

控制面板

Windows Defender防火墙控制面板小程序提供配置 Windows 防火墙的基本功能。 选择“ 开始”,键入 firewall.cpl,然后按 Enter

显示Windows Defender防火墙控制面板小程序的屏幕截图。

具有高级安全性的Windows Defender防火墙

具有高级安全性 ( WFAS) 的Windows Defender防火墙是 Microsoft 管理控制台 (MMC) 管理单元,可提供高级配置功能。 它可以在本地和组策略 (GPO) 实现中使用。

  • 如果要配置单个设备,请选择“ 开始”,键入 wf.msc,然后按 Enter
  • 如果要配置已加入 Active Directory 域的设备, 请创建或编辑 组策略对象 (GPO) 并展开节点 计算机配置>策略>Windows 设置>安全设置>具有高级安全性的 Windows 防火墙

具有高级安全性 MMC 的Windows Defender防火墙管理单元的屏幕截图。

配置服务提供程序 (CSP)

防火墙 CSP 提供了一个用于配置和查询 Windows 防火墙状态的接口,Windows 防火墙可与移动设备管理 (MDM) 解决方案(如 Microsoft Intune)配合使用。

命令行工具

NetSecurity PowerShell 模块 和 Network Command Shell (netsh.exe) 是命令行实用工具,可用于查询状态和配置 Windows 防火墙。

组策略处理注意事项

Windows 防火墙策略设置存储在注册表中。 默认情况下,组策略每隔 90 分钟在后台刷新一次,随机偏移量在 0 到 30 分钟之间。

Windows 防火墙监视注册表的更改,如果向注册表中写入了某些内容,它会通知 Windows 筛选平台 (WFP) ,后者执行以下操作:

  1. 读取所有防火墙规则和设置
  2. 应用任何新筛选器
  3. 删除旧筛选器

注意

每当存储 GPO 设置的注册表位置写入或删除某些内容时,都会触发操作,而不管是否确实发生了配置更改。 在此过程中,IPsec 连接将断开连接。

许多策略实现指定仅在更改时更新它们。 但是,你可能想要更新未更改的策略,例如,如果用户更改了所需的策略设置,则重新应用该策略设置。 若要控制注册表组策略处理的行为,可以使用策略计算机配置>管理模板>系统>组策略>配置注册表策略处理即使组策略对象未更改选项,也会更新并重新应用策略,即使策略尚未更改,也会执行进程。 默认情况下,此选项处于禁用状态。

如果启用选项“处理”,即使组策略对象未更改,则每次刷新后台时都会重新应用 WFP 筛选器。 如果你有 10 个组策略,则 WFP 筛选器在刷新间隔期间会重新应用 10 次。 如果在策略处理过程中发生错误,则应用的设置可能不完整,从而导致以下问题:

  • Windows 防火墙阻止组策略允许的入站或出站流量
  • 应用本地防火墙设置,而不是组策略设置
  • 无法建立 IPsec 连接

临时解决方案是使用 命令 gpupdate.exe /force刷新组策略设置,这需要连接到域控制器。

若要避免此问题,请将 “配置注册表策略处理” 保留为默认值“ 未配置” ,或者,如果已配置,请将其配置为 “已禁用”。

重要提示

即使组策略对象未更改,也必须取消选中“处理”旁边的复选框。 如果将其保留为未选中状态,则仅当配置发生更改时,才会写入 WFP 筛选器。

如果要求强制删除和重写注册表,请通过选中 “在定期后台处理期间不应用”旁边的复选框来禁用后台处理。

主动攻击的屏蔽 模式

防护 模式是 可用于在主动攻击期间缓解损害的一项重要 Windows 防火墙功能。 这是一个非正式术语,是指防火墙管理员在受到主动攻击时可用于临时提高安全性的一种简单方法。

可以通过选中“阻止所有传入连接”来实现屏蔽,包括 Windows 设置应用或控制面板中允许的应用设置列表中的连接。

显示传入连接的Windows 安全中心应用的屏幕截图。

控制面板防火墙小程序的屏幕截图。

默认情况下,除非创建了例外规则,否则 Windows 防火墙会阻止所有内容。 屏蔽选项将替代异常。 例如,远程桌面功能会在启用时自动创建防火墙规则。 但是,如果主机上存在使用多个端口和服务的活动攻击,可以使用防护模式阻止所有入站连接,覆盖以前的例外,包括远程桌面规则,而不是禁用单个规则。 远程桌面规则保持不变,但只要屏蔽处于活动状态,远程访问就不起作用。

在紧急情况结束后,取消选中用于还原常规网络流量的设置。

后续步骤

从以下下拉列表中选择一个工具,了解如何配置 Windows 防火墙: