配置和管理Windows服务器的Windows防火墙

教程
Windows

配置和管理 Windows 防火墙对于 Windows Server 的稳健管理来说是一个关键的工具,不懈地保护我们的 Windows Server 免受各种潜在漏洞的侵害,同时有效地控制通信流。Windows Server 操作系统的基本组成部分之一,配置和管理 Windows 防火墙需要深入理解其功能。本文对 Windows Firewall 在 Windows Server 环境中的各种复杂方面进行详细和全面的研究,提供了有价值的见解,以加强服务器的防御力和提高其运营效率。

另外推荐 使用 Windows Server 加密和 BitLocker 保护您的数据

Windows 防火墙 是 Windows 操作系统中的内置安全功能,充当计算机或网络与来自互联网或本地网络的潜在威胁之间的 屏障。它 监视和控制着进出网络流量,有助于保护系统免受未经授权的访问和恶意活动。文章的下一部分将告诉我们如何关闭 Windows 防火墙。

还阅读Windows Server 补丁管理:如何保持 Windows Server 安全并及时更新

使用 GUI 配置 Windows 防火墙

Windows 的内置图形用户界面(GUI)工具是家庭和工作用户管理防火墙的最快捷方式。一个 GUI 工具的示例是 Windows Defender 防火墙控制面板。

使用 Windows Defender 防火墙控制面板

Windows Defender防火墙控制面板是Windows操作系统的一个重要组成部分,使用户能够为其系统建立强大的防御线。通过这个易于访问的界面,用户可以精心管理入站和出站流量,增强网络安全性,同时保持通信的完整性。以下是启动Windows Defender防火墙控制面板的几种方法:

方法1

导航到控制面板系统与安全Windows Defender防火墙
方法2

点击“开始”并键入Windows Defender防火墙。点击Windows Defender防火墙链接。
方法3

打开运行对话框,键入firewall.cpl,然后点击确定

我们应该在Windows Defender防火墙控制面板中识别网络配置文件列表—域、私人访客或公共网络。点击左侧的打开或关闭Windows Defender链接。

我们在自定义设置页面上关闭每个网络配置文件的Windows防火墙。在下面的示例中,Windows防火墙在所有网络配置文件上都已禁用。

还可阅读 Windows Server加固:配置Windows Server的安全设置和策略

使用组策略管理控制台

通过部署组策略对象(GPO),系统管理员可以关闭域中选择的计算机或所有计算机的Windows防火墙。一旦部署,禁用Windows防火墙将自动化,因为配置会通过策略在范围内的所有计算机上执行。

在此情况下,我们正在服务器上使用组策略管理 控制台(GPMC) 来创建一个GPO。为此,在运行对话框中运行gpmc.msc命令。

组策略管理控制台中展开森林,并选择我们要在其中创建GPO的域。一旦我们在域中创建了GPO,右键点击它,然后点击在此域中创建GPO并在此处链接它…

然后,新GPO对话框弹出。为我们要创建的GPO输入一个名称。右键点击新的GPO,然后选择编辑。GPO在组策略管理编辑器中打开。然后,展开以下文件夹:

  • 计算机配置
  • 策略
  • 管理模板
  • 网络
  • 网络连接
  • Windows Defender
  • 防火墙
  • 域配置文件

在这里,我们可以看到我们在域中实施的所有Windows防火墙配置文件的列表。 例如,在右窗格的设置列表中,双击Windows Defender防火墙:保护所有网络连接 以打开其属性。

一旦设置属性打开,通过选择 禁用 来更改值,然后单击 确定

将相同的选项再次应用到标准配置文件的设置中。现在我们已经创建了 GPO,需要将其部署到域计算机上。在组策略管理中选择禁用 Windows 防火墙的 GPO 来应用该 GPO。然后,在“安全过滤”部分下,点击“添加”按钮。范围选项卡下点击添加按钮

在“选择用户、计算机或组”对话框中查找“域计算机”,然后点击确定。这样做可以确保我们将 GPO 应用到域计算机组中的所有计算机。

系统会在客户端计算机下次接收到策略更新时关闭防火墙。

现在 GPO 已经创建并部署,我们通过强制执行策略更新来测试是否 GPO 生效。在客户端计算机上运行gpupdate /force来测试策略更新。

另请阅读Windows Server安全最佳实践:保护您的Windows Server环境

另请阅读 尝试InfraSOS Active Directory GPO报告工具

使用CLI配置Windows防火墙

大多数,如果不是全部,Windows GUI功能都有命令行等效功能。有时使用命令行界面(CLI)比使用GUI选项更快。此外,命令行选项使用户能够编写脚本或自动执行任务。以下是一些示例:

使用Netsh命令管理Windows防火墙

A legacy but valuable handy utility called netsh is useful to manage network configurations on a computer or, in this case, disable the Windows Firewall. Using netsh advfirewall set, we manage Windows Firewall individually on each location or all network profiles.

