Windows 防火墙概述
Windows 防火墙是一项安全功能,通过筛选进入和退出设备的网络流量来帮助保护你的设备。 可以根据多个条件筛选此流量,包括源和目标 IP 地址、IP 协议或源和目标端口号。 Windows 防火墙可以配置为基于设备上安装的服务和应用程序阻止或允许网络流量。 这允许将网络流量限制为那些明确允许在网络上进行通信的应用程序和服务。
Windows 防火墙是基于主机的防火墙,它包含在操作系统中,在所有 Windows 版本上默认启用。
Windows 防火墙支持 Internet 协议安全性 (IPsec) ,你可以使用它从任何尝试与你的设备通信的设备进行身份验证。 需要身份验证时,无法作为 受信任设备进行身份验证的设备 无法与你的设备通信。 可以使用 IPsec 要求对某些网络流量进行加密,以防止恶意用户可能附加到网络的网络数据包分析器读取该流量。
Windows 防火墙还适用于 网络位置感知 ,以便它可以应用适合设备所连接到的网络类型的安全设置。 例如,当设备连接到咖啡店 Wi-fi 时,Windows 防火墙可以应用 公用 网络配置文件,当设备连接到家庭网络时,可以应用 专用 网络配置文件。 这使你可以对公用网络应用更严格的设置,以帮助确保设备安全。
实际应用程序
Windows 防火墙提供了几个优势来解决组织的网络安全难题:
- 降低网络安全威胁的风险:通过减少设备的攻击面,Windows 防火墙为深层防御模型提供了额外的防御层。 这可提高可管理性并减少成功攻击的可能性
- 保护敏感数据和知识产权:Windows 防火墙与 IPsec 集成,提供一种简单的方法来强制实施经过身份验证的端到端网络通信。 这允许对受信任的网络资源进行可缩放的分层访问,帮助强制实施数据完整性,并在必要时保护数据机密性
- 现有投资的扩展价值:Windows 防火墙是操作系统随附的基于主机的防火墙,因此不需要额外的硬件或软件。 它还旨在通过记录的 API 来补充现有的非Microsoft网络安全解决方案
Windows 版本和许可要求
下表列出了支持 Windows 防火墙的 Windows 版本:
Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
Windows 防火墙许可证权利由以下许可证授予:
Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
概念
Windows 防火墙的默认行为是:
- 阻止所有传入流量,除非请求或匹配 规则
- 允许所有传出流量,除非与规则匹配
防火墙规则
防火墙规则 标识允许或阻止的网络流量,以及发生这种情况的条件。 这些规则提供了广泛的条件选择来标识流量,包括:
- 应用程序、服务或程序名称
- 源和目标 IP 地址
- 可以使用动态值,例如默认网关、DHCP 服务器、DNS 服务器和本地子网
- 协议名称或类型。 对于传输层协议 TCP 和 UDP,可以指定端口或端口范围。 对于自定义协议,可以使用表示 IP 协议的 0 到 255 之间的数字
- 接口类型
- ICMP/ICMPv6 流量类型和代码
防火墙配置文件
Windows 防火墙提供三个网络配置文件:域、专用和公用。 网络配置文件用于分配规则。 例如,可以允许特定应用程序在专用网络上进行通信,但不允许在公用网络上进行通信。
域网络
域网络配置文件在检测到域控制器的可用性时,会自动应用于已加入 Active Directory 域的设备。 无法手动设置此网络配置文件。
提示
检测域网络的另一个选项是在 NetworkListManager 策略 CSP 中配置策略设置,该 CSP 也适用于已加入Microsoft Entra设备。
专用网络
专用网络配置文件专为专用网络(如家庭网络)设计。 管理员可以在网络接口上手动设置它。
公用网络
公共网络配置文件在设计时考虑了公共网络(如 Wi-Fi 热点、咖啡店、机场、酒店等)的安全性。它是身份不明网络的默认配置文件。
提示
使用 PowerShell cmdlet Get-NetConnectionProfile
检索活动网络类别 (NetworkCategory
) 。 使用 PowerShell cmdlet Set-NetConnectionProfile
在 专用 和 公用之间切换类别。
禁用 Windows 防火墙
Microsoft建议不要禁用 Windows 防火墙,因为你失去了其他优势,例如,能够使用 Internet 协议安全 (IPsec) 连接安全规则、网络保护免受使用网络指纹的攻击、Windows 服务强化和 启动时间筛选器。 非Microsoft防火墙软件可以编程方式仅禁用需要禁用的 Windows 防火墙 的规则类型 才能实现兼容性。 不应出于此目的自行禁用防火墙。 如果需要禁用 Windows 防火墙,请不要通过在服务管理单元中停止 Windows 防火墙服务 (来禁用它,显示名称为 Windows Defender 防火墙,服务名称为 MpsSvc) 。 Microsoft不支持停止 Windows 防火墙服务,并可能导致问题,包括:
- “开始”菜单可停止工作
- 新式应用程序可能无法安装或更新
- 通过手机激活 Windows 失败
- 依赖于 Windows 防火墙的应用程序或 OS 不兼容
禁用 Windows 防火墙的正确方法是禁用 Windows 防火墙配置文件,使服务保持运行状态。 有关详细步骤 ,请参阅使用命令行管理 Windows 防火墙 。
后续步骤
了解 Windows 防火墙规则和设计建议:
提供反馈
若要提供 Windows 防火墙的反馈,请打开 “反馈中心 ” (WIN+F) ,并使用类别 “安全和隐私>网络保护”。