  • netsh advfirewall set currentprofile state – 此命令管理当前活动的网络配置文件防火墙。
  • netsh advfirewall set domainprofile state – 仅管理 网络的配置文件防火墙。
  • netsh advfirewall set privateprofile state – 仅管理私人 网络的配置文件防火墙。
  • netsh advfirewall set publicprofile state – 此命令仅管理公用网络配置文件的防火墙
  • netsh advfirewall set all profiles state – 此命令将同时管理所有网络配置文件。

集成netsh命令增加了对防火墙配置和管理的准确性,适用于寻求精细控制的经验丰富的用户,最终增强了服务器对不断变化的网络威胁的抵抗力。

使用 Set-NetFirewallProfile PowerShell Cmdlet

网络安全PowerShell模块包含与网络和网络安全配置相关的cmdlet。该PowerShell模块内置于Windows Server 2012及更高版本中。其中一个cmdlet是Set-NetFirewallProfile,我们用它来管理Windows防火墙

Set-NetFirewallProfile -All -Enabled True
Set-NetFirewallProfile -Profile  -Enabled False

下面的命令关闭了公用专用网络配置文件上的防火墙:

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

在不指定任何配置文件名称的情况下,下面的示例展示了如何使用-所有参数开关在所有网络配置文件上禁用Windows防火墙。

使用PowerShell远程管理Windows防火墙

当我们需要管理许多计算机的防火墙时,逐个登录每台计算机并手动运行命令是低效的。特别是在网络环境中,我们可以使用 PowerShell 远程禁用。

注意:此过程要求我们在目标计算机上启用 Windows 远程管理或 WinRM。在大多数情况下,WinRM 可用于域加入的计算机以进行远程管理。

如果我们计划逐个禁用远程计算机上的 Windows 防火墙,则使用 Enter-PsSession cmdlet 向远程计算机发出命令。

Enter-PsSession -ComputerName WINSRV01
Set-NetFirewallProfile -All -Enabled False

以上过程只有在我们只操作少量远程计算机时才适用。但是,如果我们有许多需要关闭的计算机,我们需要一种更适合脚本的方法。为此,我们使用 Invoke-Command cmdlet。

$computers = @('WINSRV01','WINSRV02')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

从上面的代码片段中可以看到,我们将远程计算机的名称存储在$computers变量中作为数组。然后,PowerShell循环遍历每台远程计算机来运行Invoke-Command cmdlet,并发出Set-NetFirewallProfile -All -Enabled False命令。

还阅读使用Azure防火墙和安全组保护Azure网络

Windows高级安全防火墙

Windows防火墙和具有高级安全性的Windows防火墙之间的区别在于它们的复杂性和功能。Windows防火墙作为一个主要的、用户友好的防火墙,通过使用预定义规则来调节传入和传出的网络流量,而具有高级安全性的Windows防火墙则为高级用户和管理员提供了更复杂的工具集,可以实现高度定制的配置,包括IP地址、协议、用户和服务等标准,使其特别适用于复杂的网络环境。

在所有三个Windows版本中,查找Windows Defender防火墙与高级安全性的可执行文件是启动它的最简单方法。在Windows搜索框中键入wf.msc后,单击或按下结果即可。

控制面板中,我们通过单击Windows Defender防火墙与高级安全性 -> 系统和安全 -> Windows Defender防火墙再单击或轻触高级设置来访问。


在Windows操作系统中,访问Windows Defender防火墙与高级安全性的快捷方式方便地位于开始菜单中,按照以下路径操作:开始菜单Windows管理工具Windows Defender防火墙与高级安全性

同时阅读 尝试我们的 InfraSOS Office 365 报告工具

Windows 高级安全防火墙的优势

该工具使我们能够访问 Windows Defender 防火墙中的所有功能。以下是其使用的几个优点:

  • 降低了网络安全漏洞的风险。虽然不是全面的安全解决方案,Windows Defender 防火墙可减少成功网络攻击的可能性。
  • 通过使用 IPsec(Internet Protocol Security)验证对我们设备的访问。以确保数据的完整性和机密性。
  • 提供防火墙功能而无需额外支出。作为 Windows 的一个组成部分,Windows Defender 防火墙提供防火墙功能,无需额外的费用或额外的软件安装。

Windows 高级安全防火墙通过其特色机制提供这些优势:

  • 入站和出站规则:这些规则可以精确控制进出网络流量,允许基于端口号、程序和IP地址进行定制。
  • 连接安全规则:通过定义加密参数和认证方法,这些规则建立安全通信渠道,增强网络安全。
  • 监控:防火墙提供全面的监控工具,跟踪规则匹配和连接尝试等事件,有助于及时发现威胁并作出响应。

感谢阅读有关配置和管理Windows服务器的Windows防火墙的内容。我们将总结,

另请阅读如何在Azure中实施合规性和治理政策

配置和管理Windows服务器的Windows防火墙总结

总的来说,在我们的Windows服务器上掌握Windows防火墙的配置和管理至关重要,以维护安全且性能最佳的服务器环境。Windows Defender防火墙控制面板提供了一个可访问的门户,用于保护通信完整性并阻止潜在的漏洞。此外,对于那些追求更高程度控制的人,整合netsh命令提供了一个高级途径来微调防火墙设置,最终形成一种全面的方法,加强我们的服务器对动态数字环境的防御。

Source:
https://infrasos.com/configure-and-manage-windows-firewall-for-your-windows-server/